果冻玩局域网(48):严禁网内P2P
网络通信
最近,分公司的很多同事热衷于使用P2P工具进行下载,导致分公司的网络带宽被大量占用,部门经理大发雷霆,命令网管小胖对网内的P2P下载进行限制。虽然小胖知道同事们工作很辛苦,找点“乐子”放松一下也未尝不可,但为了保住饭碗,他又不得不进行限制。于是,小胖请来了“高手”果冻帮忙……
一、结合实际,制定方案
果冻首先了解了一下内网的具体情况,在小胖管理的局域网中,所有员工共享一条通信线路上网,网络总带宽是固定的。由于很多员工使用P2P工具下载文件,占用了大量的带宽资源,所以才会影响到分公司的正常运转。
由于P2P工具的种类比较多(如BT下载工具、电骡eMule等),它们使用的本地端口范围也各不相同,想要封闭P2P下载是一件不容易的事情。
果冻实地查看了局域网环境,发现所有的员工都是通过Kerio WinRoute Firewall(简称KWF)的NAT功能共享上网。“聪明绝顶”的果冻立刻想到了一个好办法。原来,KWF防火墙内置了一个“P2P终结者”功能,可以利用该功能对P2P下载进行限制。
果冻提示:KWF防火墙是一款企业级软件防火墙,它能够给局域网的安全提供可靠保障,它内置了流量策略功能、VPN服务、HTTP数据过滤功能、NAT(网络地址转换)、代理服务功能等。由于它的价格比较低,功能和ISA 2004相比也毫不逊色,因此受到很多中小企业的青睐(下载地址:http://www.winroute.com.cn)。
二、启用“P2P终结者”
KWF防火墙安装在局域网的网关服务器(Windows XP/2003或Windows 2000 Server)中,默认情况下,KWF是没有启用“P2P终结者”功能的,因此需要果冻进行手动启用。
在小胖管理的局域网的网关服务器中,登录到KWF控制台管理窗口。果冻依次点击左侧窗口中的“Configuration→Advanced Options”选项,接着在右侧窗口中切换到“P2P Eliminator”标签页(图1)。
启用“P2P终结者”很简单,在“Peer to Peer Eliminator”框中选中“Block Peer to Peer networks when detected”选项即可。但这时还需要果冻进行更多的设置,使“P2P终结者”在检测到有局域网用户使用P2P工具时,可对这些用户进行相应的限制操作。
当小胖想禁止这些使用P2P工具的用户上网时,只要选择“Block all traffic for the particular host”单选项即可,但这样一来,小胖就会得罪某些同事了。因此,小胖想让这些同事能进行某些正常的操作,只是不能进行P2P下载。例如,他们可以浏览网页和收发电子邮件等。
为了满足小胖的要求,果冻选中“Allow only predefined services”选项,然后点击“Services”按钮,弹出“Services”设置对话框(图2),设置同事们能够进行的操作。这时,果冻只需要将允许的操作选项添加到左侧的“Available Services”框体中即可。完成以上设置后,在“P2P Eliminator”标签页中,点击下方的“Apply”按钮,就可启用“P2P终结者”功能。禁用“P2P终结者”功能同样简单,取消对“Block Peer to Peer networks when detected”选项的选择,点击“Apply”按钮后即可。
果冻提示:“P2P终结者”通过监控P2P工具使用的本地端口数量,来实现对P2P用户的禁用。它内置了大量的P2P端口,常用的P2P工具端口都包括在内,这样就避免了果冻手工设置P2P工具的端口。默认情况下,当网内用户的P2P工具使用的连续端口数(如使用“6881~6889”段连续端口)超过五个时,“P2P终结者”会自动对这些用户进行各种限制操作。
三、 禁用P2P,要适度
一旦“P2P终结者”对某些用户实施了一次禁用操作,那么这些用户可能以后就无法再进行P2P下载了。如果这只限于上班时间,同事们还无话可说,但在休息时如果不能进行P2P下载,就会引来很多怨言。
为了让小胖与同事们和睦相处,果冻打算给P2P禁用功能设置一个时间限制参数。
给P2P禁用功能设置一个时间限制,其实就是设置“P2P终结者”功能的作用时间。果冻在“P2P Eliminator”标签页选中“Inform user”选项,然后在“Block traffic for”栏输入了一个合适的限制时间值(如“120”,单位为分钟),这样被禁止P2P下载的用户,在120分钟后就能恢复正常(包括恢复P2P下载),不再受“P2P终结者”功能的制约。当然,小胖会在下班时停止使用“P2P终结者”。
果冻提示:“P2P终结者”功能的限制时间值要根据局域网的具体情况来定。对于有某些特殊需要的局域网环境,要想彻底禁止员工使用P2P工具进行下载,只需要取消对“Inform user”选项的选择即可。
四、添加P2P端口,很简单
P2P工具种类繁多,每隔一段时间都可能有新的P2P工具推出,而且这些工具使用的端口范围也各不相同。如果“P2P终结者”内置的端口库中没有这些端口,它就无法有效禁用P2P工具。不过让果冻和小胖庆幸的是“P2P终结者”提供了手工指定端口的功能。
如果默认的端口库参数不能满足禁用P2P工具的需要,这时就可以自行定义端口范围。在“P2P Eliminator”标签页中,点击下方的“Advanced”按钮,进入P2P网络设置对话框(图3)。如果某些P2P工具使用的端口没有包括在其中(如“6345~6348”),你可在“P2P networks port(s)”栏中手工添加这些端口(注意:每个端口范围段之间要使用“,”隔开)。此外,默认情况下,当P2P工具使用的端口超过5个时,“P2P终结者”才会对它进行禁用。如果你觉得默认的设置(5个端口数)不合理,可以在“Connection count”栏中自行定义,输入合适的端口数值即可(如“4”),完成端口设置后,点击“OK”按钮可保存参数。
果冻提示:为了保证“P2P终结者”对P2P工具的有效禁用,果冻建议小胖要经常留意同事们使用什么样的P2P工具,还要知道这些P2P工具使用了哪些端口号,如果内置的端口库中不包含这些端口,必须立刻进行手工添加。
最后,果冻还提醒小胖,每次完成“P2P终结者”的参数设置后,都不要忘记在“P2P Eliminator”标签页中点击“Apply”按钮,使修改后的参数设置生效。
有了果冻的热心指导和“P2P终结者”的帮助,小胖再也不用为P2P工具占用大量网络带宽而烦恼了。上班的时候,小胖会启用“P2P终结者”功能,禁止网内用户使用P2P。下班后,小胖会取消该功能,让同事们尽情下载。既不影响工作,又不会引来同事的埋怨,何乐而不为?