艾泰由器 网吧业主/中小企业主的明智之退

　　如果内网有用户使用BT下载的话，就会占尽几乎所有内网带宽，导致网络瘫痪，具体表现为网页打不开或者打开很慢，聊天的消息发不出去，游戏出现卡的现象。用HiPER内网主机速率功能，控制用户下载。对于BT下载的预防主要是利用CBQ为网内用户限定最高带宽，这样就能了用户BT下载，占用别人带宽的问题。当然，基于社会工程学原理信用机制的CBT算法对于BT等P2P工具的下载的管理更具人性化。在内网使用BT下载的用户的信用会随着占用带宽的突然增加而急剧下降，随着信用的下降，该用户可使用的带宽会减少，这样的机制更具有弹性。

　　对于BT等软件下载造成的问题，可以在由器的WEB界面中清楚的看出各个用户所使用的带宽，哪个用户在进行BT等软件下载，就可以轻松的看到，然后就可以采取措施对其封闭或者限速。

　　对于出现病毒感染或恶意造成的问题，由于内网的主机感染了病毒，会向网内其他主机发送大量的包，造成网络流量骤增，如冲击波震荡波病毒，SQL蠕虫病毒，伪造源地址的DDoS等。这些病毒发生时，带有明显的异常现象，这些异常可以在HiPER的WEB管理界面中，通过查看各台主机上传下载包，以及使用的内外网端口可以看出来。

　　如感染冲击波病毒的主机会发出的大量NAT会话，特征如：协议为TCP，外网端口为135/139/445/1025/4444/5554/9996等；会话中该主机有上传包，下载包往往很小或者为0。

　　感染SQL蠕虫病毒的主机发出的大量NAT会话，特征如：协议为TCP，外网端口为1433；协议为UDP，外网端口为1434；会话中有上传包，下载包往往很小或者为0。

　　而对于伪造地址源的DDoS，可以在WebUI――系统状态――NAT统计――NAT状态中，看到“IP地址”一栏里面有很多不属于该内网IP网段的用户。这说明网内出现了伪造地址源的DDoS。要查看是哪台主机在，只要在WebUI――系统状态――用户统计――用户统计信息，可以看到安全网关接收到某用户发送的海量的数据包，但是安全网关发向该用户的数据包很小，依此判断该用户可能在做伪造源地址。

　　所谓ARP就是内网某台主机伪装成网关，内网其他主机将所有发往网关的信息发到这台主机上。一般来说，ARP有两种情况，一种是将自己伪装成网关，让所有发往网关的信息发往自己，然后不做处理，导致用户发出去的信息有去无回，属于恶做剧类型。另一种则是将来的信息，继续发往网关，再将网关返回的信息转发给用户，自己做一次中继。但是由于此台主机的数据处理转发能力远远低于网关，所以就会导致大量信息堵塞，网速越来越慢，甚至造成网络瘫痪，这样做的目的就是为了截取用户的信息，盗取诸如网络游戏帐号，QQ密码等用户信息。

　　域网内某台主机运行ARP的木马程序时，其他用户原来直接通过由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。当ARP的木马程序停止运行时，用户会恢复从由器上网，切换过程中用户会再断一次线。

　　这个消息代表了用户的MAC地址发生了变化，在ARP木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址。既然我们已经知道了使用ARP木马的主机的MAC地址，那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP和MAC地址。当然，如果用HiPER对内网的用户实施IP/MAC绑定的话，用户就不能随便改变自己的MAC地址，也就可以避免ARP这样的事情了。

　　指定用户上网，实现的方法主要是通过IP/MAC绑定设置上网的黑白名单功能，IP/MAC绑定不仅可以用户随意更改自己的IP地址，还可以指定用户上网，将不允许上网的用户的MAC地址与不属于内网的IP地址绑定，从而达到部分用户上网的目的，也就是所谓的。

　　当然，对于允许上网的用户，在实际应用中也有不同的要求，如使用即时通讯工具，上班时间上网，控制指定用户访问指定网站，访问指定非法网站等。这些功能要通过IPFilter策略来完成。HiPER的IPFilter策略有三种，分别是IPFilter，IPSSGFilter，GenericFilter。

　　IPFilter只是对IP包进行判断和处理。它可以根据IP包的特点，如IP源地址，目的地址，协议和源端口，目的端口等对包进行处理，如转发或者丢弃。IPFilter的这些参数非常容易从实际得到。通过目的地址，源地址的匹配，就可以用户访问特定网站。如使用QQ，MSN等即时通讯工具，只需通过IPFilter策略设置封闭掉QQ、MSN等常用的IP地址或者端口，在检测到QQ，MSN等即时通讯工具经常使用的IP地址或者端口发出的包或者发往该IP地址或端口的包时，由器就会选择丢弃。

　　IPSSGFilter是扩展的Filter，是HiPER转有的Filter。IPSSGFilter判断的条件除了IPFilter中说的IP源地址，目的地址，协议和源端口，目的端口这些IP基本信息以外，还可以根据MAC地址，时间段等来判断。这样就可以控制内网主机的上网时间段，如工作时间不可以上网等。

　　GenericFilter是按照字节(bytes)或者比特(bits)检查任何包。使用GenericFilter，管理员需要可以根据包的内容来查找。通过GenericFilter策略能够设置站点过滤，关键字过滤，URL过滤等，内网访问非法网站等。

　　通过HiPER查询界面可以清楚的看到哪些用户在用即时聊天工具，并且可以通过设置相应的IPFilter策略来或者允许内网用户使用即时通讯工具，如要使用QQ，MSN。只要在IPFilter策略中关闭QQ常用的服务器IP地址，或者MSN的常用端口，如QQ服务器的

　　路由器限速软件下载等等，（地址需要不断更新，因为QQ服务器的地址是不断增加的）还有MSN的tcp1863端口65.54.0.1-65.54.255.254的tcp443端口等，这样就可以很好的内网用户使用QQ，MSN了，当然，还可以结合时间段，MAC地址等，来指定用户指定时间使用QQ，MSN等工具。

　　利用CBQ可以将相同的应用分成类，可以是基于地址，协议和端口的。可以为指定的类预留带宽，特定类可以使用的最高带宽，允许设定某类带宽空闲时外借，或者向其他类借用带宽类内所有的机器平均共享带宽，保持相对的公平。

　　CBT算法主要实现内部网络公平带宽的分配，BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理，对网络内部的各个主机给予带宽信用，一旦某些主机的流量超过信用太多，采取惩罚措施，降低这些主机的带宽。采用CBT算法实现公平带宽控制，可以在资源不足的情况下，公平，能高效,低延迟地提供流量控制功能，CBT能特别是对突发,不可预期的流量有效，而目前控制的挑战很大一部分来自突发流量，对WEB浏览，QQ，MSN，telnet等交互式的流量比较充足，而且ReOS实现的效率比较高。

　　现上海艾泰科技联合其广州办事处.深圳地区各经销商推出迎”五一”送手机促销活动,欢迎广大网吧业主与中小企业管理者免费测试一周,不满意全额退款,上门服务,全程技术。

　　・同级NO.1做工暴强捷波7600GS杀入千元!

　　・大屏普及风暴!优派2款19寸LCD杀至新低

　　・内置游戏50款!京华最强影音游戏王MP4到

　　・AMD处理器降品牌内存继续涨硬盘平稳

　　・咄咄逼人!魅族全降价512飞芯机跌至399

　　・10.6寸时尚轻薄本本再创新低!仅要6888