让网络运维人员最头疼的问题恐怕是BT的使用了。其负面影响众所周知:少数用户使用BT软件将占用大量的带宽,而影响局域网内大多数正常网用户的使用;甚至是局域网中只要有人开了BT,其他人连正常的网页浏览都不能够保证。即BT占用网络资源太多,造成网络资源紧张。
目前很多企业,都存在着员工利用工作时间通过局域网不分时间段地、无节制地使用BT、电驴等软件下载与工作无关资料,因这些软件的使用造成数据流量大增,极大地占用了局域网的互联网出口带宽,从而影响了全体工作人员的正常办公工作。
与此同时,用BT下载还常常容易遭遇病毒风险,据国家信息安全部门的统计,大约60%的病毒都是通过BT下载传播的,从而加大了企业局域网安全风险;同时,用BT下载大量的电影、音乐等文件,大都没有经过版权部门的许可,这无疑将给企业带来一定的法律风险,为企业形象埋下了隐患。
目前,在局域网内封堵BT下载应用的方法一般如下:
1、利用企业的宽带路由器设备,通过设置限定用户上传、下载的速率限制。IXPUB网友就曾介绍道:“我们网吧的用的艾泰路由器,里面有个上传下载的速率限制,我限制了上传256k,下载1M,现在没事了,bt不影响了。”利用屏蔽端口来封堵BT下载
2、屏蔽网络端口。网管人员若熟知BT软件使用的端口,可以利用防火墙等设备将其下载通讯的端口屏蔽掉,相信内部人员的BT下载,也就会随之关闭掉了,从而即可解决BT滥用的严重问题。
3、用ISA封杀BT下载。因为ISA是根据下载的特性进行封杀,它可以采用最为专业的封杀软件,能够从多个角度对BT的下载进行封杀,从而使其下载功能彻底失去了自身的作用。
针对目前最为专业的ISA封杀软件Microsoft Internet Secu-rity and Acceleration Server,以下简称ISA。你如果要想限制下载的种子文件,可以添加一条HTTP规则,并且将其种子扩展名加入到“阻止制定的扩展名”即可。当然此方法用户只需要浏览网页发布的BT下载资源,就可轻松破解。那么这里你就需要再增加一条,禁止用户打开BT下载的网站规则,这样才能将其想要依靠网页发布BT下载的用户封杀掉。
但是倘若企业用户不依靠种子和网页发布的BT下载资源,来进行BT下载文件,想必上面两种限制也就失去了它本质的作用,因此这就需要你根据数据包的特性进行协议过滤,方能彻底限制住关于BT的下载操作。这里需设置访问策略,并且对其HTTP协议进行签名过滤,比如还拿刚才BT下载为例,查找数据包的请求,在指定阻止的签名中填入BT使用的数据包请求,这样当数据包中含有你想要阻止的数据请求,就会自动被ISA所丢弃,导致其企业员工的BT下载也就无法进行。
4、使用专业安全设备进行管理。以华3新推出的H3C UTM统一威胁管理设备可以很好的满足用户的需求,H3C SecPath系列UTM设备可以根据应用层特征对流量进行识别,并帮助用户控制网络中的非法流量如BT等BT下载。此外,此产品还可以对网络游戏、IM即时通信、炒股等软件进行限制;而且如果客户需要,还可提供用户上网行为审计功能,全面记录用户上网行为,为事后取证提供完备的依据。
【编辑推荐】
怎么局域网控制
聚生网管软件1.下载控制:系统可以完全禁止各种P2P下载,如BT、eMule(电驴)、迅雷等;又可以禁止任意的HTTP下载、FTP下载。 2.流速(带宽)管理:系统可以查看、控制局域网任意主机的上、下行带宽、并可对主机报文进行分析。 3.流量管理:系统可以控制局域网任意主机的上、下行流量和总流量。 4.聊天管理:系统可以控制QQ、MSN、网易泡泡、新浪UC等主流的聊天工具,以及其他任意聊天工具。 5.网址访问管理:支持对WWW的完全控制、黑白名单控制、以及对局域网主机充当代理服务器的控制。 6.门户网站邮箱许可功能。 国内唯一可以许可局域网主机使用任意门户网站的邮箱,但禁止点击网站其他链接的监控软件。
请问怎么突破局域网限制迅雷下载?谢谢!
既然限制了就没有太好办法解决,建议直接和网管面对面pk! 刚刚看了篇文章觉得很适合你!只是里头提到的软件我还不太会用哈哈,lz慢慢自学吧! 谈对局域网用户的限制技术和反限制技巧 可能现在对局域网上网用户限制比较多,比如不能上一些网站,不能玩某些游戏,不能上MSN,端口限制等等,一般就是通过代理服务器上的软件进行限制,如现在谈的最多的ISA Server 2004,或者是通过硬件防火墙进行过滤。 下面谈谈如何突破限制,需要分限制情况进行说明: 一、单纯的限制某些网站,不能访问,网络游戏(比如联众)不能玩,这类限制一般是限制了欲访问的IP地址。 对于这类限制很容易突破,用普通的HTTP代理就可以了,或者SOCKS代理也是可以的。 现在网上找HTTP代理还是很容易的,一抓一大把。 在IE里加了HTTP代理就可以轻松访问目的网站了。 二、限制了某些协议,如不能FTP了等情况,还有就是限制了一些网络游戏的服务器端IP地址,而这些游戏又不支持普通HTTP代理。 这种情况可以用SOCKS代理,配合Sockscap32软件,把软件加到SOCKSCAP32里,通过SOCKS代理访问。 一般的程序都可以突破限制。 对于有些游戏,可以考虑Permeo Security Driver 这个软件。 如果连SOCKS也限制了,那可以用socks2http了,不会连HTTP也限制了吧。 三、基于包过滤的限制,或者禁止了一些关键字。 这类限制就比较强了,一般是通过代理服务器或者硬件防火墙做的过滤。 比如:通过ISA Server 2004禁止MSN ,做了包过滤。 这类限制比较难突破,普通的代理是无法突破限制的。 这类限制因为做了包过滤,能过滤出关键字来,所以要使用加密代理,也就是说中间走的HTTP或者SOCKS代理的数据流经过加密,比如跳板,SSSO, FLAT等,只要代理加密了就可以突破了, 用这些软件再配合Sockscap32,MSN就可以上了。 这类限制就不起作用了。 四、基于端口的限制,限制了某些端口,最极端的情况是限制的只有80端口可以访问,也就只能看看网页,连OUTLOOK收信,FTP都限制了。 当然对于限制几个特殊端口,突破原理一样。 这种限制可以通过以下办法突破,1、找普通HTTP80端口的代理,12.34.56.78:80,象这样的,配合socks2http,把HTTP代理装换成SOCKS代理,然后再配合SocksCap32,就很容易突破了。 这类突破办法中间走的代理未 加密。 通通通软件也有这个功能。 2、用类似FLAT软件,配合SocksCap32,不过所做的FLAT代理最好也是80端口,当然不是80端口也没关系,因为FLAT还支持再通过普通的HTTP代理访问,不是80端口,就需要再加一个80端口的HTTP 代理。 这类突破办法中间走的代理加密,网管不知道中间所走的数据是什么。 代理跳板也可以做到,不过代理仍然要80端口的。 对于单纯是80端口限制,还可以用一些端口转换的技术突破限制。 五、以上一些限制综合的,比如有限制IP的,也有限制关键字,比如封MSN,还有限制端口的情况。 一般用第四种情况的第二个办法就可以完全突破限制。 只要还允许上网,呵呵,所有的限制都可以突破。 六、还有一种情况就是你根本就不能上网,没给你上网的权限或者IP,或者做IP与MAC地址绑定了。 两个办法: 1、你在公司应该有好朋友吧,铁哥们,铁姐们都行,找一个能上网的机器,借一条通道,装一个小软件就可以解决问题了,FLAT应该可以,有密钥,别人也上不了,而且可以自己定义端口。 。 其他能够支持这种方式代 理的软件也可以。 我进行了一下测试,情况如下:局域网环境,有一台代理上网的服务器,限定了一部分IP, 给予上网权限,而另一部分IP不能上网,在硬件防火墙或者是代理服务器上做的限制。 我想即使做MAC地址与IP绑定也没有用了,照样可以突破这个限制。 在局域网内设置一台能上网的机器,然后把我机器的IP设置为不能上网的,然后给那台能上网的机器装FLAT服务器端程序,只有500多K, 本机通过FLAT客户端,用SOCKSCAP32加一些软件,如IE,测试上网通过,速度很快,而且传输数据还是加密的,非常棒。 2、和网络管理员搞好关系,一切都能搞定,网络管理员什么权限都有,可以单独给你的IP开无任何限制的,前提是你不要给网络管理员带来麻烦,不要影响局域网的正常运转。 这可是最好的办法了。 另外,在局域网穿透防火墙,还有一个办法,就是用HTTPTUNNEL,用这个软件需要服务端做配合,要运行httptunnel的服务端,这种方法对局域网端口限制很有效。 隐通道技术就是借助一些软件,可以把防火墙不允许的协议封装在已被授权的可行协议内,从而通过防火墙,端口转换技术也是把不允许的端口转换成允许通过的端口,从而突破防火墙的限制。 这类技术现在有些软件可以做到,HACKER经常用到这类技术。 HTTPTunnel,Tunnel这个英文单词的意思是隧道,通常HTTPTunnel被称之为HTTP暗道,它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙,实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。 说得简单点, 就是说在防火墙两边都设立一个转换程序,将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙,所以它不需要别的代理服务器而直接穿透防火墙。 HTTPTunnel刚开始时只有Unix版本,现在已经有人把它移植到Window平台上了,它包 括两个程序,htc和hts,其中htc是客户端,而hts是服务器端,我们现在来看看我是如何用它们的。 比如开了FTP的机器的IP是192.168.1.231,我本地的机器的IP是192.168.1.226,现在我本地因为防火墙的原因无法连接到 FTP上,现在用HTTPTunnel的过程如下: 第一步:在我的机器上(192.168.1.226)启动HTTPTunnel客户端。 启动MS-DOS的命令行方式,然后执行htc -F 8888 192.168.1.231:80命令,其中htc是客户端程序,-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口,这个端口可以随便选,只要本机没有占用就可以。 然后我们用Netstat看一下本机现在开放的端口,发现8888端口已在侦听。 第二步:在对方机器上启动HTTPTunnel的服务器端,并执行命令 “hts -f localhost:21 80”,这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下,并且开放80端口作为侦听端口,再用Neststat看一下他的机器,就会发现80端口现在也在侦听状态。 第三步:在我的机器上用FTP连接本机的8888端口,现在已经连上对方的机器了,快点去下载吧! 可是,人家看到的怎么是127.0.0.1而不是192.168.1.231的地址?因为我现在是连接本机的8888端口,防火墙肯定不会有反应,因为我没往外发包,当然局域网的防火墙不知道了。 现在连接上本机的8888端口以后,FTP的数据包不管是控 制信息还是数据信息,都被htc伪装成HTTP数据包然后发过去,在防火墙看来,这都是正常数据,相当于欺骗了防火墙。 需要说明的是,这一招的使用需要其他机器的配合,就是说要在他的机器上启动一个hts,把他所提供的服务,如FTP等重定向到防火墙所允许的80端口上,这样才可以成功绕过防火墙!肯定有人会问,如果对方的机器上本身就有WWW服务,也就是说他的80端口 在侦听,这么做会不会冲突?HTTPTunnel的优点就在于,即使他的机器以前80端口开着,现在这么用也不会出现什么问题,正常的Web访问仍然走老路子,重定向的隧道服务也畅通无阻! 不过,你也下一个,把他的网络流量切断,限制他的全部中文 聊天。 有此功能的软件有:P2P终结者、网络守护神、网络执行官
怎么限制同一局域网的计算机的下载
用网管工具
推荐聚生网管
下载地址:聚生网管系统是聚生科技在深入分析了主流局域网监控软件技术的基础上,经过自主创新和不断测试,最终研发成功的一套优秀的网络监控软件。 聚生网管采用了一机安装,管理全网的透明安装模式,极大地降低了网管人员的维护工作,使得网管人员可以在一台控制机上即可以控制任意一台局域网主机,极大地提高了工作效率。 目前,主流监控软件必须通过代理服务器、智能交换机或者加装HUB进行旁路设置才能保证软件的正常运行。 而聚生网管软件对网络环境没有任何要求,安装部署软件时不需要对原有环境做任何改动,极大降低了进行网络结构改动的不确定性和花费。
聚生网管的特点
1、 不需要任何客户端软件,只需单机安装,就可以控制整个局域网。 聚生网管是B/S架构的监控软件,只需在局域网内的任何一台机器上安装就可以控制整个局域网,不必安装客户端软件或者其他任意网络设备。 2、国内唯一对网络环境没有任何要求的监控软件,安装在局域网任意一台机器上。 当前,主流监控软件必须通过代理服务器、带网管功能的智能交换机或者加装HUB进行旁路设置才能保证监控系统的正常运行。 而聚生网管软件对网络环境没有任何要求,安装部署软件时不需要对原有环境做任何改动,极大降低了进行网络结构改动的不确定性和花费,同时为管理员进行设置、操作管理提供了极大便利。 3、国内唯一可以直接在网络应用层对P2P(如BT、电驴等)数据报文进行封杀,从而不必限制流量、设置文件后缀名、封闭端口和服务器就可以完全封杀局域网任意主机进行P2P下载。 聚生网管使用HTTP代理对应用层协议进行过滤,当局域网主机进行BT下载时,必须进行Tracker查询,Tracker通过HTTP的GET命令的参数来接收信息,而响应给对方(下载者)的是Bencoded编码的消息。 在HTTP请求报文中,携带了BT的特征值User-Agent:BitTorrent。 聚生网管通过虚拟路由技术,对局域网内所有主机所发出的公网应用层数据包进行捕获,并对报文进行分析、过滤,任何主机发出的报文只要含有BT特征符:BitTorrent,都会被拦截、控制;如果报文没有含有BT特征符就不会被拦截,从而能够对BT下载进行精确控制。 现在还有一些BT软件不通过HTTP来获取Peers列表,而是采用TCP/UDP协议,但其BT流中还是包含BitTorrent特征码;聚生网管同样能够对其BitTorrent特征码进行识别,从而使得管理员对BT的控制变得极为方便。 4、 国内唯一可以智能抑制P2P下载的网络监控软件即发现某个局域网主机进行BT下载时,系统能够智能抑制网络流速到某一个管理员指定的值,如果这个主机继续进行下载,其流速也只能在管理员限定的流速内进行;等主机取消或者下载完毕后,网络流速又可以自动恢复正常水平,即不受限制的水平;这样既防止了单一主机因为过高的流速可能影响到其他主机的流速,又便于管理员在某些情况下许可一些占用较多公网带宽的网络活动,方便了管理。 5、国内唯一可以实时控制局域网任意主机流速的监控软件,而不仅仅是控制主机流量。 流速的概念是每一个时刻公网传输的报文总数,是一个动态的数值;而流量是一段时间内公网传输的报文总数。 如果管理员给某个主机设定了一天10M的网络流量,如果此主机的使用者在一小时内通过BT下载了(或者通过其他下载、或者因为其他网络活动)10M的资料,而且是工作之需,那么他今天就不可以再访问因特网(除非管理员给他重新增加流量),因为他已经用完了自己的网络流量,并且因为他可能在较短的时间内大量的下载,所以在他进行下载时还可能影响到其他主机的网络流量;而通过聚生网管你可以实时查询局域网其他主机的流速,当某个主机进行频繁的网络活动,或者进行超量下载时,管理员可以实时检测到,并且给这个主机进行限速,就是降低这个主机的公网传输报文(如果是BT下载,系统还能够智能限制,不必手工调整),这样一方面可以保证这个主机正常的工作继续进行(如果是下载与工作无关的资料,管理员甚至完全禁止他进行网络访问),又防止了他的过量下载会影响到其他主机的网络流速。 同时管理员也可以一次性地为所有主机设定相同的公网流速(同时也可以为任意主机设定上、下行流量及总流量),这样无论局域网内的任何主机进行网络访问或者下载资料,任何主机都不会超过既定的网络流速,从而也不会影响到其他主机的流速。 6、国内唯一可以许可局域网主机使用任意门户网站的邮箱,但禁止点击网站其他链接的监控软件。 聚生网管通过智能识别,集成类似于ACL访问规则的功能模块,能够对用户访问各大门户的邮箱进行精确的控制,如:sina、sohu、网易、yahoo、中华网等邮箱,局域网用户可以利用这些门户的邮箱进行收信、写信、发信,但不能点击门户网站的任意其他链接,包括信箱里面的任何链接。 例如:管理员可以许可局域网任意主机访问yahoo的邮箱,可以查信、写信、收信,但是却不可以点击yahoo网站的其他内容、包括邮件里面的任意链接。 7、国内唯一可以对网址进行精确控制的监控软件聚生网管集成的网址控制功能包括白名单和黑名单。 管理员可以添加任意某一个网址做为白名单,则局域网任意主机只能访问此网址及其所有的二级页面;管理员也可以设定某一个单一的页面,作为白名单,则局域网主机只能访问此单一设定的页面;管理员可以设定某一个网址的某一个频道作为白名单,则局域网主机只能访问这个网站的这个频道主页及其频道内的所有二级页面。 如果管理员设定某一个网址为黑名单,则这个网址的主页及其所有的二级页面都将被完全禁止;如果管理设定这个网址的某一个页面为黑名单,则局域网主机就不能访问此页面,但可以访问其他所有的页面;管理员也可以设定网站的某一个频道为黑名单,则这个网站的这个频道的主页及其所有的二级页面都不可以被访问,但不影响局域网主机访问其他的所有频道和页面。
8、国内唯一可以通过对任意行业类别的网站进行屏蔽的监控软件。 为了满足不同的企事业单位对网址屏蔽的管理功能,聚生网管提供了网址搜索爬行程序,通过爬行程序,管理员可以检索整个互联网某一个行业的所有的网站,然后可以直接导入到软件里面,设置为白名单和黑名单,以此来控制局域网主机的网站访问权限。 9、国内对聊天工具控制最为严格的软件目前流行的聊天工具为了防止被管理软件屏蔽,纷纷采用80端口作为即时通讯的传输端口,由于80端口是通往因特网的必经端口,所以现在依靠传统屏蔽聊天工具端口的方法已经失效;同时现在的聊天工具为了满了满足日益增长的用户量、提供高效的传输速度,而大量增加服务器,从而使得屏蔽服务器来屏蔽聊天工具的方法变得更加复杂;同时一些聊天工具采用UDP通讯协议(如QQ),而目前国内的监控软件一般只能封堵TCP协议,从而使得对某些聊天工具的控制已经失效。 而聚生科技独创的报文分析技术,可以对所有即时工具所传输的报文进行分析,不管来自那个端口,那个服务器,或者采用何种通讯协议,只要这些聊天工具传输的报文带有了这些聊天工具的数据特征就会被系统识别,并进行拦截,从而能够屏蔽任意的聊天工具。 10、国内对网络传输控制最为严格的软件通过本系统集成的“ACL访问规则”功能,可以从端口、协议、报文、IP等四重屏蔽技术,可以拦截任意的网络游戏、任意的网络传输活动、任意远程、本地IP、任意端口,从而可以对各种网络活动进行全面的控制。 11、国内唯一可以检测到局域网终结者、网络执法官、网络剪刀手等当前对局域网危害最为严重的三大工具攻击的监控软件。 局域网终结者、网络剪刀手、网络执法官是目前对局域网危害最为严重的攻击工具,他们可以在几秒钟内让局域网内的某一个主机或者整个局域网掉线。 由于这些攻击工具采用了windows的底层协议进行攻击,所以当前无论多么先进的防火墙、杀毒软件都无法检测和防止,而聚生网管采用了独创的ANTISNIFFER技术,直接在应用层对数据报文进行分析,能够识别出这些攻击工具的数据报文,并对他们的攻击行为形成详细的记录,从而能够使得管理员迅速定位到攻击机器,采取相关措施,把损失降到最低限度。 12、国内操作最简单的网络监控软件聚生网管的功能模块一目了然,操作非常简单,不需要掌握任何计算机知识,也不需要经过任何培训,管理员只要点击几下鼠标,就可以完全实现对任意控制项目的控制,从而能够适合各个层次的管理员的使用。
发表评论