P2P下载控制
P2P下载为人们快速共享文件提供了极大的便利,但其强占带宽资源的特性却常常影响正常的业务数据传输。因此P2P是让人又爱又恨的网络技术。在内部网P2P下载泛滥时你甚至想揪出P2P技术的发明者痛斥一顿,而当你想要下载一部经典老片时,你脑海里第一个浮现的工具可能是迅雷或BT或者电驴。
P2P技术对带宽资源的争用使局域网有限的带宽被耗尽,无论你的带宽是1M、10M还是100M,只要缺乏对P2P的有效管理,你内网的用户永远会抱怨带宽不够。P2P的封堵应该是所有相关系统都需要关注的问题。
对P2P常用的封堵方法是端口封锁和种子服务器地址(IP)封锁。通过在访问控制列表(ACL)中对6881-6890端口、6969端口的封堵,可以实现对一些使用静态端口的P2P软件的封锁。但更多的BT类软件尤其是迅雷在端口被封后会尝试使用HTTP的常用端口来进行连接,例如8080,8000,甚至80端口,一味的端口封锁将会导致某些正常HTTP服务无法使用。而种子服务器的封锁是一种吃力不讨好的体力活,每天涌现出的大量种子服务器会让网管人员忙得焦头烂额。
一、更有效的封堵方法是基于应用协议和数据包特征的分析,深度内容检测服务(ThoroughContentDetection,TCD)可以对迅雷及其它BT类应用的数据包进行深入检测。TCD通过分析IP数据包首部的服务类型、协议、源地址、目的地址以及数据包的数据部分,实现了从三层到七层的全面内容检测,能够更好地发现哪些服务是P2P类应用。
二、由于TCD技术将对数据包进行深入分析,当内网用户发出的会话较多时,网关设备也将花费较多的资源来处理更多的数据包。为了避免大量的数据包分析带来的资源消耗,我们采用了网络流量智能分析技术(NetworkTrafficIntelligenceAnalysis,NTIA)。区别于端口封堵和内容检测,NTIA技术将对每一个用户的网络连接情况进行分析,当网络流量和网络连接超出聚生网管系统系统规定的阀值时,用户的P2P下载和上载带宽将被限制。
管理员对P2P文件下载或上载的管理可以采取三种策略:
1、是允许下载,这是对VIP和紧急用户的非常选项;
2、是拒绝,你可以选择对某项P2P服务彻底封堵;
3、是流量控制,即内网的用户可以使用P2P类软件,但他们产生的带宽能够被控制在一个可以接受的范围内。
智能抑制P2P下载,发现某主机进行P2P传输时自动限制其带宽,停止P2P传输时自动放开其带宽。即发现某个局域网主机进行迅雷下载时,系统能够智能抑制网络流速到某一个管理员指定的值,如果这个主机继续进行下载,其流速也只能在管理员限定的流速内进行;等主机取消或者下载完毕后,网络流速又可以自动恢复正常水平,即不受限制的水平;这样既防止了单一主机因为过高的流速可能影响到其他主机的流速,又便于管理员在某些情况下许可一些占用较多公网带宽的网络活动,方便了管理。
目前我们能够准确识别并进行控制的P2P类软件是最多的,并可实时增加。
例如:迅雷、BT、百度下吧、BitComet、Bittorrent、比特精灵、电骡Edonkey、Vagaa哇嘎画时代、脱兔、快车FlashGet、腾迅超级旋风、网络传送带。
网络电视控制
观看网络电视、在线视频同样也是一个组织需要进行网络管理的内容,我们的系统支持大量的在线视频控制软件。
例如:PPLive、PPStream、QQLive、UUSee悠悠网络电视、PPVODPP点播、沸点网络电视等。
网页视频、在线视频控制
通过访问视频网站、看在线视频,是当前企事业单位员工上网的一个普遍现象,而这些视频网站由于采用P2P缓冲技术和流媒体技术,因此对企事业单位带宽的消耗也极为可观。因此必须限制在单位局域网看网页视频、在线视频的行为。目前聚生网管可以屏蔽国内主流的视频网站。
例如:56.com、6.cn、tudou.com、youku.com、kugou.com、cctv.com、tv.qq.com、tv.sohu.com、video.baidu.com、video.qq.com、video.sina.com、cntv.cn
聚生网管控制P2P下载、P2P视频和网页视频
网络游戏控制
网络游戏已经成为网络应用一个重要方面,有60%的网络用户都常常玩网络游戏,然而不分时间不分场合的娱乐,对工作有明显的影响。使用大势至聚生网管系统,您可以制定精细化的网络娱乐控制管理策略,引导员工在合适的时间做合适的事。
我们的系统可以控制大量主流网络游戏。
例如:QQ游戏、QQ农场游戏、开心网游戏、人人网游戏、联众游戏、三国杀游戏、游戏茶苑、劲舞团、中国游戏中心、跑跑卡丁车游戏、魔兽世界游戏、斗地主游戏、同城游戏、蜀门Online游戏、华夏QQ游戏等。
聚生网管限制网络游戏管理图
网络炒股控制
越来越多的应用在通过互联网实现,无论是工作、娱乐、生活都将涉及在内,然而在特定的环境下某些网络应用可能需要控制。尤其是网络炒股将花费大量的员工时间,因此对网络炒股的有效控制是一些组织的必然选择,真正发挥互联网的效用。
聚生网管系统能够对大量的常用网络炒股软件进行控制。
例如:国信证券、通达信、广发证券至强版、龙卷风专业级证券行情接收及分析软件、飞狐、飞狐期货、同花顺、光大证券天网、神网E通、中信证券、证券之星、钱龙、大福星、大智慧、华林证券等。
聚生网管拦截股票软件示意图
网络购物控制
当前在企事业单位局域网中,员工上班时间上网购物的现象极为普遍,这一方面占用了公司的网络带宽,另一方面也占用了员工的工作时间,导致员工工作效率下降,影响了企业的正常运转。为此,聚生网管系统在新版本中增加了对主流网络购物网站的控制,用户只需要勾选就可以完全屏蔽主流购物网站,从而实现禁止员工上班时间网购的行为。如下图所示:
图:聚生网管禁止网络购物、限制上网购物的行为
网盘控制和电子邮件的控制。
为了保护企业的商业机密,防止员工通过网盘、电子邮件等泄露出去,聚生网管系统还集成了对国内所有主流的网盘、电子邮件的控制,可以完全禁止所有网盘和所有邮件的使用。如下图所示:
图:聚生网管禁止网盘和禁止微博的功能
图:聚生网管禁止邮件、禁止邮件附件发送的功能
无线路由器、随身wifi的控制
当前,在企业局域网中,员工经常会将无线路由器、随身wifi等设备接入到公司的局域网中,然后通过无线路由器和随身wifi形成的无线上网信号来让自己的手机、平板电脑等智能上网设备进行无线上网的行为。这一方面占用了公司的网络带宽,尤其是员工经常用手机、平板电脑下载电影等大型影视娱乐文件;另一方面员工上班时间玩手机和平板电脑的行为,也极大地占用了员工的工作时间,降低了工作效率,不利于员工正常工作的开展。为此,聚生网管系统新增了“自动检测并自动禁用局域网无线路由器”的功能、“自动检测和自动禁用局域网随身wifi的功能”以及“自动禁止局域网手机和平板电脑上网”的功能,通过上述网络控制功能,可以有效禁止网络不适当扩展,保护网络资源,防止蹭网、防止网络资源滥用,规范员工上网行为。如下图所示:
图:聚生网管禁止局域网无线路由器、禁止手机平板无线上网、局域网禁用随身wifi的功能
图:聚生网管禁止手机无线上网、禁止平板电脑使用
图:聚生网管禁止随身wifi、屏蔽wifi共享精灵的使用
通用应用控制
我们的大势至聚生网管系统开发团队正不断地分析各种最新出现的应用软件,对上述的各种网络应用的控制,其可以控制的软件清单随着网络应用的发展而清单不断增加。
由于应用无穷无尽,尤其是一些具有地域性的小型应用,我们不可能全部穷举,对这些网络应用如果需要控制,我们提供了一个动态的ACL控制规则定义系统,对于具备一定网络知识的管理人员均可以使用。系统能够对定义好的ACL规则进行数据包分析,符号条件的通讯将被阻断。
通过ACL规则,你可以设置包括IP源地址、IP目标地址、协议号(TCP/UDP)、端口范围等参数的规则,系统将自动拦截符合规则的数据报文,通过使用ACL规则,你可以轻松的实现控制功能的灵活扩展。如控制局域网任意主机IP对任意公网IP的访问;控制您需要控制的应用工具、控制任意的网络游戏……。
聚生网管系统ACL访问控制设置图
对于有特殊要求的机器如财务或其它重要机器,可以设置只允许访问的ACL控制规则,不在允许范围内的全部拒绝访问,以便减少外部病毒或黑客软件入侵的可能性。
针对内部网络管理有时不是很安全的实际情况,以及外部非法系统的主动入侵问题,我们提供了禁止外部访问内部的功能,阻断外部主动对内部的访问。
扩展功能
聚生网管系统在提供一站式、全方位上网行为管理功能之外,又集成了一系列的扩展插件,这些插件与聚生网管系统相互配合,可以帮助企事
本文地址:http://www.45fan.com/a/question/87710.html