如何監控上網行為

彭　亮　劉曉蕓

禁用BT下載

說實話，BT是目前下載效率最高的一種技術。BT通過點對點傳輸，是一種新穎的文件傳輸方式。以前的傳輸方式是主從式架構，通過服務器端實現一點對多點的傳輸。這種傳輸方式的缺點是很明顯的，當下載人數越多，其下載速度就越慢，下載效率也就越低，因為它有總的帶寬的限制。而點對點傳輸的話，使用者同時具有客戶端與服務器端的特征。簡單的說，我們在利用BT等點對點傳輸工具進行下載的時候，他們在其他人那邊下載東西的同時，也在當作服務器，讓別人從我這里下載文件。點對點傳輸就是通過這種方式，達到快速分享的目的。而BT下載工具，就是點對點傳輸中比較有代表的一種軟件。

BT雖然其下載效率高，但是對于企業來說，卻不怎么歡迎這種技術。一方面，利用BT工具下載文件的話，因為同時從多個點下載文件，還充當服務器的角色，提供別人下載，所以，會占據比較大的帶寬，給公司的正常網絡訪問產生比較大的影響。另一方面，就是使用BT下載工具的話，對于主機的硬盤等電腦硬件設備產生不利的影響，會縮短電腦硬盤的使用壽命。為此，作為企業來說，是不歡迎BT這個效率高的下載工具。我們網絡管理員，需要屏蔽點對點的下載工具。

封閉下載端口。BT下載工具，一般是使用TCP的6881與6889端口進行下載。所以，我們可以通過一定的工具，如在路由器上或者網絡管理軟件上，把這些端口給封了。不過這里要注意一點，就是現在有些BT下載工具，其也可以更改這些端口。不過這一般的員工就算其知道可以更改端口，可能也不會改。所以，這個招數，應付那些網絡菜鳥，還是綽綽有余的。

另外，我們還可以利用網絡流量分析工具的幫助下，查詢各個端口流量的變化情況。從這些流量的變化情況中，有經驗的網絡管理員也可以發現一些比較有價值的信息，如現在BT工具在使用哪個端口來進行下載，等等。然后再有針對性的進行屏蔽。

禁止訪問Tracker服務器。Tracker是指運行與服務器上一個程序。這個程序的功能，就是用來追蹤到底有多少人在下載這個文件。裝有BT軟件系統連上這個服務器后，就會獲得一個下單者的清單，這個清單包含下載者的地址信息。根據這個清單，BT軟件就會自動連上別人的電腦進行文件的下載。所以說，Tracker服務器可以說是BT軟件的核心。沒有這個服務器，BT也將一無用處。若我們現在能夠把這個服務器禁止訪問的話，那問題也就解決了，

我們可以利用工具查詢到HTTP信息的所有記錄，而一般對tracker服務器的訪問就是通過HTTP形式進行訪問的。如此，我們就可以在日志中發現相關的信息。根據這個信息我們就可以得到Tracker服務器的信息。此時，我們就可以在路由器或者企業防火墻上進行相關策略的配置，禁止企業內部員工訪問這個服務器。

現在有些網絡行為管理軟件，也提供了一些tracker服務器的地址，如果我們這個本事拿到這個資料的話，那我們就可以直接拿過來使用，把這些服務器屏蔽掉即可。也不用自己去測試、尋找了。

現在很多網絡行為管理軟件，基本上也都是通過這個方法實現對BT軟件的屏蔽的。在他們提供的這套管理軟件中，已經有了比較全的Tracker服務器地址。當然，Tracker服務器也是在逐漸增加的，我們需要對此進行不斷的更新。

限制用戶帶寬。利用BT工具最大的危害就在于其占用了企業很大的帶寬，使得企業的一些管理軟件運行速度明顯變慢。特別是在BT軟件高負荷運轉的時候，一些視頻教育、視頻會議等對帶寬要求比較高的應用，基本上無法正常使用。所以，我們若能夠限制用戶的帶寬，也是一種解決BT問題的好方法。把他們的帶寬限制住了，若他們使用BT軟件，也只能影響到他們自己，而對公司的網絡影響就不會很大，如此，他們覺得自己上網速度慢了，受到影響了，那他們就會“自覺”的關掉BT軟件了。

現在信息化技術的發展已經比較成熟了，對于限制用戶的帶寬已經不是一件很麻煩的工作了。如我們可以通過路由器對各個用戶進行流量限制，不過，顯然這個投資要比較大。我們也可以通過軟件，如網絡行為管理等軟件，對用戶的帶寬進行限制。

同時，BT軟件自己也帶有帶寬限制的工具。我們有時候可以給沒臺電腦都預裝BT系統，然后，對他們的帶寬進行限制。不過這種方法也只能夠預防那些菜鳥。對于懂點網絡或者BT軟件的人來說，沒什么大的作用。

通過工具限制每個用戶的帶寬，是一種不錯的方法。通過這種方法，可以迫使用戶自覺的關掉BT應用。而且，即使用戶在使用BT軟件下載文件的話，由于其總的帶寬收到了限制，所以，也不會對局域網產生很大的影響。

禁止用戶安裝BT軟件。若用戶電腦沒有BT軟件，那么他們也就根本無法利用BT工具進行下載了。所以，我們可以給用戶系統裝好后，進行權限限制。給他們一個普通用戶的權限，這個權限的特點就是，用戶不能夠自己安裝軟件。如此的話，即使用戶從網上下來了BT軟件的安裝程序，但是，因為其沒有這個權限安裝，所以，其最終還是無法采用BT軟件了。

不過，這個方法就是設置的比較死。若給用戶設置了這么嚴格的權限，那么用戶不僅不能安裝BT軟件，而且，其他的軟件他們也無法安裝。如有時候，他們可能需要安裝金山詞霸，不過因為他們沒有這個權限，所以他們無法自己安裝，而需要叫我們去幫他們安裝。所以，我們需要在這兩點之間進行平衡，看看到底采用什么樣的控制方式，才比較合理。即可以一勞永逸的達到BT限制的目的，也不會增加我們過多的工作量。

禁止網上購物

現在網上購物，因為其方便、價格便宜，已經逐漸在被人所接受。但是，這也給我們網絡管理員提出了新的挑戰。員工上班時間在網上“逛街”，已經影響到了企業的正常運轉。

封閉網上購物網站。網上購物，有一個信譽問題。一般員工，也不會去逛那些小網站，因為其信譽不能得到保障。所以，他們訪問那些有一定的信譽度、知名度比較大的網站，如現在流行的淘寶網站。我們若能夠把這些網站屏蔽掉的話，那他們也就沒有地方去“淘寶”了。

現在要禁止對某個網站的訪問，對于我們來說，已經是小菜一碟了。如我們可以直接在路由器上把某個網站給屏蔽了；也可以通過防火墻對某個網站的訪問進行限制，等等。

雖然現在通過代理服務器等設置，可以饒過這個限制去訪問網站，這個方法相對來說，技術性還是比較強的。

禁止使用網上銀行或者支付寶等網上支付工具。在網絡上購物，就要在網絡上進行貨幣支付，現在一般通過網上銀行或者支付寶等工具實現網上交易。若我們能夠把這些功能屏蔽掉，那么他們的交易也就不會成功了。

網上銀行，出于安全的考慮，都會要求用戶安裝安全認證工具。而這些工具基本上都是以插件的形式來實現安裝的。此時，我們可以通過權限設置，不允許用戶進行插件的安裝，可以限制他們使用網上銀行。在一定程度上，也就可以限制他們進行網上購物。