本文简介:本文主要为大家整理了 “防火墙” 相关的内容,主要有 防火墙控制BT的几种方法, 巧设ISA防火墙客户端限制SKYPE使用, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。
1、防火墙控制BT的几种方法
BT占用网络资源。用智能防火墙限制BT,让网络重新变成畅通大道。
BT下载软件以其独特的优势受到广大用户的喜爱,但是,在一些环境下完全有必要严格限制用户的BT下载流量或完全禁止BT下载。由于BT影响的主要是网络出口带宽,目前通常是由防火墙设备来对BT进行控制,下面就以港湾网络的SmartHammer系列智能防火墙产品来说明控制BT的几种方法。
1.限制浏览BT网站针对比较热门的BT网站,在防火墙上配置URL过滤规则,之后,在出接口上启用过滤HTTP_Filter功能,禁止对它们的访问即可。
2.禁止访问Tracker服务器在防火墙的图形管理Syslog(日志)中,可以查询到关于HTTP信息的所有记录,如果有BT下载,则在日志中发现相应的HTTP报文,根据报文内容可以得到Tracker服务器信息,然后可以在防火墙中配置规则,禁止内部用户访问该服务器。
Tracker服务器的数量应该远少于热门BT网站的数量,很多网站都是转的其他网站的Torrent,如果可以找出这些Tracker服务器的地址,这是一种非常有效方法。防火墙有图形化管理界面,有详细的日志记录功能,根据查询日志可以很容易找到Tracker服务器。
中国网管联盟
3.封闭BT下载端口解决BT对局域网的危害,较彻底的方法是不允许进行BT下载。BT一般使用TCP的6881-6889的端口,可以在防火墙中把一些特定的种子发布站点和端口封掉,在BT下载软件的Tracker中可以获得这些信息;但是现在大多数BT软件可以修改端口号,因此网管可以根据实际情况,在不影响正常业务的情况下尽可能将封闭的端口范围扩大,把一些特定的种子发布站点和端口进行封闭。
4.限制用户带宽限制每个用户使用的网络带宽,可以明显缓解BT对网络的危害;同时,对于一些运营性网络,完全禁止BT使用是不合理的,限制每个BT的使用带宽就成为一个比较好的选择。防火墙可以针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级限制为5(0较高,7较低),带宽限制为64Kbps.这样可以确保BT软件使用的同时不会影响其他业务的开展。
5.限制较大连接数可以通过防火墙的IP Inspect特性来限制TCP较大连接数,从而达到控制BT对网络带宽的占用。采用IP Inspect特性还可以限制较大流数,同样起到控制BT对网络带宽占用的目的。
6.使用HTTP代理对应用层协议进行过滤在HTTP请求报文中,携带了BT的特征值User-Agent:BitTorrent,因此,如果HTTP-Filter能够将具有该特征值的HTTP的数据包过滤掉,BT客户端便无法进行Tracker查询,Tracker服务器便无法将peers列表返回给BT客户端,从而有效阻截BT下载。
防火墙能够有效地过滤特定的应用层数据包(如HTTP数据包),然后根据BT数据包中的关键字,就完全可以从HTTP数据包中过滤BT数据包。
总之,防火墙禁止BT下载,防火墙限制BT下载,防火墙监控BT下载,防火墙过滤BT下载,防火墙控制BT下载,防火墙屏蔽BT下载,防火墙阻断BT下载,防火墙拦截BT下载,封堵BT下载,禁用BT下载,禁BT下载,限BT下载,封BT下载,禁BT下载,限BT下载,封BT下载,BT下载端口,BT下载协议,BT下载服务器IP,如何控制BT下载,如何禁止BT下载,如何限制BT下载,如何封堵BT下载,如何监控BT下载,如何管理BT下载等等这些功能,聚生上网管局域网流量控制软件可以实现!
2、巧设ISA防火墙客户端限制SKYPE使用
很多ISA管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用QQ聊天,有的企业不希望用户使用BT下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。
防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手嘛,呵呵,反正俺是绕着走…
实验拓扑如下图所示,Denver是contoso.com的域控制器,Perth是域内工作站,Beijing是域内的ISA2006服务器,此次的实验目的是限制使用即时通讯软件SKYPE。
我们的实验思路是:
1 迫使客户机使用防火墙客户端
2 利用防火墙客户端禁止特定程序
一 迫使客户机使用防火墙客户端
由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但ISA的代理方式有三种,Web代理,防火墙客户端和SNAT,怎么才能让用户放弃其他两种选择呢?
首先我们先要禁止用户使用Web代理,想做到这一点很容易,只要在ISA上关闭Web代理就可以了。在ISA服务器上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理, 展开 配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。
要禁止客户机使用SNAT就要动动脑筋了,我们可以利用SNAT不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃SNAT。如下图所示,现在的访问规则中允许所有用户任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。
编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有通过身份验证的用户”添加进来。
由于修改后的访问规则要求用户提供身份验证,但SNAT客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。
二 利用防火墙客户端禁止特定程序
现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用SKYPE,SKYPE是一款功能非常强大的通讯软件,它的分布式计算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制SKYPE,在没限制之前,客户机的SKYPE可以正常使用,如下图所示。
打开ISA服务器管理,展开 配置-常规,点击“定义防火墙客户端设置”,如下图所示。
在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。
Skype的可执行文件名为skype.exe。在新建的应用程序项目中,我们在应用程序中输入skype,不用输入skype.exe,键选择“Disable”,值选择“1”。从字面意义来看是禁止使用skype。
添加了应用程序设置后,重启客户机,然后启动skype进行测试,如下图所示,skype一直在尝试连接,但始终连接不上,实验成功。
但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将skype.exe修改为myskype.exe。
修改用户名后,再次启动skype,如下图所示,skype很轻松地突破了防火墙客户端的限制。
综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但较好辅助其他技术手段,例如用组策略禁用软件等,这样效果才能更好。
其实,无论是通过防火墙Skype聊天,防火墙限制Skype聊天,防火墙过滤Skype聊天,防火墙监控Skype聊天,防火墙控制Skype聊天;还是通过路由器禁止Skype聊天,路由器限制Skype聊天,路由器过滤Skype聊天,路由器监控Skype聊天,路由器控制Skype聊天,都变得不太现实,同时操作也极为复杂。
总之,禁止Skype聊天,限制Skype聊天,监控Skype聊天,过滤Skype聊天,控制Skype聊天,屏蔽Skype聊天,阻断Skype聊天,拦截Skype聊天,封堵Skype聊天,禁用Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,Skype聊天端口,Skype聊天协议,Skype聊天服务器IP,如何控制Skype聊天,如何Skype聊天,如何限制Skype聊天,如何封堵Skype聊天,如何监控Skype聊天,如何管理Skype聊天等等这些功能,聚生上网管局域网流量控制软件可以实现!