如何最有效禁止局域网BT下载?
应用背景
目前在企事业单位等信息化程度较高的单位,都存在着用户存在工作时间利用局域网不分时间段地、无节制地使用BT、Emule等软件下载与工作无关软件,因这些软件的使用造成数据流量大增,极大地占用了局域网的互联网出口带宽,从而影响了全体工作人员的正常办公工作;此外,用BT下载还常常容易遭遇病毒风险,据国家有关安全部门的计算,大约60%的病毒都是通过P2P下载传播的,从而加大了企业局域网安全风险;同时,用BT下载大量的电影、音乐等文件,大都没有经过版权部门的许可,从而面临着国家打击盗版的风险。这个目前有一些企业已经被相关部门起诉,从而给企业形象埋下了隐患。
当前禁止局域网BT下载的一般方法
1、 屏蔽BT服务器和BT站点,从而屏蔽BT种子的传播。但是这种方法有局限性,倘若企业用户不依靠种子和网页发布的P2P下载资源,来进行P2P下载文件,想必上面两种限制也就失去了它本质的作用,因此这就需要你根据数据包的特性进行协议过滤,方能彻底限制住关于P2P的下载操作。这里需设置访问策略,并且对其HTTP协议进行签名过滤,比如还拿刚才BT下载为例,查找数据包的请求,在指定阻止的签名中填入BT使用的数据包请求,这样当数据包中含有你想要阻止的数据请求,就会自动被ISA所丢弃,导致其企业员工的P2P下载也就无法进行。
2、 禁止BT工具的安装。如果想完全禁止客户端安装BT工具软件,那就必须在客户端的电脑上安装客户端程序,通过服务端遥控客户端,通过远程进程指令来关闭这些BT工具的进程,依次来禁止BT工具的使用。但是这种方法也有弊端:首先安装客户端程序容易被用户强行卸载,或者被杀毒软件当作木马病毒杀掉,另外,如果用户端电脑重新安装操作系统,则客户端也会被删除。所以,这种方法限制局域网BT下载,效果不是很好,可操作性较差。
3、 依靠限制连接数。通过限制连接数来限制BT下载的速度也是当前封堵BT的一个方法。这种做法一般是在防火墙或者路由器上实现。通过防火墙限制连接数或者通过路由器、甚至支持带宽限制功能的交换机来限制连接数,虽然在一定程度上降低了BT下载的速度,但是这是一种饮鸩止渴的方法。因为这种方法同样也限制了客户端电脑正常的上网速度,会影响到正常的业务处理效率。所以,这种方法实际应用的负面作用较大,不推荐客户使用。
4、 通过识别BT流进行限制。目前国内有一些网管软件通过识别局域网下载中的BT数据报文,通过识别BT传输的协议特征,将数据包中包含BT协议报文的数据包进行过滤,从而阻止了BT报文的传输,以此来实现封堵局域网BT下载的目的。比如国内较为知名的局域网监控软件:聚生网管(官方网址:http://www.grabsun.com/) 通过集成了大约30余种当前最流行的BT、P2P下载工具以及一些P2P视频工具的下载数据包的协议特征,通过匹配这些协议特征,可以过滤当前几乎所有流行的P2P下载。这种方法,在实现了对局域网BT下载、局域网P2P下载、局域网视频封堵的同时,又不影响其他的报文传输,从而在实现限制不合理的带宽的同时,又保证了企业正常的业务所需要的带宽资源。从而可以更好地实现对局域网网络管理的目的。