网络管理策略

    根据这位网友的需求，我再简单介绍一些基于路由器的网络管理策略。事实上，利用路由器上强大的ACL功能，可以将指定上网时间段、对部分PC机禁止网络聊天及网络游戏、屏蔽部分网站的需求一一实现。

    最常用的就是通过访问控制列表来把相应的端口封掉，由于部分用户在日常生产中需要分级别放宽访问权限，建议使用扩张访问控制列表，将源地址、目的地址及端口一一详细定义（包括允许访问时间等），有必要的话，也可以适当运用Qos策略实现。

    对于具体要屏蔽部分网站和屏蔽网络聊天及网络游戏，只要找到具体的端口号和相应的关键字，是可以达到一定的效果，但无法做到防患于未然。就拿QQ聊天软件登陆过程原理及阻断措施步骤来详细举例说明：QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ在连接时首先向服务器的8000端口发送udp包。在阻断8000端口的连接后，QQ还会通过udp的8001和tcp的8000、8001端口进行连接。在阻断以上端口的数据包后，发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的ip地址来作策略规则。然而可以通过80和443端口建立连接的QQ服务器会不断的增加，我们的网络管理员只能被动的发现一个，封杀一个，试想一下，一个聊天软件已经如此复杂，多个聊天软件的屏蔽工作，无形当中给我们的运维人员增加了多少工作量。并且我们知道路由器是三层设备，它无法监控应用层的数据，因此，对于聊天、游戏等应用层的数据包过滤，我们推荐的解决方案还是通过网管软件来屏蔽。用软件解决此类问题不但方便有效，而且操作灵活管理容易。