發表于:2009-07-21 00:00:00來源:天極網人氣:2911
軟防與硬防
防局域網下(xià)載的方法有兩大(dà)類,一(yī)是軟件,二是硬件。軟件就是采用流量控制軟件監視與控制局域網内電(diàn)腦的下(xià)載行爲,這種方法的成功率取決于軟件的完善度、執行效率和被限制者的計算機知(zhī)識水平。如果對方是個電(diàn)腦高手,那麽軟件層面的限制基本上不會起多少作用。硬件方面就是通過網絡出口的路由器來控制局域網中(zhōng)的電(diàn)腦對互聯網的訪問,由于它是基于硬件設備進行控制的,所以是目前最徹底和最有效的方法,想突破路由器的限制也不會像軟件那麽簡單。
軟防
首先來說軟件。現今網上有很多限制下(xià)載的軟件,例如網絡執法官、AnyView、聚生(shēng)網管等。它們都可以單獨控制某台電(diàn)腦的行爲,如阻止登錄QQ、阻止訪問指定網站,限制BT、HTTP下(xià)載、流量控制等。
筆者拿聚生(shēng)網管爲例,展示一(yī)下(xià)控制其他電(diàn)腦的過程和方法,其他軟件的使用方法基本類似,大(dà)家可以舉一(yī)反三。在描述過程之前,我(wǒ)(wǒ)們有必要先了解一(yī)下(xià)這類軟件的原理。我(wǒ)(wǒ)們都知(zhī)道局域網中(zhōng)的電(diàn)腦都是以客戶機的形式存在的,理論上說客戶機并沒有控制其他電(diàn)腦的行爲的權限,通常隻有網關、寬帶路由器和代理服務器能夠直接控制局域網中(zhōng)的電(diàn)腦。所以要想使客戶機具有控制他人的權限,首先要僞裝成代理服務器。
相信大(dà)家都聽(tīng)說過ARP這個詞,ARP(Address Resolution Protocol)是地址解析協議,是一(yī)種将IP地址轉化成物(wù)理地址(MAC地址)的協議。當A向B發送數據的時候,就會先去(qù)查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。
我(wǒ)(wǒ)們在配置網卡的IP地址時都有網關一(yī)項,當向互聯網發送數據時,客戶機是将數據直接發送給網關的,再由網關轉發到互聯網。那麽聚生(shēng)網管要想控制其他客戶機,就要借助這個網關,讓所有客戶機認爲你的電(diàn)腦就是網關,它們發送到互聯網的數據都是先發送到你的電(diàn)腦,再由你的電(diàn)腦發送到真正的網關,再轉發到互聯網。不過,這個軟件不像其他的網絡監控軟件不同,他不會捕獲你的下(xià)行數據包,你的下(xià)行數據包直接由局域網的網關發送到相應的電(diàn)腦上,不經過裝聚生(shēng)網管軟件的電(diàn)腦,從而對網速基本沒有什麽影響。而目前國内類似的網管軟件,包括一(yī)些放(fàng)到網關出口的硬件還會将下(xià)行的數據包截獲并轉發給相應的電(diàn)腦,從而對網速有較大(dà)的影響。
知(zhī)道了原理,接下(xià)來就來看一(yī)下(xià)聚生(shēng)網管的具體(tǐ)用法。
第一(yī)步就是安裝軟件,安裝完成後啓動軟件。
在使用軟件之前要先進行配置,進入軟件配置界面,選擇你連接網絡所用的網卡,下(xià)面就會顯示網卡的當前IP地址、子網掩碼、MAC地址和網關地址。
然後進入應用管理界面下(xià)的控制下(xià)載,勾選啓用P2P下(xià)載控制。如果不勾選此項就不能對客戶機進行P2P流量限制。
再進入網絡控制台界面,點擊“啓動網絡控制服務”,輸出列表裏就會顯示已掃描到了P2P流量信息。
這時,進入主機掃描界面,刷新一(yī)下(xià)網絡,我(wǒ)(wǒ)們就能看到局域網中(zhōng)的所有客戶機的信息,包括IP地址、上行流量、下(xià)行流量和MAC地址。
我(wǒ)(wǒ)們可以右鍵點擊某個IP地址,在選項中(zhōng)設定上、下(xià)行的最大(dà)流量。
這款軟件還可以控制QQ登錄、禁止訪問指定網站等功能,但本文的重點是防P2P下(xià)載,所以其他功能就不做詳細的介紹了。
我(wǒ)(wǒ)們掃描到192.168.0.5和192.168.0.10有BT流量,所以針對這兩個主機進行了流量限制。
同時,聚生(shēng)網管軟件有高達六種監控模式,可以針對不同的網絡結構來調整,基本能夠适應國内各種各樣的網絡結構。同時,聚生(shēng)網管新版本支持的P2P軟件更多,諸如:BitComet(比特彗星)、eMule(電(diàn)騾)、eDonkey(電(diàn)驢)、Poco/PP點點通、Kamun(卡盟)、迅雷、Vagaa(哇嘎畫時代)、Kugoo(酷狗)、Baidu下(xià)吧、BitSprit(比特精靈)、μTorrent、百寶、Shareaza(Raza)、aBitCool(網酷)、Tuotu(脫兔)、PPLive、PPFilm(皮皮影視)、PPVOD(PP點播)、PPStream(PPS網絡電(diàn)視)、QQLive(QQ直播)、ViviPlay(TVKoo網絡電(diàn)視)、UUSee(悠視網網絡電(diàn)視)、CoolStreaming、沸點網絡電(diàn)視、PPMate(網絡電(diàn)視)、貓眼寬頻(pín)、TVAnts(電(diàn)視螞蟻)、超級旋風、網際快車(chē),網絡螞蟻等等。
硬防
硬防就是利用網絡出口端的網關或寬帶路由器進行控制,這首先需要你有寬帶路由器的管理權限,用管理員(yuán)帳号登錄到路由器後編輯轉發規則,來對指定的主機進行限制。它的優點就是安全、高效,不會對整體(tǐ)網速産生(shēng)嚴重的影響,而且隻有路由器的管理員(yuán)能夠修改限制參數,這時聚生(shēng)網管這類軟件就不起作用了。但它也有缺點,就是不靈活,參數設置比較複雜(zá),對管理員(yuán)的知(zhī)識水平有一(yī)定的要求,使用不當會有斷網的可能。但相對于軟防來說,硬防的優勢還是很大(dà)的。
硬防的原理就是通過路由器的IP地址過濾功能限制某個IP或IP段的計算機的某些端口連接到互聯網。筆者拿TP-Link的TL-R402+爲例爲大(dà)家演示這一(yī)過程及配置方法。
要使用IP地址過濾功能,首先要開(kāi)啓防火(huǒ)牆,再開(kāi)啓IP地址過濾功能,在缺省過濾規則中(zhōng)選擇一(yī)項。然後進入IP地址過濾界面。這裏會顯示當前所有的過濾規則及狀态,點擊添加新條目。
局域網IP地址:我(wǒ)(wǒ)們可以在其中(zhōng)輸入指定IP地址或一(yī)個地址段。
局域網端口:這個參數是指本機向互聯網發送數據時使用的端口地址。例如QQ登錄時使用本機的4000端口進行連接。
生(shēng)效時間:這個參數是由四位數字組成,前兩位代表小(xiǎo)時,後兩位是分(fēn)鍾。例0800爲早上8點。
廣域網IP地址:可以指定禁止連接的廣域網IP地址或地址段。如QQ服務器地址202.104.128.233。
廣域網端口:此參數可禁止連接指定廣域網IP地址的端口。
協議:有TCP、UDP和ALL三個選項,一(yī)般選擇ALL就可以了。
通過:有允許通過和禁止通過兩個選項,與上面的參數配合使用。
狀态:有生(shēng)效和失效兩個選項,可設定此條目是否生(shēng)效或失效。
其中(zhōng),局域網IP地址、局域網端口、廣域網IP地址、廣域網端口如果不填寫數值則代表所有IP地址和所有端口。
們來舉個例子演示一(yī)下(xià),假如讓局域網中(zhōng)所有主機不能使用迅雷下(xià)載資(zī)源,新條目中(zhōng)的參數的配置如下(xià):
開(kāi)啓防火(huǒ)牆、開(kāi)啓IP地址過濾,選擇“凡是不符合已設IP地址過濾的數據包,允許通過本路由器”。添加一(yī)個新條目,參數如圖:
之後點擊保存就可以了,條目會在IP地址過濾界面出現。
筆者收集了一(yī)些常見軟件的端口号,用戶可以直接用這些端口号編輯條目。
端口号列表
硬防的複雜(zá)性就在于條目的編輯,它需要用戶對網絡基礎和端口規則有一(yī)定的了解,使用不當會造成網絡的癱瘓。有些時候爲了限制一(yī)個IP地址的上網行爲需要編輯好幾個條目,對用戶的知(zhī)識水平要求較高。
綜述
可以說軟防和硬防各有優缺點。軟防不需要用戶有管理權限,凡是局域網中(zhōng)的主機都能成爲控制端,用戶隻要在軟件界面中(zhōng)調整參數即可。
硬防的安全性顯而易見,隻用擁有管理權限的人才能控制其他人,所有限制規則都是在路由器上完成,破解起來要複雜(zá)的多。缺點就是對管理員(yuán)的知(zhī)識水品要求高,編輯條目時要格外(wài)謹慎,有一(yī)個參數出錯就有可能造成大(dà)面積斷網。
總而言之,軟防和硬防都是迫不得已才使用的手段,能夠通過協商(shāng)來達成共識才是最恰當的辦法。希望你在使用共享網絡的同時多考慮一(yī)下(xià)别人,那麽就能打造一(yī)個高效快速的網絡環境了。