應用背景
目前在企事業單位等信息化程度較高的單位,都存在著用戶存在工作時間利用局域網不分時間段地、無節制地使用BT、Emule等軟件下載與工作無關軟件,因這些軟件的使用造成數據流量大增,極大地占用了局域網的互聯網出口帶寬,從而影響了全體工作人員的正常辦公工作;此外,用BT下載還常常容易遭遇病毒風險,據國家有關安全部門的計算,大約60%的病毒都是通過P2P下載傳播的,從而加大了企業局域網安全風險;同時,用BT下載大量的電影、音樂等文件,大都沒有經過版權部門的許可,從而面臨著國家打擊盜版的風險。這個目前有一些企業已經被相關部門起訴,從而給企業形象埋下了隱患。
當前禁止局域網BT下載的一般方法
1、 屏蔽BT服務器和BT站點,從而屏蔽BT種子的傳播。但是這種方法有局限性,倘若企業用戶不依靠種子和網頁發布的P2P下載資源,來進行P2P下載文件,想必上面兩種限制也就失去了它本質的作用,因此這就需要你根據數據包的特性進行協議過濾,方能徹底限制住關于P2P的下載操作。這里需設置訪問策略,并且對其HTTP協議進行簽名過濾,比如還拿剛才BT下載為例,查找數據包的請求,在指定阻止的簽名中填入BT使用的數據包請求,這樣當數據包中含有你想要阻止的數據請求,就會自動被ISA所丟棄,導致其企業員工的P2P下載也就無法進行。
2、 禁止BT工具的安裝。如果想完全禁止客戶端安裝BT工具軟件,那就必須在客戶端的電腦上安裝客戶端程序,通過服務端遙控客戶端,通過遠程進程指令來關閉這些BT工具的進程,依次來禁止BT工具的使用。但是這種方法也有弊端:首先安裝客戶端程序容易被用戶強行卸載,或者被殺毒軟件當作木馬病毒殺掉,另外,如果用戶端電腦重新安裝操作系統,則客戶端也會被刪除。所以,這種方法限制局域網BT下載,效果不是很好,可操作性較差。
3、 依靠限制連接數。通過限制連接數來限制BT下載的速度也是當前封堵BT的一個方法。這種做法一般是在防火墻或者路由器上實現。通過防火墻限制連接數或者通過路由器、甚至支持帶寬限制功能的交換機來限制連接數,雖然在一定程度上降低了BT下載的速度,但是這是一種飲鴆止渴的方法。因為這種方法同樣也限制了客戶端電腦正常的上網速度,會影響到正常的業務處理效率。所以,這種方法實際應用的負面作用較大,不推薦客戶使用。
通過識別BT流進行限制。目前國內有一些網管軟件通過識別局域網下載中的BT數據報文,通過識別BT傳輸的協議特征,將數據包中包含BT協議報文的數據包進行過濾,從而阻止了BT報文的傳輸,以此來實現封堵局域網BT下載的目的。比如國內較為知名的局域網監控軟件:聚生網管(官方網址:http://www.grabsun.com) 通過集成了大約30余種當前最流行的BT、P2P下載工具以及一些P2P視頻工具的下載數據包的協議特征,通過匹配這些協議特征,可以過濾當前幾乎所有流行的P2P下載。這種方法,在實現了對局域網BT下載、局域網P2P下載、局域網視頻封堵的同時,又不影響其他的報文傳輸,從而在實現限制不合理的帶寬的同時,又保證了企業正常的業務所需要的帶寬資源。從而可以更好地實現對局域網網絡管理的目的。
共有條評論
