構筑立體化數據防泄密體系(二)

2 業界 防泄密 介紹
為了解決企業面臨的機密數據的泄密問題,現階段國內外應用較廣泛的手段有:數據權限管理技術、數據加密技術、數據防泄密技術、行政管理手段等。

2.1 數據權限管理技術

數據權限管理技術一般通過集中的權限管理中心,對每一個文檔的訪問權限進行控制。用戶訪問文件時,需通過權限管理中心服務器驗證與授權后方可正常使用文檔。數據權限管理技術的主要優點是集中管理和授權,可以決定數據的訪問和使用方式。但此類系統大多需要特殊的閱讀器,只能對特定格式文件進行控制,不能防范被授權用戶的主動泄密。數據權限管理系統在一定程度上可以控制數據文件的傳播和使用,但是仍然存在著很大的不足。

2.2 數據加密技術

數據加密技術的思路就是將受保護的機密文件進行加密存放。它的主要優點是能夠阻止沒有密碼的人非法獲取信息,即使丟失數據也沒關系。數據加密常見的方式有基于應用程序插件的主動加密、基于API攔截的主動加密、基于文件系統驅動技術的主動加密等。但是無論哪種加密方式,對于密鑰的管理復雜性較高。同時它同樣存在著只能對特定格式文件進行控制、不能防范被授權用戶的主動泄密和文檔作者的主動泄密等不足。

2.3 行政管理手段
行政管理手段的主要優點是能夠從管理制度上對用戶使用機密數據進行限制。行政管理控制的有效性主要依賴于個人的自覺性和自主性,以及個人的職業道德水平,缺乏一些有效的技術手段對這些應用數據的流轉、外送和存儲,進行有效地跟蹤審計,甚至是實時阻止和保護。完全依賴行政管理手段,不可避免的會由于安全意識不足或者個人利益驅使,發生核心機密數據的外泄情況。

2.4 數據防泄密技術

數據防泄密技術通過使用多種內容感知技術,發現敏感或機密數據,其工作原理主要由數據發現、數據監控、數據防止與審計3個模塊來實現。數據防泄密技術的優點是能夠實時審計、阻止機密數據的外泄,是一種過程控制策略。但是還存在因未主動加密,導致諸如硬盤物理拆卸拷貝造成的數據泄密等問題。

綜上所述,由于目前沒有一種防泄密技術可全面滿足企業機密數據精細化控制、防護的策略,需綜合運用管理手段與各種防護技術,實現數據防泄密體系化的構筑,才能滿足企業防泄密的需求。

構筑立體化數據防泄密體系(三)

3 立體化數據防泄密體系的構筑

3.1 立體化數據防泄密體系的框架

立體化數據防泄密體系的思路是圍繞“你是誰”、”誰能用“、”誰亂用“為控制點,利用行政管理手段進行流程規范管控,同步實施嚴格的終端準入控制,并綜合利用數據加密與權限管理技術、數據防泄密技術對應用數據的流轉、外送,存儲,進行有效的跟蹤、審計、實時阻止與保護,達到企業枧密數據防泄密的要求,整體框架如圖l所示。

3.1.1 行政管理手段
通過行政管理手段梳理企業機密數據,明確機密數據的等級,規范機密數據的審批流程、加密規則、授權要求、使用責任及義務;同時通過制定完善的考核辦法為各種防泄密技術的實施提供管理保障。

3.1.2 統一身份認證與終端準入控制

建立企業統一的身份認證體系,確保企業員工在使用機密數據的過程中身份的唯一性,解決“你是誰”的問題。
實旄嚴格的終端準人控制策略,對終端進行身份認證及合規檢查,非認證、非合規終端無法接入企業網絡;解決了終端的“誰能用“問題,并控制“誰亂用”現象。

3.1.3 數據加密與權限管理系統
部署數據加密與權限管理系統,實現對需要加密的文檔進行細密授權管理,加密文檔能夠授予只讀、修改、打印、離線等權限滿足了企業機密數據精細化權限控制的要求,解決了數據“誰能用”的問題。

3.1.4 數據防泄密系統
數據防泄密系統,以下稱之為DLP系統,通過發現敏感或機密數據,在跟蹤其用戶的使用行為,記錄或阻止敏感信息泄漏,通過自動識別、自動監控、自動稽核保護的方式實現對機密數據的安全保護,解決了數據“誰亂用“的問題。

3.2 立體化數據防泄密體系的部署
3.2.1 行政管理手段的部署
通過對企業數據的梳理,明確定義公司年度工作會等l5類為企業機密數據,同時將機密數據分級,進一步制定了分層、分級的權限矩陣表。如表l列舉了公司年度工作會的權限矩陣表。

所有企業機密數據在使用、傳播,存儲過程中,公司規定必須依據權限矩陣表,使用數據加密與權限管理系統進行合規貹的加密與授權,不得私自擴大知悉范圍,防止泄密。
此外,公司保密管理部門定期進行重要機密數據的使用審計,對未做好機密數據管理的單位與個人,直接通過績效進行考核。

3.2.2 統一身份認證的部署
身份管理是指企業管理終端用戶和網絡實體整個安全生命周期的過程。結合當前業界統一身份管理技術和產品的最新發展和趨勢,建設了以”統一身份管理“和”統一登錄驗證“為核心的統一身份認證實施方案,如圖2所示。

通過統一身份認證系統的實施,不但解決使用機密數據的過程中身份的唯一性,同時提高了應用程序安全性,降低了企業管理成本,改善了用戶體驗。

3.2.3 終端準入控制的部署
實施嚴格的終端準入控制策略,終端必須加入公司的AD域且安裝終端監控客戶端軟件。由終端監控客戶端軟件進行身份誰和安全合規性檢查,才能接入辦公網絡。安全合規性檢查包括終端的基本防護策略、是否安裝數據加密與權限管理系統與DLP系統等。

合規性檢查合格,則允許進入企業核心網絡,否則進入修復區,如圖3所示。
規范統一的終端準入管理,整體提高接入終端的安全防護等級,有效防范蠕蟲病毒可能引發的防泄密風險,阻止了非認證、非合規終端的接入。

3.2.4 數據加密與權限管理的部署

數據加密與權限管理系統通過部署DSM系統實現了對需要文檔進行加密授權管理,實現了對企業機密數據的分層分級授權,同時確保了企業機密數據離開企業內部環境后的不可讀性,防范機密數據因丟竊、盜取等原因造成的數據泄密,如圖4所示。

3.2.5 數據防泄密技術的部署

根據數據源走向分析,總結出了本地硬盤、移動介質、截屏拷貝、電子郵件等l4種泄密途徑。基于泄密途徑,制定出了明確的管控方式。表2列舉了其中3種泄密途徑及管控方式。

基于管控方式與防泄密策略,在DLP系統上部署了l2種策略參數。表3列舉了其中檢測向外傳送的數據中是否包含l5位或l8位身份證號碼的客戶信息與是否包含客戶賬單兩種策略參數的設置。

經驗證,通過泄露途徑的管控與策略參數的部署,能夠有效的檢測機密數據的存儲及流轉,由DLP系統完成告警、記錄、審計和阻止。

3.3 立體化數據防泄密體系的應用效果

根據研究成果和項目實施,2010年起開始在某電信運營公司部署并快速應用。經實踐證明,通過數據防泄密管理體系的構筑,將數據防泄密從以前的“事后查找取證”轉變為現在的“事前預防審核“,有效降低了可能對企業經營造成危害的各項信息風險。

4 下一步研究方向
(1)進一步加強DLP系統和DSM系統兩種技術的自動結合,以實現敏感信息的完整生命周期管理;
(2)研究在互聯網出口和無線WLAN環境下的密文破解和如何進行更有效的實時攔截防護。

智能局域網監控系統

在企業管理中為什么需要??局域網監控軟件 來輔助管理?

隨著計算機技術、網絡通信技術、視頻編碼技術、數字圖像處理等技術的快速發展,網絡監控系統作為現代化管理手段越來越多地進入到各種應用領域.中小企業采用網絡監控系統既可以用作安全保衛監控,又可以用于生產管理調控和勞動紀律監控,可整體提升企業的管理水平.現代企業監控系統一般采用智能局域網監控系統 .

下載試用
監控技術的發展經歷了傳統監控技術和現代智能網絡監控技術兩個階段.傳統的監控系統一般都是閉路電視監控系統,采取模擬信號傳輸圖像,通過監視器監視現場情況.其缺點是所有的信息都集中于監控中心,無擴展傳輸及控制能力,這種基于模擬信號的監控技術限制了傳統監控系統的發展.智能局域網監控系統則是利用計算機網絡技術及多媒體信息處理技術實現的網絡數字監控系統.監控的視頻、報警、控制信號可傳至網絡上的每一個節點,可以利用計算機網絡在不同的地點同時監控、控制遠程的某些場所,同時控制云臺、鏡頭等設備及時獲取各種信號,進行遠程指揮.

智能局域網監控系統以計算機網絡為平臺,系統主要是通過IP地址來識別所有的監控設備.系統具有布控區域廣闊的特點,視頻信號可通過網絡任意調看,擴展了布控區域;而且系統具有很強的擴展能力,所有設備都以IP地址進行標識,設備增加只是意味著IP地址的擴充.

智能局域網監控系統技術實現的關鍵是采集信號的數字化和信號傳輸的網絡化.數字化首先應該是系統中信息流(包括視頻、音頻、控制等)從模擬狀態轉為數字狀態,信息流的數字化、編碼壓縮、開放式的協議,使智能局域網監控系統與安防系統中的各個子系統間實現了無縫聯接,并在統一的操作平臺上實現管理和控制.系統采用多層分級的結構形式.系統的硬件和軟件采用標準化、模塊化和系統化設計,使系統具有通用性強,開放性好,系統組態靈活,控制功能完善,數據處理方便,人機界面友好,系統安裝、調試和維修簡單化,系統安全可靠等優勢.

局域網監控軟件 就是這樣一個純軟件構架的智能局域網監控系統,為您的企業管理提供有力保證.

基于遠程桌面配合邊界策略的穿透

作為網絡管理員,經常需要通過遠程桌面連接運行著各類業務的Windows服務器或網管PC,Windows白帶的遠程桌面無疑是各種遠控工具之中的首選,它來源干系統,獲取方便,而且能自如地進行遠程與本地的文件交互,在Windows遠程維護工具排行榜中名列前茅。除此之外,還有諸如PCAnywhere、VNC等耳熟能詳的遠程控制工具,但如果網管員需要在園區網絡以外進行遠程連接,我們又該怎么辦呢?下面以筆者近年來使用過的穿透辦法為例,探討在相對安全的情況下可采用的穿透途徑。

首先介紹一下筆者的應用環境,園區網絡擁有兩條出口,固區內所有的計算機均使用教育網實IP,DMZ中服務器所有發起和進入的連接都走教育網,包括網管PC在內的其他計算機均通過邊界路由使用策略路由規則,一部分園醫對外訪問通過偽裝走電信出口,其余仍以實IP走教育網出口。除位于DMZ區域服務器開放少數對外服務端口,邊界路由均攔截由外向內發起的所有連接,即不可直接請求其他計算機任何端口。

基于遠程桌面配合邊界策略的穿透

遠程桌面是基于RDP協議圖形界面、多通道的遠程管理協議,最初隨同終端服務出現在Windows NT 4.0上,在通信時使用TCP的3389監聽數據。隨著Windows2000/XP/Server 2003的更新發展,逐步具備了打印機轉向、24位顏色、聲音轉向、文件系統轉向、通訊端口轉向等強大便捷的功能。園區網絡或內部網絡的安全策略通常會關閉對外聯系的3389端口,以規避早些年終端服務出現的各種安全問題和缺陷,但不使用圖形桌面的遠程控制,叉難以較好控制和管理Windows,因此需要對“3389”做‘點變通。

策略一,既然服務器位于DMZ允許開放少數相對安全的通訊端口,那么將3389改為其他服務的默認端口或不常見高端端口,繼而實現對服務器遠程控制的內網穿透。修改遠程桌面的通信端口,在注冊表編輯器中找到Hkey_local_machineSvstemCurreritcontrolsetControlTerminal serverWdsRdpwdTdsTcp,將其下的Portnumber值從3389修改為任意的高端端口,如13579.修改時注意選擇十進制數字。然后在邊界路由上放開相應IP及端口號從而實現非默認端口內網穿透。此舉可以簡單地避免直接對3389這個高危端口的掃描和嗅探。

策略二,直接修改服務器注冊表難免不夠嚴謹,直接從園區外控制服務器畢竟安全性也是有限的,改進的辦法是增加網管PC作為跳板——即在園區外直接訪問園區內的一臺網管PC,再從網管PC上嵌套登錄需要維護的目標服務器。網管PC不在DMZ區域,享有兩條出口,放開其在教育網上的端口意義不大,由于其從電信出口訪問是采用的IP偽裝,因此可在防火墻上定義端口轉發規則,即在IP3上將任意一高端端口號映射到被控主機IPl的3389端口。

以上兩種策略都是基于端口號的變換,相比之下,策略一實現的遠控外部網絡必須回到教育網,而公眾網通常與教育網互聯較慢,受網速影響,遠控的效率和體驗也較差。策略二靈活利用了電信出口,使園區外與園區內之間享有較高速的網絡連接,并且即使有“好奇者”掃描到了相應開放的端口,也不能準確把握對應的計算機和路由,具有一定的迷惑性,能夠確保安全性。但這兩種策略都需要得到出口安全策略在端口上的支持,若能定期修改這些變化后映射的端口號,也能在一定程度上迷惑“好奇者”,減少端口暴露的機會,有意或無意的網絡掃描也難以找到目標,減輕端口開放后的安全威脅。

CAN總線網絡監控軟件設計之-方案設計

2.1 功能
CAN總線 監控軟件 需具備的功能包括CAN總線通信(數據接收與發送)、數據處理(數據解析與存儲)和數據應用(將數據展示為圖表,數據回放等)。

2.2 功能模塊關系

CAN總線的監控過程即是對通信數據的處理過程。軟件首先通過與CAN總線上的節點通信來接收和發送數據,然后將這些數據記錄在文件中,同時對數據進行分析處理,軟件根據 由用戶所設定的數據格式對數據解析,最后是對數據信息的應用,根據用戶的設定,可以對數據進行表展示,曲線繪制或者歷史回放。

2.2.1 通信

通信是 監控軟件 獲取數據信息的方式,也是軟件的基礎 。它的主要功能是接收和發送CAN總線中節點的數據,是數據解析和應用的來源。監控節點需要連接到 CAN總線網絡中。

2.2.2 數據記錄

數據記錄模塊是將接收或者發送的數據以一定的形式記錄在文件中,用以對數據進行后期分析,或者通過回放功能復現CAN總線狀態。為能達到復現的,此記錄文件需記錄的信息包括原始數據包和收發時間,時間信息具體內容為通信數據的時間間隔,基于此回放功能更加真實模擬網絡中的狀態。

2.2.3 數據分析

數據分析模塊是整個監控軟件的核心,它負責按照用戶設定的解析模式將收發數據報解析為可以理解的信息值。每一幀數據的解析過程可以分為以下3步:(1)定位。通過數據幀格式來定位每個信息在數據包中的起始位置,將數據包分組。(2)截取。通過起始位置和數據長度,可以截取到所需的數據。(3)轉換。由于截取所得到的數據為原始數據,所以需要將其轉換為可以理解的信息。

2.2.4 數據應用

數據應用是指軟件對用戶所提供的數據服務。本軟件實現了以下幾個功能來應用數據:(1)數據表。用于向用戶提供所需要的信息,展示總線數據。(2)繪圖。根據用戶需要對某些需要顯示數據變化的內容進行曲線繪制。(3)回放。將存儲于文件中的歷史數據按照收發時間順序重新播放,以重現網絡狀態,它為用戶提供了一種調試網絡的簡單方式。

CAN總線網絡監控軟件設計之-設計需求

CAN總線網絡即控制器局域網絡(Cmtroller AreaNetwo.k,CAN),是由德國BOSCH公司在20世紀80年代為解決現代汽車巾眾多的控制與測試儀器之間的數據交換而開發的一種串行數據通信協議,可實現點對點、一點對多點及全網廣播3種方式的發進和接收數據。傳輸的數據采用CRC校驗,能夠有救地降低誤碼率。CAN總線的通信介質可以是雙絞線、同軸電纜或者光導纖維,通信速率可達1 MB/s。由于具有通信速度快、可靠性高、價格便宜等特點,使CAN總線成為應用廣泛的現場總線之一。

當前,市面上已有多種CAN蕾線的分析測試工具.如廣州周立功公司的CANalvse.德國Ve.to.公司的CANce等。這些軟件工具具有較強的功能,但對于一些小型CAN網絡開發組件來說,其附加費用較大,基于此考慮,本文提出了一種功能完善、操作簡潔的CAN網絡監控系統設計方案,可達到對CAN總線運行情況監測分析的目的。

設計需求

通過對一些通用CAN總線 監控軟件 的分析,并結合設計提出的實現一個較為通用的CAN總線監控軟件的要求,可以將此軟件的設計需求總結如下:

(1)具有適應CAN控制器各種工作模式的功能,用戶只用稍加配置,便可以將此軟件用于具體的CAN總線網絡的監控中。

(2)具有用戶自定義數據幀格式及其解析方式的功能,以使此軟件可以滿足不同環境下的使用要求,對用戶所需要的數據內容進行解析。

(3)具有數據可視化顯示功能,如數據表展示數據,圖形繪制數據曲線等方式。使用戶可以較為直觀地對網絡數據和狀態進行監控。

(4)具有將通信中的數據信息進行分類的功能,方便用戶對數據的分析。

(5)具有查看歷史數據的功能,將歷史數據記錄下來,并提供一種方式實現對歷史網絡狀態的重現,方便用戶調試。

局域網監控軟件

CAN總線網絡監控軟件設計之-技術和測試

關鍵技術
1 數據解析
鑒于CAN總線的應用廣泛,從汽車到工業現場的應用,所需要監測的信息不同,故軟件對數據的解析方式也不相同。數據的解析過程需要用到用戶所定義的數據格式,這里使用XML文件來描述數據幀的內容。如圖6所示,幀ID為OxO1的數據內容包:一個 16位數據表示的溫度值,信息類型為整數;一個 16位數據表示的壓力值,信息類型為正整數。
2 數據回放
回放功能是將歷史數據及當時的網絡狀態按照原過程如實演示,使用的數據源是從歷史記錄文件中獲取的。記錄文件由記錄模塊將總線數據按照時間順序寫入文件中生成,使用回放功能是將所記錄數據按順序讀入,按照記錄時間模擬當時的順序實現回放功能,用戶可通過應用功能再次使用數據表、繪圖來呈現數據。
測試
在實際應用中,將監控節點接入CAN總線網絡中,完成軟件設定后,便可開啟對總線的監控。使用數據表顯示所測得信息的正確性,并驗證通信是否正常。所生成的數據表如圖7所示,顯示信息來自節點1和節點3,以及發自它們的溫度和壓力值。使用繪圖功能將此溫度變化繪制為曲線圖形.

本文提出了一個CAN總線 網絡監控軟件的方案,并描述了此軟件的設計方法和所使用到的關鍵技術。依據此方案,實現了一個較為通用的CAN總線 監控軟件 ,它可通過分析由用戶設定傳輸數據格式的方式,自動對數據進行解析,可滿足大多數CAN總線的監控需求。在應用中,它可幫助用戶調試和測試網絡,有效提高工作效率。通過實際測試,驗證了此方案的可行性。但是,本文提出的設計方案也有局限性和進一步提升的空間。在后續研究和設計中,可以將數據融合技術逐步加入到軟件對數據的分析中,并可將此工具演化為一種通用的軟件中間件,以便進行更多的應用。

企業監控員工孰是孰非?

現在是早上9點,你知道你的員工在哪里嗎?

為了最大限度地”擠壓”出員工的工作效率,確保員工老實呆在他們的辦公桌前,很多公司啟用了復雜的電子跟蹤系統,跟蹤對象是白領男女們。

紐約一家律師事務所配備了新型的打卡機,每個人進出辦公室時,都要將手指放在門口的一個傳感器上。事務所的合伙人之一德爾克說:”我希望知道員工在午餐上用了多長時間,這個儀器讓每個人變得誠實。到現在為止,我們的工作效率得到了很大的提高。”

對24歲的助理律師萬達來說,公司的這套生物測定系統實在讓人吃驚。“我換過3個工作,還從來沒見過這玩意兒,”她說,”但當午間休息結束后,把拇指放在傳感器上能讓我更清醒地意識到自己回到了工作狀態。現在,如果午間需要外出的話,我很匆忙,因為我是真的在趕時間。”

北美的三菱電機廠則使用一個電腦系統來記錄員工的工作時間。在某個特定的時間段里,500個白領員工中有多少人正在工作,電腦終端上一目了然。這個系統還可以跟蹤2600名藍領工人的動向。以前,工人們都在紙上填寫出入工廠的時間,但現在,他們每人手持一個可供系統自動識別的身份牌。會計部經理安妮說:”我們每天都會查看這個系統,我們所掌握的數據能顯示出,有多少人的工作效率和他們拿的薪水是相稱的。”

這些做法遭到了職場權利維護者的反對。他們認為,電子監視系統經常會侵犯員工的私人空間,如果管理者要用每分鐘檢查一次員工的物理位置來判斷他們是否在工作的話,那么,他是個不合格的管理者。另外一些人認為,當工人受到如此嚴格的監控時,他們的士氣和效率反而會下降。粘在辦公桌前是衡量工作態度的標準,但不是唯一的標準。如果沒有一個鼓勵靈活性和創造性的工作環境,員工就沒有發揮個性的空間。他們相信,應該用更好的方法去激勵員工,而不是拴著他們。

企業在上班時間監控員工的工作情況有著一定條件下的法律支持,對待這項事物我們不能一口定音地說孰是孰非,企業有著自身的考慮,而且企業監控員工也確實對一些企業的生產率的提高有著很大的作用,對企業安全(包括數據安全)有著重要的意義;另一方面,監控給員工的不僅是一種行為準則的檢測,也是對員工的一種不信任和隱私的一種可能的侵犯。對此,Ping32 局域網監控軟件 提醒您,企業監控員工不是不可以,而是要用好,要和員工溝通好,要注意保護員工的隱私。

如何激活產品?

初次使用威眼局域網監控軟件,會有7天試用期,試用期內最多管理10個用戶,功能與正式版相同。

如果你對產品滿意,可以購買授權激活產品。我們支持兩種方法激活產品。綁定計算機,或者UKEY激活,一般來說,購買正式版后我們都會建議使用UKEY激活產品。

使用到期后,登錄管理端,系統會提示試用期已滿的窗口,如下圖:


如果你已購買產品,點擊 激活產品 按鈕,開始激活。點擊后,會彈出 激活界面,如下圖:


請把 申請碼 發給我們或產品經銷商,我們會開始制作激活文件,稍后你將會收到 *.nsc 類型的激活文件,選擇激活文件后系統將會被激活。


激活后,即可進入系統,點擊主菜單的 關于 按鈕,你可以看到授權信息,包含:授權用戶,授權點數等信息。如果你發現授權用戶名稱和貴公司名稱不相符,請及時聯系我們。如果你想要擴充點數,請聯系客服獲取新授權,然后點擊 重新激活 按鈕。

巧用由路器封殺P2P提高共享上網速度

在使路由器共享上網的時候如果感覺速很慢的話可以通過修改路由器設置常用的軟件的域名給限制了效果還是非常好的。

如果ADSL帶寬比較少的話,360safe、microsoft6的域名也可以禁用安裝360安全衛士的人還是蠻多的,這兩個域名會自動被訪問!其它域名,大家發揮一下想法吧。其它路由器品牌過濾域名的方式不同,比如tp-link就是采用(*.pconline.com.cn)這種方式,這里就不一一舉例說明了,操作方法雷同。

自從過濾域名后,好了一段時間,網速慢的情況又發生了,沒辦法筆者進入后臺,仔細一看發現有一個用戶經常訪問pplive被路由給過濾了,這說明他是打開pplive軟件,為了證實過濾域名有沒有效果,筆者安裝了最新版的pplive軟件,一運行發現對pplive一點作用都沒有。接著筆者用IP雷達分析PPLIVE訪問的域名,把這些域名抓出來,然后再過濾,再測試還是一樣沒有半點效果,最后宣告方法失敗!

功夫不負有心人啊,下一步該怎么做呢?

過濾域名行不通就從IP策略入手!PPLIVE沒有默認的IP服務端口,所以必須想個比較靈活的方式去限制!打開IP訪問控制界面。因為所有的網站軟件,都是通過端口來進行通訊的,比如QQ采用4000、8000,網頁采用80,但是這些P2P軟件并不是采用固定的IP端口來工作的,所以在控制的時候就要把規則寫得周全一些,經過上網搜索相關資料,和使用IP雷達分析種種P2P端口的情況,發現P2P一般是采用3-4位數的UDP端口而且是隨機變化的,抱著試試看的心態,增加幾個規則還是有效果的,為了不影響正常軟件的使用,又增加了幾條可允許訪問的端口的規則。

開放QQ4000-8000端口。QQ是大家經常用的聊天和通訊工具,當然是允許使用了開放常用端口21-443,注意了都是TCP端口,這條規則包括了很多常用的端口,如21FTP,80HTTP,25,110,443為HTTPS端口,收發網頁郵箱和網上銀行經常要用的,別忘記了。禁用的端口分了兩部分,筆者選擇從444-7999,8006-65535,考慮路由器智商太低把開放的端口也限制了,TCP和UDP筆者都限制了,就是為了保險起見。

最后保存重啟路由,再撥號,PPLIVE搞定了,再測試其它P2P有關的軟件都打不開了!

另外提醒大家,不要一味地使用什么P2P終結者類型的軟件去限制網速,采用本方法限制了P2P下載后,幾個人打開網頁的速度還是能接受的。雖然家用路由器功能簡單,沒有企業級別的路由器功能強大,只要用心去摸索還是會有驚喜的,比如限制IP段,限制MAC,有些家用路由還有限制帶寬的功能,這些并不是什么高深的技術,大家可以舉一反三!

這種方法家庭用戶的話,還是比較合適的,但是由于操作精度不夠,而且不能區別對待用戶,所以對企業用戶來說顯然是不夠的。企業用戶需要進行局域網(或者跨網段)管理的話,可以試用一下Ping32 局域網監控軟件 ,它不但可以記錄員工電腦的任意操作,而且還可以遠程控制員工電腦,批量禁止特定員工進行P2P攔截,網址限制等,非常方便而且精準。