請選擇語言    繁體中文 English 
 
   
網站首頁 · 解決方案 · 產品介紹 · 下載中心 · 公司資訊 · 典型客戶 · 最新客戶 · 購買流程 · 聯系我們
 聚生網管產品
 聚生網管系統簡介
 聚生網管功能列表
 聚生網管功能截圖
 聚生網管技術優勢
 聚生網管與眾不同
 網絡特警產品
 網絡特警背景簡介
 網絡特警核心理念
 網絡特警核心優勢
 網絡特警獨特架構
 網絡特警功能列表
 網絡特警服務體系
 與聚生網管之關系
 與同類產品之對比
 配套產品
 商用安全計算機
 共享文件監視器
 代理服務掃描器
 主機異常警報器
 混雜模式掃描器
 外來電腦隔離器
 遠程開關機工具

 聚生網管服務熱線
010-82825051
010-82825052
010-82825512
010-62961005
 
 
     新 聞 中 心
企事業單位局域網有效控制P2P軟件的方法
雙擊自動滾屏 發布時間:2009-11-13 16:19:51 【字體:
相關鏈接:聚生網管禁止迅雷下載、限制QQ游戲、封堵炒股、限制網速國內最強,使用最簡單!點擊這里了解更多!

當前,隨著網絡技術的發展和寬帶的普及,企事業單位信息化、電子政務的開展和日益深入,各項業務逐步通過網絡來實現;企事業單位在享受著網絡帶來的效率提升和各項便捷的同時,也遭遇了互聯網諸多負面應用的干擾,使得網絡資源無法得以充分利用,業務發展受到很大掣肘,突出表現就是當前日漸流行的各種P2P軟件(P2P下載軟件和P2P視頻軟件)。

一、P2P軟件的危害

    相對于傳統的Internet應用而言,P2P軟件產生的流量具有以下明顯特征:

    1、傳輸速度驚人。P2P軟件由于其技術原理決定了其可以無節制地占用局域網的帶寬資源,使得無論企事業單位的帶寬有多大,只要局域網一臺電腦使用了P2P軟件都可以將整個局域網的網速拖慢,嚴重干擾了企業的業務系統和辦公系統的正常運行,甚至使得打開網頁、收發電子郵件都難以進行。

2、傳輸內容具有危害性。局域網用戶使用P2P軟件下載大量的影音資料,可能是一些反動、色情、暴力等不良信息,一方面違反了國家法律法規,另一方面這些內容還常常帶有病毒、惡意程序等等,容易給整個局域網帶來巨大的危害。

3、傳輸過程的穿透性。P2P軟件可以穿透當前各種防火墻和各種安全代理屏障,從內部打開了一個單位內部局域網安全防護的漏洞,使得黑客可以輕松通過此通道進入企業內部局域網,傳播病毒和竊取單位的商業機密等。

4、傳輸過程對硬件的負荷較大。P2P軟件不僅可以加大使用者電腦硬件信息的損耗,降低使用壽命。同時,P2P軟件由于上行和下行流量基本對稱,而傳統的網絡設備如交換機、路由器、modem等是為非對稱、盡量支持下行的傳統的互聯網應用而設計的,從而無法長時間承受P2P軟件的使用,容易造成鏈路堵塞、設備崩潰的情況。

因此,如何有效控制這些P2P軟件的使用,已經成為當前企事業單位網絡管理的重要課題之一。

二、如何識別P2P軟件的流量

在企事業單位內部局域網中要想有效控制P2P軟件,就必須先將其從網絡數據中識別出來,因此識別P2P流量是封堵P2P軟件的前提和基礎。目前,識別P2P主要有以下方法:

1、基于P2P軟件端口、服務器IP的識別控制方法

早期的P2P軟件種類較少,同時技術也較為簡單,在傳輸上基于固定端口和少量的服務器IP地址來實現,因此網絡管理人員只要找到這些P2P軟件采用的傳輸端口和服務器IP地址,借助防火墻、交換機或者路由器等網絡設備關閉這些端口和IP的訪問即可。同時,尋找這些P2P軟件的端口、服務器IP的方法也較為簡單,通過防火墻、路由器等網絡設備的攔截、過濾日志或者使用諸如Sinffer一類的嗅探軟件,通過抓包分析的方式均可以獲取。

2、基于應用層簽名的識別控制方法

基于檢測應用層簽名的P2P流量識別技術是通過協議分析與還原技術,提取P2P應用層數據(即P2P載荷),通過分析P2P載荷所包含的協議特征碼,來判斷是否屬于P2P應用。因此,這類方法也叫做深度數據包檢測技術(DPI,即Deep Packet Inspection)。因為這些P2P軟件的應用層簽名一般不會發生變化,具有較長時間的穩定性,同時應用層簽名也具有唯一性,所以這種封堵方式針對那些可智能切換端口、以及P2P軟件服務器IP地址龐大,無法通過IP封堵的P2P軟件,不失為一種更有效、更便捷的控制方法,并且一般均可以實現完全的控制。

但是,隨著近幾年P2P技術的不斷發展,越來越多的P2P軟件對傳輸過程進行了加密,依靠傳統的嗅探方法和嗅探工具已經無法獲取其應用層簽名或協議特征碼,從而無法實現對那些傳輸過程加密的P2P軟件的封堵。同時,由于P2P軟件的應用層簽名或協議特征碼與傳統的Internet應用的應用層簽名的類似性,從而也具有誤封傳統Internet應用之嫌;并且,基于深度數據包檢測的技術由于需要對所有公網的數據包進行過濾、分析和識別,在較大規模的網絡環境中,對系統所依附的硬件設備性能要求較高,同時也不可避免地對網絡性能造成一定的影響;此外,如果P2P軟件的應用層簽名發生變化,則必須更新之前的P2P應用層簽名才能繼續保持對P2P軟件的識別和控制,所以也面臨著應用層簽名必須實時更新的問題。

3、基于深度流量特征(DFI)的P2P流量識別控制方法

基于深度流量特征(DFI,即Deep Flow Inspection)也是當前識別P2P流量的另外一種典型的方法。DFI是為了彌補DPI識別P2P流量過程中面臨的效率問題、P2P流量加密和P2P應用層簽名必須頻繁升級而出現的識別方法。這一識別方法的基本思想是:通過對傳輸層數據包(包括TCP和UDP數據包)進行分析,并結合P2P系統所表現出來的流量特征,來識別某個網絡流是否屬于P2P流量。這一識別方法不對網絡流量做深度數據包檢測,而是對數據包的端口、會話數、協議對、網絡直徑、流速率等進行分析,通過網管系統根據上述特征預設一定的閥值(也即特征出現的數量、頻率、大小等等),當上述這些數據包特征超過系統預設的閥值時,則視其為P2P流量,并開始進行阻斷,以此來達到限制P2P流量的目的。

與深度數據包檢測技術相比,基于深度流量特征的P2P識別技術可以負荷更大規模的網絡環境的P2P檢測任務,同時也大幅度降低了對網絡性能的影響,同時也實現了對加密P2P流量的識別和控制。只不過這種封堵方式,由于是對數據包特征的流量閥值來實施控制,所以如果P2P下載速度較慢,沒有超過系統預設的閥值的情況下,將會放過一些P2P流量,不能達到完全禁止P2P流量傳輸的目的。不過,目前國內主流的上網行為管理軟件廠商,如深信服、聚生網管等產品,一般允許網絡管理員根據自己單位的封堵要求而設定相應的控制閥值,以此來增加或降低封堵P2P軟件的敏感度,所以基本可以有效控制P2P流量的傳輸。
結語

目前國內P2P軟件種類繁多、技術架構良莠不齊,所以在實際封堵P2P軟件的時候我們必須因地制宜采取相應的控制方法。例如,對于那些技術架構較為簡單、采用固定端口和服務器固定IP地址的P2P軟件,我們可以采用基于端口和服務器IP控制的方法,在防火墻、路由器、交換機上即可實現封堵,同時這種方法操作也較為簡單、對網絡性能的影響也最小,也可以使得企事業單位現有的網絡設備得以更充分的利用。國內目前流行的酷狗音樂、UUSEE、PPlive、PPfilm等一些P2P軟件(此外國內流行的很多股票軟件,如大智慧、同花順等,以及一些網絡游戲等)均可以采用這種方法實現封堵,只不過需要網管人員善用防火墻、Sniffer等常規的網管工具即可;而對于那些采用可變端口、服務器IP地址眾多,無法通過端口、IP來封堵的P2P軟件,但可以通過嗅探工具和嗅探軟件獲取其應用層簽名的P2P軟件,就可以考慮采用基于應用層簽名的方式加以封堵,如當前國內流行的QQlive、kamun卡盟、Vagaa哇嘎、Baidu下吧、百寶、網酷、脫兔等等P2P軟件,可以采用這種方法封堵。同時國內也有一些高端的網絡設備,如思科、華為的一些防火墻支持自行添加應用層簽名來實現對P2P軟件的控制,也可以采購一些成熟的網管系統,一般也預設了主流的P2P軟件的應用層簽名;而對于那些不僅采用可變端口、服務器IP地址眾多,同時在P2P傳輸過程中進行加密的P2P軟件,我們只能依靠基于深度流量特征的方式來加以封堵,例如國內目前流行的迅雷、QQ旋風(超級旋風)、網際快車等P2P軟件,通過在一些網管系統上設定合適的控制閥值,我們可以限制這些P2P軟件的傳輸速度,從而有效緩解帶寬不足、網絡堵塞的狀態。此外,一些特定的P2P軟件,還需要我們綜合利用上述三種封堵方法,才能達到最佳的封堵效果,網管人員需要舉一反三、靈活應對。

綜上所述,在局域網中有效控制P2P軟件的使用,要求網管人員必須有一定網絡知識,熟悉常規網絡工具的使用,并且最好配備一套成熟的網管系統,才能真正實現對P2P軟件的控制,并最終實現網絡管理的目的。

總之,禁止內網P2P下載,監控內網P2P下載,限制內網P2P下載,控制內網P2P下載,管理內網P2P下載,屏蔽內網P2P下載,過濾內網P2P下載,阻斷內網P2P下載,攔截內網P2P下載,封堵內網P2P下載,禁用內網P2P下載,禁網絡電話Skype下載,限內網P2P下載,封內網P2P下載,禁內網P2P下載,限內網P2P下載,封局域網員工上網流量,內網P2P下載端口,內網P2P下載協議,內網P2P下載服務器IP,如何控制內網P2P下載,如何網絡病毒,如何限制內網P2P下載,如何封堵內網P2P下載,如何監控局域網員工上網流量,如何局域網管理內網P2P下載等等這些功能,聚生網管限制局域網軟件都可以實現!

相關鏈接:

深入了解聚生網管內網P2P下載限制軟件功能優勢:http://www.glldhx.tw/ProductShow105.htm

即刻下載聚生網管試用:http://www.glldhx.tw/download/grabsun.rar



 

 

相關鏈接:聚生網管專業禁止BT下載、限制QQ、封堵大智慧,屏蔽QQ游戲,防ARP欺騙!點擊這里查看詳情!
打印本頁 || 關閉窗口

版權所有 2005-2008 聚生網管公司 版權所有,盜版必究
京ICP備05068297號

白姐大型六合图库