本文简介:通过路由器设定来控制带宽流量占用作者:奔腾 日期:2022-9-11BT是近年来比较热门的基于P2P技术的分布式数据共享与传播软件,不同的人对这类应用有不同的看法。支持的人说它完满地体现了我为人人,人人为我的思想,任何一个人都可以在网络上向别人提供自己的文档或软件下载,当下载的人越多时它的下载的速度也越来越快;反对的人说它侵犯了软件作者的版权以及耗费了大量的网络带宽,应该给予禁止。不管人们对这个软
BT是近年来比较热门的基于P2P技术的分布式数据共享与传播软件,不同的人对这类应用有不同的看法。支持的人说它完满地体现了我为人人,人人为我的思想,任何一个人都可以在网络上向别人提供自己的文档或软件下载,当下载的人越多时它的下载的速度也越来越快;反对的人说它侵犯了软件作者的版权以及耗费了大量的网络带宽,应该给予禁止。不管人们对这个软件的看法如何,作为一个主要从事教育的大学来讲,首先要保护作者的知识产权不会受到侵犯,另外还要保证学校的网络资源能够被合理利用,以保障教学及其它应用的正常开展。对任何一所大学来说它的网络带宽资源是十分宝贵的,但是BT软件的使用耗费了大量的带宽,使得原来一些需要保证的应用受到影响,使用理论的说教往往不能使喜欢这类软件的人放弃这种喜好,所以有必要对此类软件从技术手段上进行限制。下面来分析一下BT下载类软件的工作原理,找到可以用来限制此类应用的依据,然后再进行限制。
首先BT类下载软件一般使用的端口是固定的一个范围,常用的范围是:6881~6890,如果我们能够在路由器中对这一段的端口进行限制,就可以对此类软件进行限制了。但是也有一些BT软件,可以自动更新端口。此类软件有一个共同的特点是在工作时占用的带宽很大,往往要超过正常的应用,所以我们从两个方面对此类软件进行限制:一个是限制它应用的端口,一个是对异常的流量进行限制。下面就这两个方面进行配置:
一.使用基于类的路由策略进行控制
1.端口限制:
access-list 101 deny tcp any eq range 6881 6890 any range 6881 6890
access-list 101 permit any any
2.流量限制:
class-map match-all bt_updown
match access-group 101
policy-map drop-bt_updown
class bt_updown
police 1024000 51200 51200 conform-action drop exceed-action drop violate-action drop
二.使用上述的基于类的策略在对付自动变更端口的BT类软件时有些力不从心,为此,CISCO 路由器提供了专门的PDLM(Packet Description Language Module)包描述语言模块从协议层上进行对此类软件使用的协议进行了描述。因此,路由器可以对数据包使用的协议进行分析,当传输的数据包符合该协议的描述时路由器可以识别,配合相应的类策略对数据进行控制(如允许通过或丢弃等),从而根本上解决了动态端口的控制弊病。但是由于PDLM模块属于非公开资源,CISCO 公司对该资源的下载和传播进行了严格的控制,必须具有CCO资格的路由器用户方可下载使用。由于该PDLM不属于路由器的启动加载项,所以重新启动路由器时,必须通过TFTP 进行进行手动加载:
ip nbar pdlm tftp://192.168.100.2/bittorrent.pdlm //bittorent.pdlm为下载的pdlm模块文件名
class-map match-all bt_updown //定义类 bt_updown
match protocol bittorrent //匹配bittorrent协议
policy-map limit-bt //定义策略图 limit_bt
class bt_updown //将类 bt_updown 加载到策略图中作为触发事件
police cir 240000 conform-action transmit exceed-action drop //定义符合和超载传输流大小为240000 bits
police cir 8000 conform-action transimit exceed-action drop
在路由器相应端口上加载服务策略:
service-policy input limit-bit //限制下载,流入
service-policy output limit-bit //限制上传,流出
2001年出现的尼姆达病毒(Nimda)、红色代码病毒均是蠕虫病毒,这些病毒借助于网络进行传播,传播的速度快,对感染的计算机破坏强。用户一旦感染了这种病毒,只要所处的网络中存在有此类的病毒,一般情况下是很难清除的。这里不想对病毒的工作原理及如何清除这些病毒进行过多的。
论述,而主要讨论这些病毒的网络行为如何在路由器中被识别出来并且使用相应的策略对这些数据包加以阻止或丢弃。
尼姆达病毒在网络中传播的主要特征有:
1、利用病毒宿主通过网络短时间内发送大量的含有“readme.exe”附件的“readme.eml”电子邮件;
2、搜寻以前的IIS蠕虫病毒留下的后门程序曾经或已经感染红色代码病毒(Code Red)并留下了病毒后门,尼姆达病毒就会利用后门程序进行漏洞扫描;
3、通过大量含有病毒的电子邮件的发送和扫描将导致网络服务产生拒绝服务(DoS)。
在分析尼姆达病毒的主要特征后,可以在路由器上有针对性进行配置以防范和阻止尼姆达病毒的传播:
a.阻塞端口
access-list 101 deny tcp any eq 25 any eq 25 //阻塞SMTP协议端口
access-list 101 deny tcp any eq 69 any eq 69 //阻塞TFTP端口
access-list 101 deny tcp any eq 135 any eq 135 //阻塞NetBIOS协议
access-list 101 deny tcp any eq 445 any eq 445 //阻塞NetBIOS协议
access-list 101 deny tcp any eq range 138 139 any range 138 139 //阻塞NetBIOS协议
access-list 101 permit any any
b.配置策略图
class-map match-all nimda //定义类 nimda
match protocol http url "*.ida*" //匹配HTTP协议中的url地址中含有.ida关键词
match protocol http url "*cmd.exe*" //匹配HTTP协议中的url地址中含有cmd.exe关键词
match protocol http url "*root.exe*" //匹配HTTP协议中的url地址中含有root.exe关键词
match protocol http url "*readme.eml*" //匹配HTTP协议中的url地址中含有readme.eml关键词
policy-map block_nimda //定义策略图 block_nimda
class nimda //将类 nimda 加载到策略图中作为触发事件
police 512000 128000 256000 conform-action transmit exceed-action drop violate-action drop //定义路由器速率限制策略
结束语:上述所有基于QoS的路由器配置在思科2621XM路由器上测试通过。通过测试,不但可以明显减轻BT、Nimda等病毒对网络的冲击和对网络资源的大量消耗,保护正常计算机用户对网络资源的需求,同时也可以有效防止其他类似的网络蠕虫病毒的攻击,实际价值非常明显;但是如果你想将BT完全封掉,可以考虑购买专门的P2P限制软件,国内诸如安企神(http://www.wgj7.com)之类的网管软件,在控制P2P方面非常不错,可以将BT完全封掉;实际测试中,我们还发现思科的路由器在控制新兴的P2P软件方面不是十分有效,如迅雷(包括web迅雷),下载速度远远超过传统的P2P软件,是当前下载速度较快的P2P软件,由于采用了多协议交叉下载的方式,所以通过规则匹配的效果不是十分明显。在这方面安企神较为强悍,可以将迅雷完全封掉,在国内还是比较领先的。
总之,路由器控制带宽,路由器控制流量,路由器控制电脑上网,路由器限制网速,路由器限制流量,路由器带宽限制功能,路由器流量限制功能,路由器上网控制,路由器网络管理,路由器网络监控,路由器限制上网速度,路由器监控网速,路由器限定流量等面临着很多不足和弊端,同时效果也大打折扣。我们建议企业网管人员可以选择专门的网管软件来限制上网速度,控制电脑流量,限制局域网流量,效果更好,操作也更为简单。
立即下载试用
防止通过U盘拷贝文件的方法
防止通过U盘拷贝文件的方法
随着科技的发展盈已经成为我们日常生活和工作中不可或缺的设备之一。然而,有些时候,我们希望将U盘中的文件保护起来,防止他人随意拷贝。本文将介绍一些方法,帮助您实现U盘文件的防止拷贝。
一、使用第三方加密软件(如:安企神软件)
这是一款全面、综合的终端安全防护系统,他可以为企业搭建完整的管控管理机制。它具备资产管理、补丁管理、软件库管理、操作权限管理、风险行为评估、安全状态评估、屏幕监控管理、用户行为审计、移动存储管理等众多功能,可以满足大部分企业经常遇到的安全管理问题。
U盘功能及优势如下:
1、限制外来移动存储设备接入企业内网: 通过U盘注册管理实现只有注册过的U盘才能在客户端识别,非注册U盘禁止读写,有效杜绝外来U盘随意接入,防止泄密
2、U盘加密区: 将U盘制作成加密区,U盘中加密区只能在公司授信终端显示,非授信终端不显示U盘加密区,防止U盘丢失及泄密风险
3、外来U盘数据只进不出: 通过策略,对U盘读写权限细化控制,将未注册的U盘设置只读模式,禁止写入
4、详细的U盘操作记录: 包括U盘文件的复制、黏贴、插拔记录;支持U盘申请使用,非授信U盘插入后可申请使用,管理者通过后可以正常使用。
二、设置密码保护
最简单且常见的方法是设置密码保护。大多数U盘都有内置的软件工具,可以帮助您设置密码。在使用U盘之前,通过这些工具设置一个强密码,可以防止未经授权的用户访问和拷贝山盘中的文件。需要注意的是,密码不宜过于简单,最好是包含字母、数字和特殊字符的组合,以增加密码的安全性。
三、加密文件
除了设置密码保护外,您还可以选择将U盘中的文件进行加密。通过加密文件,即使他人拷贝了U盘中的文件,也无法直接打开和查看文件内容。市面上有很多加密软件可以帮助您实现文件加密,您可以根据自己的需求选择最适合的软件。
四、使用特殊格式化工具
除了设置密码保护和加密文件外,您还可以使用特殊的格式化工具对U盘进行格式化。这些工具可以将U盘格式化成只读模式,防止他人对U盘进行任何修改和拷贝。
五、物理保护
除了软件方面的防护措施,您还可以采取一些物理保护措施来防止U盘文件的拷贝。例如,您可以在U盘外壳上加密,只有在输入正确的密码后才能将U盘连接到电脑上。您还可以选择购买一些特殊设计的U盘,这些U盘具有防拷贝的功能,一旦连接到未授权的设备上,将无法识别和读取文件。
总结:
在保护U盘文件的过程中,我们可以采取多种方法来防止他人拷贝。使用第三方加密软件、设置密码保护、加密文件、使用特殊格式化工具以及物理保护都是有效的措施。然而,我们也需要注意,不要忽视U盘本身的安全。在使用U盘时,要保持警惕,避免将U盘遗失或落入他人手中。定期备份重要文件也是必要的,以防止意外情况的发生。希望本文所介绍的方法能够帮助您更好地保护U盘中的文件。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/11565.html