防范企业员工使用P2P引发安全威胁
  • Cong
  • 2008年12月28日 00:50
  • 0

目前,各大中小型企业纷纷将自己的内网与其外网相连,虽然这样可以从网上“猎取”到很多对公司有利的商机,但是有些企业内部员工,还要使用PSP软件非法占用公共的网络资源,从而影响到了其他人员的办公。 由于雇员滥用对等(P2P)网络技术共享音乐和视频,这项技术已经直接影响到企业的利益。由于目前国内企业一般只有有限的带宽,而P2P的出现在给你带来好处的同时,也给网络带宽带来了巨大的压力,尤其在用来进行大量数据下载的时候,很容易导致企业的其他业务无法正常进行。 用户在利用P2P技术进行传输时,多使用80端口,同时还会使用其他非正式协议,常常绕过企业的防火墙,使用P2P技术的文件共享使企业暴露在传统安全措施检测不到的病毒的威胁下。此外,由于不能阻止雇员访问违法或非授权资料,企业还面临法律风险。 那么作为网管的你,如何在企业局域网内部封堵P2P应用则成为维护企业安全的关键点之一。下面有介绍三种方法,可以帮助你达到目的。 方法一:使用聚生网管工具进行封堵 面对于P2P尚没有专门的控制软件诞生,一般只能通过防火墙或者代理服务器进行频繁的规则设定来完成,这也给网络管理人员带来巨大的工作量。殊不知P2P终结者软件,可帮助企业轻松解决这个日益严重的问题。 软件名称:聚生网管 软件版本:2.2 软件大小:3450KB 软件性质:免费软件 应用平台:Windows 9X/NT/2000/XP 下载地址:http://download.it168.com/01/0111/71896/71896_4.shtml 小提示: 聚生网管,是国内目前首套专门针对网络P2P滥用问题开发的系统软件,该软件可以实现对局域网所有主机的P2P下载进行控制,非常容易部署想要发出的限制方案,可保证企业网络的有限带宽能够得到正当利用,不会被内部自私的人所滥用。 根据以上下载地址,将其工具下载到本地计算机,然后在双击里面的安装程序,在所弹出的“安装向导”界面里,单击“下一步”按钮,进入安装“软件位置”的安装页面,这里你需要根据企业网络的具体情况,来决定此软件具体安装到机器的位置。例如大部分公司采用的路由器是共享上网,那么你就可以将该软件安装到网络中的任意机器中,反之安装到通过代理服务器上网的主机内即可。 当你安装完成后,第一次运行该软件时,就会弹出“系统初始化设置”对话框(如图1),如果你是“路由器共享上网”的企业,那么就在“接入公网类型”栏目里,选择跟自己对应的“路由器共享上网”选项。反之你是通过代理服务器上网,这里就请选择对应的上网方式“代理服务器上网”选项,另外下面“网络连接设备”栏目里的选项,可根据网络架设的实际情况进行选择,而后单击“完成设置”按钮,即可自动运行“P2P终结者”软件。稍等片刻后,会弹出“P2P终结者软件”的操作界面,这里在其左侧选择“软件配置”标签,此时编辑区默认选择的是“网卡设置”标签,在其下方“请选择监测所使用的网卡”标签里,选择自己的物理网卡。如果你是双网卡,则选择“内网的网卡”选项后,单击“保存配置”按钮,即可将其监测网卡配置完毕。 接下来为了使软件检测到内网里的所有主机,请选择“网络控制台”标签,单击里面“启动网络控制服务”按钮,此时软件会自动扫描网络里的主机,并且将其所检测到的信息,会显示到网络主机的扫描栏内。当显示主机信息完毕后,大家就可以对网络带宽进行限制了,这里选择“网络带宽管理”标签,并且分别勾选上“启用主机公网带宽限制”和“启用发现P2P下载时自动限制该主机带宽功能”的两个复选框(如图2),根据里面所给标签提示,选择想要限制的速度值,单击“保存配置”按钮,这样就可以执行自己设置限制网络带宽,以及限制使用P2P下载用户的带宽值。如图:

防范企业员工使用P2P引发安全威胁

另外如果你想对企业员工,在其他方面进行网络限制如:下载、浏览网站、网络聊天,只要在其软件的ACL规则中,根据设置的IP地址范围和协议端口,即可进行除P2P下载的其他访问限制。如图:

防范企业员工使用P2P引发安全威胁

方法二:利用屏蔽端口来封堵P2P下载 众所周知,网络通讯都是依靠端口传输来完成相互间的传递,那么这就意味着P2P下载也会拥有自己相应的通讯端口,来完成从网络下载文件的操作。如果企业能够依靠天网防火墙软件,将其下载通讯的端口屏蔽掉,相信内部人员的P2P下载,也就会随之关闭掉了,从而即可解决P2P滥用的严重问题。 下面就以天网防火墙为例,使用其他防火墙的朋友,你也可以“按部就班”的进行模仿操作,虽然方法可能有些大同小异,但是产生结果都是一致的,而且都能封堵住内网用户使用P2P下载。这里打开“天网防火墙”软件,在其上方单击“IP规则管理”按钮,然后选择编辑区里的“增加规则”选项,在弹出的“增加IP规则”对话框内(如图3),将你想要封杀的程序,填入到相应的文本框内。例如你想要封杀BT下载程序,就在其名称标签处填入“封杀BT”的四个字,然后在将其“数据包方向”列表里的接收,更改为“发送”选项。接下来把“数据包协议类型”列表里的内容,选择为“TCP选项”标签,并且在“对方端口”栏目内,输入从6881到6889的数字,其他设置保持默认即可,单击“确定”按钮。在顺原路返回到“增加规则”对话框,再用同种的方法,创建UDP协议的拦截规则,只要改动“数据包协议”里的类型为UDP,其他跟刚才创建的协议规则一致,这样当企业用户再次采用BT协议进行P2P下载文件,就会被其设定的规则直接封杀掉。

防范企业员工使用P2P引发安全威胁

这里不排除你想封杀P2P协议,只要建立与其上面所类似的规则,并且输入该协议在下载时,所需要用到的通讯端口,即可对其P2P协议进行封杀。但是这种方法面对有经验的员工,往往就会失去它的效用,这主要是因为企业内部员工对P2P端口进行了不规则的改变,那么你就要使用下面为你准备的ISA封杀。 方法三:用ISA封杀P2P下载 如果说你的企业员工对以上两种方法,都有很好的应对措施,那么ISA的封杀,想必就会使他们没有了对策。因为ISA是根据下载的特性进行封杀,它可以采用最为专业的封杀软件,能够从多个角度对P2P的下载进行封杀,从而使其下载功能彻底失去了自身的作用。 针对目前最为专业的ISA封杀软件Microsoft Internet Secu-rity and Acceleration Server,以下简称ISA。你如果要想限制下载的种子文件,可以添加一条HTTP规则,并且将其种子扩展名加入到“阻止制定的扩展名”即可。当然此方法用户只需要浏览网页发布的P2P下载资源,就可轻松破解。那么这里你就需要再增加一条,禁止用户打开P2P下载的网站规则,这样才能将其想要依靠网页发布P2P下载的用户封杀掉。 但是倘若企业用户不依靠种子和网页发布的P2P下载资源,来进行P2P下载文件,想必上面两种限制也就失去了它本质的作用,因此这就需要你根据数据包的特性进行协议过滤,方能彻底限制住关于P2P的下载操作。这里需设置访问策略,并且对其HTTP协议进行签名过滤,比如还拿刚才BT下载为例,查找数据包的请求,在指定阻止的签名中填入BT使用的数据包请求,这样当数据包中含有你想要阻止的数据请求,就会自动被ISA所丢弃,导致其企业员工的P2P下载也就无法进行。

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0