一、P2P管理:能“封”能“限”求灵活、圆满
其实,P2P技术是一种先进的点对点资源共享技术,其单纯的技术本身的合法性是无庸置疑的。因此,单纯的采取封杀的做法从法理上是讲不通的,而且也因噎废食,妨碍了正常的点对点应用。但正由于其先进、自由的文件共享机制,也带来了网络流量和内容的失控,才导致网络管理者左右为难。对于这种现状,招商卓尔信息公司的市场和技术人员深刻地认识到:从根本上解决互联网点对点应用的控制管理是摆在互联网安全设备生产厂商面前的一道新难题,该难题的圆满解决不能采取蛮横的封杀手段,而必须既要能够“禁止”,而且还必须能够根据网络管理需要灵活“限制”其对网络带宽的占用。
解决此问题的技术势必会满足大量客户的需求,取得良好的市场效益。因此,公司领导组织了专门技术班子进行技术攻关,从一开始就否定了普通的限制端口或IP等低级管理策略,转而从应用层的内容过滤入手,采取类似杀毒软件广谱特征码模糊匹配的原理,抽取各种P2P应用的根本特征,从而一举解决P2P管理问题上的准确性、适应性的难题。目前,招商卓尔公司在新版本的UTM安全网关的网络应用管理模块中,已经成功地实现了以下几点(图2):
1、“点对点”应用的“限”、“禁”结合
P2P管理不能搞单纯禁止的“一刀切”。 招商卓尔公司的新技术既可以灵活限制P2P应用所占用的带宽,又可以严格禁止使用,管理起来宽松灵活、收放自如。
2、灵活的用户分组管理
根据工作需要,不同的用户可分组管理,并分别给予“禁用”、“限制”以及限制其不同的带宽占用,极大地满足了工作复杂场合的需要。
3、方便的时间段分级管理
结合时间段管理,能够使企业网络带宽既充分得到利用,又不会因P2P类型应用而影响正常工作时间的网络速度,非常贴心!
4、可扩展性的点对点应用管理
由于招商卓尔公司采取了InfoGate所特有的应用层特征广谱模糊匹配技术,对于P2P客户端的一般性特征变更有非常好的适应性,开发过程中,技术人员前后测试几个月,针对多种、多个版本的P2P客户端进行了测试,证明其应用层广谱模糊匹配技术适应性很强。
若出现新的P2P类型的应用,则在应用层广谱模糊匹配技术的基础上,对新的应用的特征进行广谱分析并添加新的特征,即可实现对新出现的P2P的成功过滤。事实上,由于其应用层广谱模糊匹配技术的高适应性,目前甚至能够做到一套规则就能够匹配多种P2P客户端!
图1 科学、明晰的P2P管理规则
图2 丰富、实用的P2P管理选项
二、解开P2P管理的死结
基于点对点(即P2P)原理的下载应用,如BT、电驴等,对网络带宽的消耗极大,长期以来一直是网络管理人员的恶梦,一般情况下所采取的各种网络管理措施析在P2P应用面前大多显得无能为力,效果非常令人不满意。加上许多点对点下载客户端不断改进工作方式,成功绕过如端口限制、服务器限制等常规的管理手段,网络资源被极度滥用的危急状况难以从根本上得到缓解。目前,多数用户自行采取的限制P2P下载的方法,以最流行的BT下载为例,典型的不外乎以下几种:
1、限制种子文件的下载——种子文件下载链接可以存在于网络任何一个角落,甚至是通过电子邮件或QQ、MSN的消息进行传播,因此这种方法效果最差。
2、限制浏览BT网站的方法限制BT下载——由于BT网站层出不穷,加上许多BT种子的提供场所也是正常网站的一部分,因此封杀相关BT的网站效果有限而且副作用明显。
3、封闭种子服务器——种子服务器数量繁多,而且不可能收集齐全,新的种子服务器也会层出不穷,因此也是隔靴搔痒。
4、封闭BT常用的端口——目前的BT客户端已经可以随意分配端口,大范围地封锁端口会给其他正常的网络应用带来严重的影响,仍然是治标不治本。
5、在高端路由器等设备中设置规则进行限制——目前,只有Cisco之类的高端路由器才具备一定的P2P限制能力,但其配置较复杂,灵活性差,不方便进行灵活的带宽限制和分组、分时管理,加上许多单位并不一定使用的是这类设备,因此这种方法的适应范围也就非常有限。
6、在硬件防火墙上添加应用层过滤功能——目前有少数防火墙试图在现有防火墙模块的基础上添加针对应用层的过滤功能,但通过实际测试,由于硬件和软件并非是应用层管理而设计的,一方面会严重耗用防火墙的资源,另一方面因整合度不够,往往出现与防火墙功能造成某些冲突。正由于这些难处,这也是许多十几、几十万高端防火墙产品仍然没有公开宣传其P2P管理能力的原因。
综合上述各种做法,我们不难发现,类似防火墙的在网络层面工作的管理技术对那些P2P应用无能为力,由于P2P应用与正常的网页浏览和下载极其相似,因此通过对端口和IP/域名的限制是无法达到目的的,而必须采取应用层面的内容过滤技术!
三、令人叫“爽”的效果
深圳市招商卓尔信息技术有限公司是国内整合式模块化内容过滤UTM安全网关的首创者和倡导者,旗下产品InfoGate UTM安全网关集“防毒墙/防垃圾邮件/防火墙/内容过滤/泄密防范/VPN/IPS”七大技术于一体,在内容过滤的高效、兼容、灵活、可扩展性等方面取得了非常丰富的经验。也正是在这种深厚技术底蕴的支持下,才成功圆满破解了业界P2P管理的难题!
通过严格测试,我们发现,InfoGate UTM安全网关的P2P管理模块在电信、网通、教育网等我种不同网络环境下,其针对多种P2P的流量限制和禁用功能稳定有效:
启用P2P管理的“禁用”规则后,对随机得到的种子的禁用成功率100%;
设置P2P流量限制后,对新发起的P2P请求的速度限制准确(精确度高达1K);多个同时进行的BT任务的流量总和约等于(但不大于)设定的限制值;
限制或禁用P2P应用时,网关系统CPU平均占用率、内存平均使用率与未启用时没有明显上升,足见InfoGate UTM在综合内容过滤方面具有先进、强大的整合技术。
结论:如果你希望得到一款管理功能齐全、价格低廉、完全自主知识产权的国内领先的综合安全网关,则新型号的InfoGate UTM安全网关肯定是您的不二之选!