請選擇語言    繁體中文 English 
 
   
網站首頁 · 解決方案 · 產品介紹 · 下載中心 · 公司資訊 · 典型客戶 · 最新客戶 · 購買流程 · 聯系我們
 聚生網管產品
 聚生網管系統簡介
 聚生網管功能列表
 聚生網管功能截圖
 聚生網管技術優勢
 聚生網管與眾不同
 網絡特警產品
 網絡特警背景簡介
 網絡特警核心理念
 網絡特警核心優勢
 網絡特警獨特架構
 網絡特警功能列表
 網絡特警服務體系
 與聚生網管之關系
 與同類產品之對比
 配套產品
 商用安全計算機
 共享文件監視器
 代理服務掃描器
 主機異常警報器
 混雜模式掃描器
 外來電腦隔離器
 遠程開關機工具

 聚生網管服務熱線
010-82825051
010-82825052
010-82825512
010-62961005
 
 
     新 聞 中 心
通過路由器控制局域網電腦上網帶寬、限制網絡流量
雙擊自動滾屏 發布時間:2008-11-4 9:58:12 閱讀:1次 【字體:
相關鏈接:聚生網管禁止迅雷下載、限制QQ游戲、封堵炒股、限制網速國內最強,使用最簡單!點擊這里了解更多!

通過路由器設定來控制帶寬流量占用
作者:奔騰 日期:2008-9-11
BT是近年來比較熱門的基于P2P技術的分布式數據共享與傳播軟件,不同的人對這類應用有不同的看法。支持的人說它完滿地體現了我為人人,人人為我的思想,任何一個人都可以在網絡上向別人提供自己的文檔或軟件下載,當下載的人越多時它的下載的速度也越來越快;反對的人說它侵犯了軟件作者的版權以及耗費了大量的網絡帶寬,應該給予禁止。不管人們對這個軟件的看法如何,作為一個主要從事教育的大學來講,首先要保護作者的知識產權不會受到侵犯,另外還要保證學校的網絡資源能夠被合理利用,以保障教學及其它應用的正常開展。對任何一所大學來說它的網絡帶寬資源是十分寶貴的,但是BT軟件的使用耗費了大量的帶寬,使得原來一些需要保證的應用受到影響,使用理論的說教往往不能使喜歡這類軟件的人放棄這種喜好,所以有必要對此類軟件從技術手段上進行限制。下面來分析一下BT下載類軟件的工作原理,找到可以用來限制此類應用的依據,然后再進行限制。

首先BT類下載軟件一般使用的端口是固定的一個范圍,常用的范圍是:6881~6890,如果我們能夠在路由器中對這一段的端口進行限制,就可以對此類軟件進行限制了。但是也有一些BT軟件,可以自動更新端口。此類軟件有一個共同的特點是在工作時占用的帶寬很大,往往要超過正常的應用,所以我們從兩個方面對此類軟件進行限制:一個是限制它應用的端口,一個是對異常的流量進行限制。下面就這兩個方面進行配置:

一.使用基于類的路由策略進行控制

1.端口限制: 

access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890

access-list 101 permit any any

2.流量限制:

class-map match-all bt_updown

match access-group 101

policy-map drop-bt_updown

class bt_updown

police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop

二.使用上述的基于類的策略在對付自動變更端口的BT類軟件時有些力不從心,為此,CISCO 路由器提供了專門的PDLM(Packet Description Language Module)包描述語言模塊從協議層上進行對此類軟件使用的協議進行了描述。因此,路由器可以對數據包使用的協議進行分析,當傳輸的數據包符合該協議的描述時路由器可以識別,配合相應的類策略對數據進行控制(如允許通過或丟棄等),從而根本上解決了動態端口的控制弊病。但是由于PDLM模塊屬于非公開資源,CISCO 公司對該資源的下載和傳播進行了嚴格的控制,必須具有CCO資格的路由器用戶方可下載使用。由于該PDLM不屬于路由器的啟動加載項,所以重新啟動路由器時,必須通過TFTP 進行進行手動加載:

ip nbar pdlm tftp://192.168.100.2/bittorrent.pdlm  //bittorent.pdlm為下載的pdlm模塊文件名

class-map match-all bt_updown  //定義類 bt_updown

  match protocol bittorrent  //匹配bittorrent協議
policy-map limit-bt  //定義策略圖 limit_bt

  class bt_updown  //將類 bt_updown 加載到策略圖中作為觸發事件

police cir 240000 conform-action transmit exceed-action drop //定義符合和超載傳輸流大小為240000 bits

police cir 8000 conform-action transimit exceed-action drop
在路由器相應端口上加載服務策略:

 service-policy input limit-bit  //限制下載,流入

 service-policy output limit-bit  //限制上傳,流出

2001年出現的尼姆達病毒(Nimda)、紅色代碼病毒均是蠕蟲病毒,這些病毒借助于網絡進行傳播,傳播的速度快,對感染的計算機破壞強。用戶一旦感染了這種病毒,只要所處的網絡中存在有此類的病毒,一般情況下是很難清除的。這里不想對病毒的工作原理及如何清除這些病毒進行過多的。
論述,而主要討論這些病毒的網絡行為如何在路由器中被識別出來并且使用相應的策略對這些數據包加以阻止或丟棄。

尼姆達病毒在網絡中傳播的主要特征有:

1、利用病毒宿主通過網絡短時間內發送大量的含有“readme.exe”附件的“readme.eml”電子郵件;

2、搜尋以前的IIS蠕蟲病毒留下的后門程序曾經或已經感染紅色代碼病毒(Code Red)并留下了病毒后門,尼姆達病毒就會利用后門程序進行漏洞掃描;

3、通過大量含有病毒的電子郵件的發送和掃描將導致網絡服務產生拒絕服務(DoS)。

在分析尼姆達病毒的主要特征后,可以在路由器上有針對性進行配置以防范和阻止尼姆達病毒的傳播:

a.阻塞端口

access-list 101 deny tcp any eq 25 any eq 25  //阻塞SMTP協議端口

access-list 101 deny tcp any eq 69 any eq 69  //阻塞TFTP端口

access-list 101 deny tcp any eq 135 any eq 135  //阻塞NetBIOS協議

access-list 101 deny tcp any eq 445 any eq 445  //阻塞NetBIOS協議

access-list 101 deny tcp any eq range 138 139 any range 138 139  //阻塞NetBIOS協議

access-list 101 permit any any

b.配置策略圖

class-map match-all nimda  //定義類 nimda

match protocol http url "*.ida*"  //匹配HTTP協議中的url地址中含有.ida關鍵詞

match protocol http url "*cmd.exe*"  //匹配HTTP協議中的url地址中含有cmd.exe關鍵詞

match protocol http url "*root.exe*"  //匹配HTTP協議中的url地址中含有root.exe關鍵詞

match protocol http url "*readme.eml*"  //匹配HTTP協議中的url地址中含有readme.eml關鍵詞

policy-map block_nimda  //定義策略圖 block_nimda

class nimda  //將類 nimda 加載到策略圖中作為觸發事件

police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定義路由器速率限制策略
結束語:上述所有基于QoS的路由器配置在思科2621XM路由器上測試通過。通過測試,不但可以明顯減輕BT、Nimda等病毒對網絡的沖擊和對網絡資源的大量消耗,保護正常計算機用戶對網絡資源的需求,同時也可以有效防止其他類似的網絡蠕蟲病毒的攻擊,實際價值非常明顯;但是如果你想將BT完全封掉,可以考慮購買專門的P2P限制軟件,國內諸如聚生網管(http://www.glldhx.tw)之類的網管軟件,在控制P2P方面非常不錯,可以將BT完全封掉;實際測試中,我們還發現思科的路由器在控制新興的P2P軟件方面不是十分有效,如迅雷(包括web迅雷),下載速度遠遠超過傳統的P2P軟件,是當前下載速度最快的P2P軟件,由于采用了多協議交叉下載的方式,所以通過規則匹配的效果不是十分明顯。在這方面聚生網管較為強悍,可以將迅雷完全封掉,在國內還是比較領先的。

總之,路由器控制帶寬,路由器控制流量,路由器控制電腦上網,路由器限制網速,路由器限制流量,路由器帶寬限制功能,路由器流量限制功能,路由器上網控制,路由器網絡管理,路由器網絡監控,路由器限制上網速度,路由器監控網速,路由器限定流量等面臨著很多不足和弊端,同時效果也大打折扣。我們建議企業網管人員可以選擇專門的網管軟件來限制上網速度,控制電腦流量,限制局域網流量,效果更好,操作也更為簡單。

相關鏈接:

聚生網管網吧電腦控制軟件功能詳細介紹:http://www.glldhx.tw/ProductShow104.htm

即可下載聚生網管試用:http://www.glldhx.tw/download/grabsun.rar

 

 

相關鏈接:聚生網管專業禁止BT下載、限制QQ、封堵大智慧,屏蔽QQ游戲,防ARP欺騙!點擊這里查看詳情!
打印本頁 || 關閉窗口

版權所有 2005-2008 聚生網管公司 版權所有,盜版必究
京ICP備05068297號

白姐大型六合图库