文档编号:446
浏览:8863 评分:26
最后更新于:2009-09-02
用户问题:
由于adsl上行带宽过小, 而使用pps、pplive这类软件又很占上行资源,是否可以总结一下如何封杀这类软件。
问题分析:
在路由器上如果不依赖现有策略库的情况下完全封掉这类软件,只有通过封软件使用的端口和服务器地址来实现。而p2p软件的特点就是端口的随机性和并发性,所以如果想要在路由器上完全禁止这类软件很难实现。虽然路由器上不能完全禁止该类软件,不妨换一个角度,回到出发点另辟蹊径。
用户所考虑到的主要是带宽的问题,因为p2p软件抢占带宽资源,影响内网其他用户,带宽分配不合理。对于带宽问题我们可以通过以下几种方式优化带宽分配,提高带宽利用率。
解决方法:
1、限速。
首先要对内网用户进行限速,每个用户可以占用的带宽限制了以后,在使用p2p软件时不会再去抢占大量带宽,不会影响其他用户上网。
限速配置界面
限速可以做到分时间段,用户自己定义时间段,网络繁忙时速度限制小一些,空闲时放宽一些。
限速后迅雷下载速度
2、引用已有策略库
其次要结合一键封p2p、迅雷搜索资源、过滤文件类型功能,禁止BitComet,BitSpirit,迅雷搜索资源,下载类型为.exe、.dll、.com、.vbs、.bat、.sys的文件。
已有策略库配置界面
很多用户反映启用上述策略后无法禁止迅雷下载,迅雷还是可以使用,再这里提醒大家注意,一键封功能已经明确标明,禁止迅雷搜索资源,它实现的效果是迅雷无法多线程下载,搜索到得资源数很少,这样再结合限速功能,就可以有效控制迅雷用户的带宽使用。
禁止迅雷搜索资源后的资源数
3、通过策略禁止使用相关下载软件
在防火墙(2008之前的软件版本,高级配置-业务管理功能)做策略,禁止下载软件使用的端口和资源服务器地址。
查找各种下载软件使用的端口和资源服务器地址可以在路由器的上网监控页面查看,可以找一台电脑,在只开一个要查询的软件情况下,在完成一个下载过程后,在上网监控页面查看该电脑的所有会话,找到相关的外网端口和外网服务器地址,建议完成一个完整的查询过程后把软件关闭,清空当前查询到的会话,然后在保证这台主机在没有任何会话的情况下,再重复一到两次查询操作,确定端口和服务器地址是固定的,这样做的策略才是有效的。
上网监控查询页面
例如我们查查询到一款软件使用的端口为tcp 3307端口,服务器地址为221.80.108.155,可以作如下策略。
如果有多个端口和多个服务地址可以使用高级视图配置,先定义好服务组和地址组再在访问控制策略中引用即可。
4、限制nat会话数。
可以调整NAT会话数量加以限制,因为此类软件需要占用大量的NAT会话资源。
nat会话数限制配置界面