用防火墻控制杜絕BT的幾種方法

2019-11-04 12:11:09

字體：大中小

來源：轉載

供稿：網友

　　BT占用網絡資源。用智能防火墻限制BT，讓網絡重新變成暢通大道。

　　BT下載軟件以其獨特的優勢受到廣大用戶的喜愛，但是，在一些環境下完全有必要嚴格限制用戶的BT下載流量或完全禁止BT下載。由于BT影響的主要是網絡出口帶寬，目前通常是由防火墻設備來對BT進行控制，下面就以港灣網絡的SmartHammer系列智能防火墻產品來說明控制BT的幾種方法。

1.限制瀏覽BT網站

　　針對比較熱門的BT網站，在防火墻上配置URL過濾規則，之后，在出接口上啟用過濾HTTP_Filter功能，禁止對它們的訪問即可。

2.禁止訪問Tracker服務器

　　在防火墻的圖形治理Syslog（日志）中，可以查詢到關于HTTP信息的所有記錄，假如有BT下載，則在日志中發現相應的HTTP報文，根據報文內容可以得到Tracker服務器信息，然后可以在防火墻中配置規則，禁止內部用戶訪問該服務器。

　　Tracker服務器的數量應該遠少于熱門BT網站的數量，很多網站都是轉的其他網站的Torrent，假如可以找出這些Tracker服務器的地址，這是一種非常有效方法。防火墻有圖形化治理界面，有具體的日志記錄功能，根據查詢日志可以很輕易找到Tracker服務器。

3.封閉BT下載端口

　　解決BT對局域網的危害，最徹底的方法是不答應進行BT下載。BT一般使用TCP的6881－6889的端口，可以在防火墻中把一些特定的種子發布站點和端口封掉，在BT下載軟件的Tracker中可以獲得這些信息；但是現在大多數BT軟件可以修改端口號，因此網管可以根據實際情況，在不影響正常業務的情況下盡可能將封閉的端口范圍擴大，把一些特定的種子發布站點和端口進行封閉。

4.限制用戶帶寬

　　限制每個用戶使用的網絡帶寬，可以明顯緩解BT對網絡的危害；同時，對于一些運營性網絡，完全禁止BT使用是不合理的，限制每個BT的使用帶寬就成為一個比較好的選擇。防火墻可以針對應用流進行較細粒度的速率限制，例如將BT用戶下載的優先級限制為5（0最高，7最低），帶寬限制為64Kbps。這樣可以確保BT軟件使用的同時不會影響其他業務的開展。

5.限制最大連接數

　　可以通過防火墻的ip Inspect特性來限制TCP最大連接數，從而達到控制BT對網絡帶寬的占用。采用IP Inspect特性還可以限制最大流數，同樣起到控制BT對網絡帶寬占用的目的。

6.使用HTTP代理對應用層協議進行過濾

　　在HTTP請求報文中，攜帶了BT的特征值User-Agent：BitTorrent，因此，假如HTTP-Filter能夠將具有該特征值的HTTP的數據包過濾掉，BT客戶端便無法進行Tracker查詢，Tracker服務器便無法將peers列表返回給BT客戶端，從而有效阻截BT下載。

　　防火墻能夠有效地過濾特定的應用層數據包（如HTTP數據包），然后根據BT數據包中的要害字，就完全可以從HTTP數據包中過濾BT數據包。

上一篇：解決2K和XP網上鄰居互訪慢的問題

下一篇：教你在UNIX中配置網絡打印服務器