BT概述
BitTorrent简称BT,是由一个美国的软件作者Bram Cohen撰写的用于在线交换文件的软件。BT的工作机制是这样的,首先,BT在上传文件的一端将文件分成了N个部分,需要下载该文件的用户A在该下载源随机的下载了其中的某个部分,而用户B、用户C等其它需要该文件的用户也从该下载源获取了某个部分。在此之后,这个文件除了可以在最初的源上传地获取之外,还可以在A、B、C等用户处获取,只要这些用户处有所需要的文件分片。这种分布式的文件共享方式彻底颠覆了传统的所有用户从单一下载点获取文件的方法,可以使带宽得到更加充分的利用,并将传输负载充分分流,降低单个传送点的负担。
问题所在
虽然BT在文件共享方面更有效率,但是仍有很多人为此忧心忡忡,其中最具代表性的就是企业组织。由于BT传输点通常要连接到多个IP地址,而且在条件允许的情况下会尽量提高传输速度,所以相对于传统的文件传输模式,BT应用对网络资源的耗用要剧烈的多。并且由于BT应用是高度分布式的,对文件传输的监控更加困难,以保密、版权等为代表的安全问题也是企业不得不考虑的。为此,我们尝试通过本文的探讨提供一些正确管理BT传输的方法,以期解决BT应用对企业正常业务的负面影响。
无规矩者不成方圆
任何技术手段没有制度做为支持都无法发挥最大的效用。同样的,在企业认为应当杜绝或者限制BT传输的时候,也应该制订出相应的管理制度。只有在企业明确表明了对BT应用所采取的态度,才能够使员工信服,并在实施技术措施时获得最大限度的支持。如果企业在不出台明文规定的情况下就对员工的某些行为进行限制,一个最大的可能就是受到员工情绪上的抵触,甚至演变成一场或明或暗的压制与反压制斗争。另外,在社会意识及法律系统越来越重视个人权利的今天,以更加明确的规定来指导员工的行为无疑已成为企业的重要责任之一。虽然近年来我国大量状告通信运营商限制用户传输的情况不一定会在企业界重现,但是其景足以做前车之鉴。
广设防之对BT传输进行阻断
对于企业来说,管理BT传输主要针对的是企业的内部网络,在这种情况下最简单也是最有效的手段就是在网络边界对BT传输进行阻断。如果企业在网络边界部署有防火墙设备,进行相应的端口限制就可以阻止BT传输的进行。目前BT传输使用的端口通常是1881到1890、6881到6890、8000到8010、8881到8890以及16881等,还有其它的一些端口被少数BT客户端所采用,可以说BT的传输端口是极不固定的。加之现在几乎所有的BT客户端软件都可以配置成在指定的端口范围内自动尝试建立传输会话,所以对特定端口集合进行限制是不现实的。我们知道,对于优秀的防火墙策略来说,应该是最小许可的。即在限制所有传输的基础上,对绝对必要的网络传输才给予放行。
对IT设施管理比较规范的企业中,通常会仔细的列出企业员工需要和被允许的应用,然后在部署在边界的包过滤防火墙上有计划地开放这些应用所需的端口。而且,通常不允许从网络外部向企业内部网建立连接。使用了更先进技术的防火墙产品会在过滤的基础上探察网络传输的内容,并以应用代理的角色更严谨的管理这些传输。举例来说,我们可以在防火墙中定义针对BT种子的规则,在用户获取传输种子的时候就产生安全报警;利用BT应用数据包的特征也可以让防火墙限制大部分BT传输的进行;在具有深度检测能力的防火墙产品上则可以定义一些企业不允许传输内容相关的检测规则,以辅助其它规则更好的完成工作。
当然,并不是所有的企业都具有功能先进的企业级防火墙产品,特别是在较小规模的网络中。在这种情况下,我们仍然建议企业网络与Internet的连接要通过一个网关型的设备进行连接。一台普通PC也可以很好的完成这一工作,我们能够在这台PC上安装单机版的防火墙软件来完成企业级防火墙的基本职责。我们只要执行最严格的防御等级,并显式的赋予合法应用以通过权限,就可以有效的阻断BT传输等企业视为非法的数据流了。
下面我们以瑞星个人防火墙为例简单讲解如何阻隔BT应用。在计算机上安装了瑞星个人防火墙之后,应该选择其防御级别为与Internet相连的计算机,并从“设置”菜单进入“IP规则设置”,使所有列表中的规则处于禁止状态,同时应确保按照应用程序定义的规则中没有不必要的应用被许可使用。在此基础上再根据需要使用的应用和其网络传输情况逐条的增加准许通过的规则,这样定义出的规则集才是足够严谨的。当BT应用要访问Internet时,瑞星防火墙会给出提示,我们也可以在这时根据企业制订的策略在提示框中做出选择,这样也可以加入一条相应的规则到规则集中。其它个人防火墙软件的使用方法与瑞星基本相同,大家参照如上的方式设置即可。在这里我们之所以选择瑞星个人防火墙软件做为范例,一是因为瑞星防火墙是搭载在国内销售量很大的瑞星防病毒软件中进行销售的,是一种非常常见的个人防火墙软件;二是因为瑞星个人防火墙可以运行在微软的服务器操作系统上,例如Windows 2000 Server,所以在选择网关计算机的操作系统时可以更少受到限制。
值得注意的一点是,无论是在何种规模的网络环境中,以及使用何种设备完成阻断BT传输的任务,一定要有效的对防御设置进行管理。如果用户能够接触执行网关任务的设备或者有太多的用户对安装防火墙软件的机器具有访问权限,那么就像我们上面所讲的那样,用户能够同样容易地为他们的BT应用建立一条传输通道。
权当结语:BT传输的限制和管理
并不是所有的情况下都能够完全的阻断BT传输,这可能是手头的设备没有足够的功能,也可能有其它的原因。同时也并不是所有的情况下都需要这样做,因为在很多时候通过BT可以方便的下载到一些对企业有益的资料。除了完全禁止BT传输之外,我们还可以使用其它的方法尽量减少BT对企业网络传输的影响及对BT传输进行更加有效的管理。我们知道包括宽带拨号路由器在内的很多路由器和交换机设备都具有管理带宽的能力,通过指定每个设备端口的传输速率上限,我们可以很好的根据用户实际需要为其分派传输能力。这样我们就可以很好杜绝BT传输对整个网络造成的不良影响,而又不会失去BT应用所带来的便利。试想,也许你苦苦寻觅的某个建筑的图片就在当地用户的PC中等待你分享。所以,我们更赞赏对BT应用的慎用而非禁用。值得一提的是,现在已经有一些信息安全供应商推出了专门针对BT以及各种P2P应用的安全管理设备。这些设备所整合的各种功能并不鲜见,例如传输过滤、流量管理、内容控制等等。它们更象是整合型安全设备面向BT管理问题的实现,企业可以完全选择适合自己需要的产品来完善自己的网络管理。
本文转自 离子翼 51CTO博客,原文链接:http://blog.51cto.com/ionwing/57134,如需转载请自行联系原作者
