看如何巧妙控制局域网内任意下载等行为作者：噶礼 日期 2012-6-26因为互联网的出现，在大部分企事业单位都采用电脑办公，不管是什么职位，什么级别，办公桌上都至少有一台电脑，而互联网也是必须开的，尤其是现在光纤网络的使用，下载速度越来越高，而同时更多的企业领导人开始为员工的某些不当上网行为而发愁，利用公司的网络资源无限制的下载与工作无关的东西，作为公司领导只能在大会上强调一遍，如果总是强调，又显得作为领导不够大气，太斤斤计较，所以还是用点巧劲，才能智慧的将网络下载问题解决，基于点对点（即P2P）原理的下载应用，如BT、电驴等，对网络带宽的消耗极大，长期以来一直是网络管理人员的恶梦，一般情况下所采取的各种网络管理措施析在P2P应用面前大多显得无能为力，效果非常令人不满意。

加上许多点对点下载客户端不断改进工作方式，成功绕过如端口限制、服务器限制等常规的管理手段，网络资源被极度滥用的危急状况难以从根本上得到缓解。

目前，多数用户自行采取的限制P2P下载的方法，以较流行的BT下载为例，典型的不外乎以下几种：1、限制种子文件的下载——种子文件下载链接可以存在于网络任何一个角落，甚至是通过电子邮件或QQ、MSN的消息进行传播，因此这种方法效果较差。

2、限制浏览BT网站的方法限制BT下载——由于BT网站层出不穷，加上许多BT种子的提供场所也是正常网站的一部分，因此封杀相关BT的网站效果有限而且副作用明显。

3、封闭种子服务器——种子服务器数量繁多，而且不可能收集齐全，新的种子服务器也会层出不穷，因此也是隔靴搔痒。

4、封闭BT常用的端口——目前的BT客户端已经可以随意分配端口，大范围地封锁端口会给其他正常的网络应用带来严重的影响，仍然是治标不治本。

5、在高端路由器等设备中设置规则进行限制——目前，只有Cisco之类的高端路由器才具备一定的P2P限制能力，但其配置较复杂，灵活性差，不方便进行灵活的带宽限制和分组、分时管理，加上许多单位并不一定使用的是这类设备，因此这种方法的适应范围也就非常有限。

6、在硬件防火墙上添加应用层过滤功能——目前有少数防火墙试图在现有防火墙模块的基础上添加针对应用层的过滤功能，但通过实际测试，由于硬件和软件并非是应用层管理而设计的，一方面会严重耗用防火墙的资源，另一方面因整合度不够，往往出现与防火墙功能造成某些冲突。

正由于这些难处，这也是许多十几、几十万高端防火墙产品仍然没有公开宣传其P2P管理能力的原因。

综合上述各种做法，我们不难发现，类似防火墙的在网络层面工作的管理技术对那些P2P应用无能为力，由于P2P应用与正常的网页浏览和下载极其相似，因此通过对端口和IP/域名的限制是无法达到目的的。

因此，维创网络行为管理软件由于采用了DPI和DFI相结合的技术，从而可以绕开上述控制计算机P2P下载、限制局域网BT下载的诸多不足，可以从根本上达到完全拦截P2P下载、过滤P2P流量、管理局域网上网带宽的目的。

同时，软件（官方网站）的还可以有效监控局域网股票软件登录、限制电脑玩游戏、禁止访问不良网站、限制电脑网速、控制电脑流量占用、防御局域网ARP攻击、防止局域网ARP欺骗、检测网卡混杂模式、禁止局域网代理上网等诸多网络管理功能。

可以帮助企事业单位从上网行为管理到网络安全控制一站式、全面的网络管理解决方案。