企事業單位局域網有效控制P2P軟件的方法

　　當前，隨著網絡技術的發展和寬帶的普及，企事業單位信息化、電子政務的開展和日益深入，各項業務逐步通過網絡來實現；企事業單位在享受著網絡帶來的效率提升和各項便捷的同時，也遭遇了互聯網諸多負面應用的干擾，使得網絡資源無法得以充分利用，業務發展受到很大掣肘，突出表現就是當前日漸流行的各種P2P軟件（P2P下載軟件和P2P視頻軟件）。

 

一、P2P軟件的危害

　　相對于傳統的Internet應用而言，P2P軟件產生的流量具有以下明顯特征：

　　1、傳輸速度驚人。P2P軟件由于其技術原理決定了其可以無節制地占用局域網的帶寬資源，使得無論企事業單位的帶寬有多大，只要局域網一臺電腦使用了P2P軟件都可以將整個局域網的網速拖慢，嚴重干擾了企業的業務系統和辦公系統的正常運行，甚至使得打開網頁、收發電子郵件都難以進行。

　　2、傳輸內容具有危害性。局域網用戶使用P2P軟件下載大量的影音資料，可能是一些反動、色情、暴力等不良信息，一方面違反了國家法律法規，另一方面這些內容還常常帶有病毒、惡意程序等等，容易給整個局域網帶來巨大的危害。

　　3、傳輸過程的穿透性。P2P軟件可以穿透當前各種防火墻和各種安全代理屏障，從內部打開了一個單位內部局域網安全防護的漏洞，使得黑客可以輕松通過此通道進入企業內部局域網，傳播病毒和竊取單位的商業機密等。

　　4、傳輸過程對硬件的負荷較大。P2P軟件不僅可以加大使用者電腦硬件信息的損耗，降低使用壽命。同時，P2P軟件由于上行和下行流量基本對稱，而傳統的網絡設備如交換機、路由器、modem等是為非對稱、盡量支持下行的傳統的互聯網應用而設計的，從而無法長時間承受P2P軟件的使用，容易造成鏈路堵塞、設備崩潰的情況。

　　因此，如何有效控制這些P2P軟件的使用，已經成為當前企事業單位網絡管理的重要課題之一。

 

　　在企事業單位內部局域網中要想有效控制P2P軟件，就必須先將其從網絡數據中識別出來，因此識別P2P流量是封堵P2P軟件的前提和基礎。目前，識別P2P主要有以下方法：

　　1、基于P2P軟件端口、服務器IP的識別控制方法

　　早期的P2P軟件種類較少，同時技術也較為簡單，在傳輸上基于固定端口和少量的服務器IP地址來實現，因此網絡管理人員只要找到這些P2P軟件采用的傳輸端口和服務器IP地址，借助防火墻、交換機或者路由器等網絡設備關閉這些端口和IP的訪問即可。同時，尋找這些P2P軟件的端口、服務器IP的方法也較為簡單，通過防火墻、路由器等網絡設備的攔截、過濾日志或者使用諸如Sinffer一類的嗅探軟件，通過抓包分析的方式均可以獲取。

　　2、基于應用層簽名的識別控制方法

　　基于檢測應用層簽名的P2P流量識別技術是通過協議分析與還原技術，提取P2P應用層數據(即P2P載荷)，通過分析P2P載荷所包含的協議特征碼，來判斷是否屬于P2P應用。因此，這類方法也叫做深度數據包檢測技術（DPI，即Deep Packet Inspection）。因為這些P2P軟件的應用層簽名一般不會發生變化，具有較長時間的穩定性，同時應用層簽名也具有唯一性，所以這種封堵方式針對那些可智能切換端口、以及P2P軟件服務器IP地址龐大，無法通過IP封堵的P2P軟件，不失為一種更有效、更便捷的控制方法，并且一般均可以實現完全的控制。

　　但是，隨著近幾年P2P技術的不斷發展，越來越多的P2P軟件對傳輸過程進行了加密，依靠傳統的嗅探方法和嗅探工具已經無法獲取其應用層簽名或協議特征碼，從而無法實現對那些傳輸過程加密的P2P軟件的封堵。同時，由于P2P軟件的應用層簽名或協議特征碼與傳統的Internet應用的應用層簽名的類似性，從而也具有誤封傳統Internet應用之嫌；并且，基于深度數據包檢測的技術由于需要對所有公網的數據包進行過濾、分析和識別，在較大規模的網絡環境中，對系統所依附的硬件設備性能要求較高，同時也不可避免地對網絡性能造成一定的影響；此外，如果P2P軟件的應用層簽名發生變化，則必須更新之前的P2P應用層簽名才能繼續保持對P2P軟件的識別和控制，所以也面臨著應用層簽名必須實時更新的問題。

 

　　3、基于深度流量特征（DFI）的P2P流量識別控制方法

 

　　基于深度流量特征（DFI，即Deep Flow Inspection）也是當前識別P2P流量的另外一種典型的方法。DFI是為了彌補DPI識別P2P流量過程中面臨的效率問題、P2P流量加密和P2P應用層簽名必須頻繁升級而出現的識別方法。這一識別方法的基本思想是：通過對傳輸層數據包(包括