网管秘笈:封杀BT下载的七种武器

为了不影响正常业务的进行，企业网络的管理员需要想尽办法封闭BT有可能经过的所有端口，将一些特定的种子站点阻挡在外，将企业内的BT尝试整体封杀。总的来说，有以下七种最直接的方式可用。

限制浏览BT网站

BT网站很多，但考虑到BT下载的特点：下载的人数越多，速度越快；Seed越多，速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多，一般的BT网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。因此针对比较热门的BT网站，在安全网关上配置URL过滤规则，之后，在出口上启用过滤Http_Filter功能，禁止对它们的访问即可。

禁止访问Tracker服务器

TracKer是指运行于服务器上的一个程序，这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器，就会获得一个下载人员的名单，据此BT会自动连上别人的机器进行下载。一般对Tracker服务器的访问以HTTP的形式进行。

如果企业网络的网关具有图形管理日志，则可以查询到关于HTTP信息的所有记录，如果有BT下载，则在日志中发现相应的HTTP报文；根据报文内容可以得到Tracker服务器信息，然后可以在设备中配置规则，禁止内部用户访问该服务器。

Tracker服务器的数量应该远少于热门BT网站的数量，很多网站都是转的其他网站的Torrent，如果可以找出这些Tracker服务器的地址，这就是一种非常有效的方法。利用多功能安全网关，根据查询日志可以很容易找到Tracker服务器。

封闭BT下载端口

解决BT对局域网的危害，最彻底的方法是不允许进行BT下载，BT一般使用TCP的6881～6889的端口，网络管理员可以根据网络流量的变化进行判断，在网关中将特定的种子站点和端口封掉，在BT下载软件中的Track中可以获得这些信息。但是现在大多数BT软件可以修改端口号，因此网管可以根据实际情况，在不影响正常业务的情况下尽可能将封闭的端口范围扩大，把一些特定的种子站点和端口进行封闭。

限制用户带宽

BT之所以会危害到局域网，是因为它占用了大量网络带宽。因此，限制每个用户使用的网络带宽，可以明显缓解BT对网络的危害。同时对于一些运营性网络，完全禁止BT使用是不合理的，限制每个BT的使用带宽就成为一个比较好的选择。网络管理员可以通过一些管理软件或者网络硬件配置，针对应用流进行速率限制，例如将BT用户下载的优先级限制为5(0最高，7最低)，带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。

限制最大连接数

在使用BT软件时，下载者会周期性地向tracker登记，使得tracker能了解它们的进度，下载者之间通过直接连接进行数据的上传和下载，这种连接使用的是BitTorrent对等协议，它基于TCP。因此网络管理员可以针对这些特点，对TCP最大连接数进行控制，从而达到控制BT对网络带宽的占用。

使用HTTP对应用层协议进行过滤

当BT客户端下载时，必须进行Tracker查询，Tracker通过HTTP的GET命令的参数来接收信息，而响应给对方(下载者)的是Bencoded编码的消息。在HTTP请求报文中，携带了BT的特征值User-Agent：BitTor-rent。

网络管理员针对该情况，可以通过一些安全管理设备以及流量管理设备，甚至网络管理系统软件，过滤特定的应用层数据包(如HTTP数据包)，然后根据BT数据包中的关键字(Bit―Torrent)，从HTTP数据包中过滤BT数据包。

阻断BT流

现在还有一些BT软件不通过HTTP来获取Peers列表，而是采用TCP／UDP协议，但其BT流中还是包含“BitTorrent”特征码；如果网络设备中具有能够针对BT流中包含的“BitTorrent”特征码进行识别的产品，则进行BT阻断或限制其带宽就容易得多了。

相关链接

认识BT

BT下载正给越来越多的企业办公带来危害，而公众网、电信网中的BT下载，同样也正在吞噬着运营网络带宽。一旦出现第一颗“种子”(下载源)，大量的BT用户就会跟进，形成大规模的BT下载网络。与点到点不同的是，这种“群体生存”网络，虽然体现了互联网的自由，但是同样也反映出互联网的无序。

BT全名为BitTorrent，是一个P2P软件，与传统FTP、HTTP等下载方式不同，使用BT的人数越多，速度越快。传统的FTP、HTTP；PUB是把文件由服务器端传送到客户端，这样会出现一些问题：用户数量的增多要求高带宽和服务器的高性能，也会影响到服务器的稳定性，因此很多服务器都会有用户人数的限制、下载速度的限制，这样就给用户造成了诸多的不便。而BT从根本上解决了这个问题，BT采用的是一种类似传销的方式来达到共享，在下载的同时，也在为其他用户提供上传，所以不会随着用户数的增加而降低下载速度。使用非常方便，其特点简单地说就是：下载的人越多，速度越快。

常用的BT软件有BitTorrent、PTC、Shareaza、BitTorrent++等。

BitTorrent是一个多点下载的源码公开的P2P软件，使用非常方便，就像一个浏览器插件，很适合新的热门下载。

PTC(Personal Torrents Collector)是目前BitTorrent下载用户端里最好的软件之一，PTC的多线程能力使用户能够批量更快地下载和上传资源。

Shareaza集合了eDonkey、Guntella和BT等流行P2P软件的特点，并可以用于HTTp、FTP下载，具有优秀的界面、简洁的操作以及极强的可定制性。

BitTorrent++在功能上比BitTorrent有很大的改进，也更为人性化，弥补了Bit-Torrent过于简单缺乏微调的缺陷，尤其是共享方面的功能。如果中途关闭了BitTor-rent++，只要再次打开程序，就会继续进行原来的下载，不用像BitTorrent的续传那么麻烦。

这些BT下载软件以其独特的优势受到广大用户的喜爱，不过，麻烦也随之而来：如果多个用户同时使用BT进行下载，会占用大量网络带宽，严重影响其他用户的正常工作。在一些企业的局域网、学校的校园网、运营商的城域网中，都已经出现了BT滥用网络资源的情况，影响到其他正常业务的开展。因此；在一些环境下完全有必要严格限制用 户的BT下载流量或完全禁止BT下载。

北京建废电脑正规回收渠道

从现在起，北京市民可以把家中废旧的电脑、电冰箱等电子产品，拿到海淀区政府指定的电子环保亭进行估价，这些废旧的电子产品将制造成再生电脑、再生电冰箱等产品。这在全国还是首创。

近日，海淀区“电子环保・循环经济”示范工程启动。海淀区是全国最大的电子产品集散地，目前已经出现了以太平洋、硅谷、海龙等12家为代表的较为高端的计算机类产品市场，每年销售电子产品数百亿元，但电子产品的增量生产，使电子垃圾大量产生，电子垃圾污染问题日益成为全社会高度关注的焦点。

首个回收废旧电子产品的电子环保亭位于中关村鼎好电子商城内。在那里可以看到一张回收参考价目表，市民把废旧产品拿来后，将由来自一些科技公司的专业人员进行鉴定。其中，台式电脑20元起，笔记本电脑40元起，显示器10元起……有关人员表示，目前这些再生电脑只用来公益事业的捐助和对贫困城市的低价销售，还没有正式对外零卖，将来零卖价格大约在1500元左右。和二手电脑相同的是，再生电脑也是攒成的，没有品牌，但有三个月的免费维修期。

海淀区副区长于军表示，目前再生产品仅限于电脑产品，但很快回收产品将覆盖全部的电子产品，从电脑、电视到电冰箱等。于军说，目前我国还没有电子垃圾的正规回收渠道，小贩的走街串巷仍是主要的方式，这样既不能保证电子产品的有效再利用，也会造成二次污染。而再生产品也只是“电子环保・循环经济”其中的一个部分，产品中不能再利用的部分将进行二次循环利用的方法，如废旧线路板将分离成金属和非金属，提取再利用价值。此外，电子垃圾中彻底不能利用的部分就可以通过水泥厂的高温处理，变成水泥的原材料，实现最终的环保处理。

据了解，海淀区将在全区各社区、电子市场、大学里都设立这种电子环保亭，同时直接深入到行政、企事业单位回收淘汰的废旧电子产品。

一夫当关万夫莫开――方正安全七合―UTM测试版

方正安全日前推出一新款GateDefenderIntegra测试版，它集成了7大功能：防火墙、VPN、入侵防护(IPS)、防恶意软件、反垃圾邮件、内容过滤和WEB过滤。这些模块能共同工作，提供对未知和已知网络攻击及非法内容的防护。GateDefenderIntegra是方正安全的新一代UTM(统一威胁管理)设备，致力于为中小企业网络，提供全面保护，能够抵御所有类型的Internet攻击，特别适合中小企业用户，它在提供高性能的同时，节约了用户的成本，并且安装管理极其简便。

该设备安装在企业网络与Internet或其它网络的网关处，就如防火墙。一旦安装完成，它只需最少的维护。管理员可以通过远程登录WEB控制台启用、禁用和配置，导出系统自动生成的报告，管理非常方便。它可以扫描所有进出企业网络和来自于其它网络区域的流量，确保企业网络不受攻击，但并不降低连接性能。它每隔90分钟自动更新一次病毒特征文件，确保实时防护效率。该产品现在有Integra100／300两个系列，分别提供4个和8个通讯端口以满足不同网段的需要。它被设计成尽可能快速和简便，不影响原有网络的性能，不需要复杂的技术支持，保证客户有更多的时间关注其核心业务。

值得注意的是，该设备不仅集成了大多数的先进被动技术以抵御所有类型的恶意软件，而且提供主动保护以检测未知攻击。这种将大多数先进IT安全技术集成在一款产品中，在所有层面对企业进行保护的网络安全产品，对技术力量相对薄弱的中小企业来说尤其有用。此外，管理员可以从一个控制台监控多台设备。