编者按:管理炒股软件、QQ、BT等应用,有多种方法,本文章主要讲述了通过代理服务器或防火墙的措施,以及免费网管系统来实现炒股软件、QQ、BT的封杀,这种方法会完全封杀这些应用。
【IT168 报道】针对炒股软件、QQ、BT等应用,我们应该如何办?当前,要完全禁止、封堵、杜绝这些行为虽然不容易,但是办法还是有的,一些企业就采取通过代理服务器或防火墙的措施,以此对员工的上网进行管理。
方法大概如下:
(一)ISA Server 2004防火墙
一般情况下,网管可以利用系统的ISA Server 2004防火墙的增强的HTTP协议检查功能,来阻止用户访问任何站点、内容,或者在Http头中出现的任何协议,当然包括QQ、MSN、股票软件等软件。在过去的时候,对于使用HTTP代理来上QQ和MSN的情况,没有什么办法。不过现在不一样了,ISA Server 2004增强的HTTP协议状态检查,可以很完美的封锁使用HTTP代理上QQ和MSN的情况。
我们要知道,Messenger连接HTTP代理服务的时候,发送的数据包的请求头中的User-Agent字段,关键字为MSMSGS,通过勾选这个定义项,ISA Server 2004会阻止具有这个特性的HTTP数据包。同理,那么我们可以利用这点来进行封阻QQ、MSN、股票等软件,因为这些软件连接到HTTP代理服务器的时候也会发送的数据包的请求头中的User-Agent会有一些特定的关键字,只要我们在防火墙的设置中禁掉这些关键字,我们就可以在使用HTTP协议的同时禁止大家使用这些软件。
具体的步骤如下:
1、在已经订好的管理策略上面点击右键选择HTTP Configure。
 |
 |
2、在Configure http policy for rule 中选择signatures。在signatures中填写该规则的名字以及用处。
3、在search in的空白处选择Request header 。
4、Http header选择User-Agent 。
 |
 |
5、Signatures中填写股票软件的关键字,这样你的员工就可以上网浏览网页却再也无法使用股票软件了。如果是封杀QQ等聊天软件,那么在Signatures中添加一个名为QQ的签名项,指定在Request URL里面搜索“tencent.com”,如果匹配则ISA Server 2004会丢弃该数据包。此时,QQ已经不能通过代理服务器登录了。
 |
另外,对于使用ISA Server 2004限制BT下载的方法也很简单,通常的办法就是限制种子文件的下载,在设置好的策略中的HTTP中限制一下即可,如下图所示。当然,如果某网站提供下载Torrent文件的端口不是标准的80端口,此方法会失效,除非你在这个端口上加载Web代理过滤器。
 |
如上文所说,ISA 2004一个新特征就是可以对应用层协议进行过滤,对HTTP的过滤显得尤为有效。BT客户端软件在使用外网HTTP代理时使用的方式仍然为SNAT(开放HTTP、HTTPS、DNS协议),BT客户端软件为BitSpirit。我们也可以对访问策略的http进行签名过滤,这样也是一个好方法。限制BT的方法还有很多,如限制并发数,限制连接数目等等,具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行BT下载的情况,ISA也可以使用限制连接数进行一定的控制。另外,如果你公司是域环境,其中有Windows2003作为域控制器,组策略在上面实施,且客户机的OS为XP或者2003,那么可以利用Windows2003中新的软件限制组策略对BT客户端的使用加以限制。
综观上文,虽然代理服务器有一定的效果,但是操作比较复杂,并且功能有限,也不便于对网络行为的实时管理。况且单靠防火墙也是无法百分之百地保障企业内部重要资料的外泄或被盗,因为网络上有许多的不正当行为都是以合法的方式进行的。所以在这种情况下,笔者认为使用一些行之有效的网络管理软件是一个不错的选择,运用这些软件也只需几步就可以轻松完成禁止使用QQ、MSN聊天、游戏、BT、股票软件下载等监控工作。
(二) 聚生网管系统
聚生网管采用了一机安装,管理全网的透明安装模式,极大地降低了网管人员的维护工作,使得网管人员可以在任意一台电脑上就可以控制整个局域网的所有主机的聊天、游戏、网址、下载等等,并且可以实时显示、控制任意或者全部主机的流速、流量。 而且对网络环境没有任何要求,安装部署软件时不需要对原有环境做任何改动,不需要购买任何软硬件设备,极大降低了进行网络结构改动的不确定性和花费。下面我们来看看它的功能和使用技巧。
(1)下载控制
聚生网管系统界面模块一目了然,使用非常简单,只需要管理员点击鼠标三下,即可完全封杀所有的下载,包括BT、eMule(电驴)、百度下吧、PP点点通、卡盟、迅雷等P2P工具的下载。当发现有主机进行P2P下载时,自动降低该主机可用带宽 。用户还可以自行设定控制任意文件下载,也可以指定文件后缀名限制下载。当系统发现局域网某个用户进行BT下载时,系统可以自动限制这台主机的网络宽带到某一个设定的上行、下行公网值,一旦用户停止BT下载时,主机的带宽又会自动回升到正常值,这样一方面可以缓解BT下载对宽带的过量占用,不会因为完全封杀让用户产生抵触情绪;另一方面,对没有进行BT下载的用户,系统不会对其有任何宽带限制,从而不会影响那些没有进行BT下载的用户高效合理的使用网络资源的自由。
 |
(2)聊天管理
系统可以完全控制QQ这个一般监控软件无法控制的聊天工具,也可以完全控制MSN的使用。另外还可以控制网易泡泡、新浪UC以及其他任意聊天工具的控制。
|
(3)带宽、流量管理
可以实时查看局域网主机带宽占用,并从大到小排序。其次可以针对特定主机分配公网带宽,使有限的公网带宽得到充分利用。第三,拥有主机报文数据分析功能,可以知道主机所占带宽都用于什么应用。最后,可以设定局域网主机上行、下行流量和总流量,超过即自动断开公网连接。
封堵方法小结
当然了,网络上可以实现这些功能的软件很多,不过原理和功能都类似。例如还有一款名为LaneCat网猫的电信级的互联网监控软件,也能有效监视、控制和记录局域网上计算机在互联网上活动行为,它可以实时记录局域网内计算机所有收发的邮件、浏览的网页以及FTP上传下载的文件,监视和管理网内用户的聊天行为,限制、阻断网内用户访问指定网络资源或网络协议。可用于探测、拦截、收集和管理网络资源,规范网络有效合法使用,可防止单位重要资料机密文件等泄密,监督审查网络使用行为,备份重要网络资源文件。
鉴于并非所有局域网的连接方式都是代理式的(实际上,几乎稍具规模的局域网都不是代理式的),所以,找到一套通过路由器端控制的方法还是比较切实需要的。总之,以上介绍的这些软方法都适合各企业,特别是贸易公司、进出口公司、安全机构、公安部门等单位的网络安全人员、网络管理人员、企业主管、私营老板、行政主管等人员以及网络爱好者使用。
