應用背景

目前在企事業單位等信息化程度較高的單位， 都存在著用戶存在工作時間利用局域網不分時間段地、無節制地使用BT、Emule等軟件下載與工作無關軟件， 因這些軟件的使用造成數據流量大增， 極大地占用了局域網的互聯網出口帶寬， 從而影響了全體工作人員的正常辦公工作；此外， 用BT下載還常常容易遭遇病毒風險， 據國家有關安全部門的計算， 大約60%的病毒都是通過P2P下載傳播的， 從而加大了企業局域網安全風險；同時， 用BT下載大量的電影、音樂等文件， 大都沒有經過版權部門的許可， 從而面臨著國家打擊盜版的風險。 這個目前有一些企業已經被相關部門起訴， 從而給企業形象埋下了隱患。

當前禁止局域網BT下載的一般方法

1、 屏蔽BT服務器和BT站點， 從而屏蔽BT種子的傳播。 但是這種方法有局限性， 倘若企業用戶不依靠種子和網頁發布的P2P下載資源， 來進行P2P下載文件， 想必上面兩種限制也就失去了它本質的作用， 因此這就需要你根據數據包的特性進行協議過濾， 方能徹底限制住關于P2P的下載操作。 這里需設置訪問策略， 并且對其HTTP協議進行簽名過濾， 比如還拿剛才BT下載為例， 查找數據包的請求， 在指定阻止的簽名中填入BT使用的數據包請求， 這樣當數據包中含有你想要阻止的數據請求， 就會自動被ISA所丟棄， 導致其企業員工的P2P下載也就無法進行。

2、 禁止BT工具的安裝。 如果想完全禁止客戶端安裝BT工具軟件， 那就必須在客戶端的電腦上安裝客戶端程序， 通過服務端遙控客戶端， 通過遠程進程指令來關閉這些BT工具的進程， 依次來禁止BT工具的使用。 但是這種方法也有弊端：首先安裝客戶端程序容易被用戶強行卸載， 或者被殺毒軟件當作木馬病毒殺掉， 另外， 如果用戶端電腦重新安裝操作系統， 則客戶端也會被刪除。 所以， 這種方法限制局域網BT下載， 效果不是很好， 可操作性較差。

3、 依靠限制連接數。 通過限制連接數來限制BT下載的速度也是當前封堵BT的一個方法。 這種做法一般是在防火墻或者路由器上實現。 通過防火墻限制連接數或者通過路由器、甚至支持帶寬限制功能的交換機來限制連接數， 雖然在一定程度上降低了BT下載的速度， 但是這是一種飲鴆止渴的方法。 因為這種方法同樣也限制了客戶端電腦正常的上網速度， 會影響到正常的業務處理效率。 所以， 這種方法實際應用的負面作用較大， 不推薦客戶使用。

4、 通過識別BT流進行限制。 目前國內有一些網管軟件通過識別局域網下載中的BT數據報文， 通過識別BT傳輸的協議特征， 將數據包中包含BT協議報文的數據包進行過濾， 從而阻止了BT報文的傳輸， 以此來實現封堵局域網BT下載的目的。 比如國內較為知名的局域網監控軟件：聚生網管(官方網址：http://www.grabsun.com/) 通過集成了大約30余種當前最流行的BT、P2P下載工具以及一些P2P視頻工具的下載數據包的協議特征， 通過匹配這些協議特征， 可以過濾當前幾乎所有流行的P2P下載。 這種方法， 在實現了對局域網BT下載、局域網P2P下載、局域網視頻封堵的同時， 又不影響其他的報文傳輸， 從而在實現限制不合理的帶寬的同時， 又保證了企業正常的業務所需要的帶寬資源。 從而可以更好地實現對局域網網絡管理的目的。