彭伊光1,李响2
(1.国家林业局哈尔滨林业机械研究所,黑龙江哈尔滨150086;2.民航东北空管局黑龙江分局,
黑龙江哈尔滨150079)摘要:各单位有限的带宽资源很容易因一些用户的P2P 应用过多被占用,导致局域网内其他用户的上网速 度很慢。介绍了利用防火墙流量控制功能对网络流量进行合理分配和控制的策略,以合理地分配带宽资源,提高上 网效率。
关键词:防火墙;流量;端口中图分类号:TP393.07
文献标识码:A
双面绣是谁发明的
文章编号:1001-4462(2011)08-0050-02
Ensuring Clear Internal Network through Scientific Flow
Management and Control
PENG Yi-guang 1,LI Xiang 2
(1.Harbin Research Institute of Forestry Machinery,State Forestry Administration,Harbin Heilongjiang 150086,China;2.Heilongjiang Branch Bureau,Northeast Air Traffic Management Bureau of CAAC,Harbin Heilongjiang 150079,China
)
电脑热管散热器
A b s r ac t :The lim ited bandwidth resources of each unit are easily excessively occupied by the p2p application of som e users,which results in the slow Internet speed of other users in the local area network.S om e m easures for using the flow control function of firewalls to rationally allocate and control network flow are introduced in order to reasonably allocate bandwidth resources and toim provenetwork efficiency.K e y w or d s
:firewall;flow;term inal
拉伸机机械手
国家林业局哈尔滨林业机械研究所网络采用的是带宽5M 的光纤接入互联网,局域网内拥有PC70余台。有一段时间,网络经常出现时断时续现象,开始以为是ARP 病毒侵入,为此使用防火墙,绑定IP 地址,设置安
全管理中的“防ARP 欺骗”,可是问题仍然没有解决。当使用防火墙流量统计工具进行流量分析时发现,网络流量被部分IP 地址大量占用,并且使用很多不规则的端口进行连接。到这部分IP 地址所对应的节点电脑后,发现都不同程度地使用了迅雷、电驴、快车等下载工具进行下载,关闭这些下载工具后网络即恢复正常。由于单位网络带宽有限,所以只要开启下载工具进行大量下载,网络就会出现上述问题,而且这些工具会疯狂地上传本机文件供他人下载,导致网络带宽被无谓地浪费。针对这些问题,笔者尝试用防火墙对非必
需的网络端口进行屏蔽,并制定了设置限制下载、控制
流量等策略,取得了很好的效果。
1制定上网行为策略,对网络流量进行合理分配和控制国家林业局哈尔滨林业机械研究所使用的是金山KingGate MBG +100防火墙,其具有用户分组、制定访
问规则、协议、细分带宽资源,根据不同时间段、不同用
户组分配网络访问权限,即时通讯控制和网络流量统计等功能。因此,根据用户上网实际情况,制定了以下防火墙策略,对网络流量进行合理分配和控制。1.1
根据用户类型进行IP 分组
将局域网用户根据工作性质分成三组:管理员组、关键用户组和普通组。对管理员组不设置带宽限制,以方便管理员对内网的管理;关键用户组是指在工作时间
收稿日期:2011-06-20
第39卷第8期
林业机械与木工设备
Vo139No.82011年8月
FORESTRY MACHINERY &WOODWORKING EQUIPMENT
Aug.2011
企业管理
. All Rights Reserved.
需要使用P2P技术完成业务的用户,在允许使用P2P 技术下载时,设置一个合理的带宽,限制下载速度,使其下载时不过分影响其他用户正常的网络应用;普通组的用户在上班时间则不允许使用P2P技术进行下载等应用。
1.2添加上班时间下载策略
由于网络带宽有限,不能让下载工具无限制地使用网络流量,因此定义一个时间段以达到上班时间不允许下载、下班后可以下载的目的。设置内容如下:
①输入时间对象名称为“work”。
②星期选择为星期一至星期五。
③设置开始时间是早8点,停止时间是16点。
链式运输机1.3添加控制访问速度策略
对局域网所有用户上网速度进行统一限制,以确保内网每一位用户的上网带宽大小完全相同,这样所有用户的上网速度都能得到保障。即使有个别用户在局域网中使用BT程序进行下载,整个网络的运行效率也不会受到太大影响,如图1所示。
鸟笼的制作其中,“floor3and4”为普通组用户,上行和下行最大流量均设置为150KB,近似于网络带宽的四分之一。1.4添加限制P2P应用策略
首先设置P2P服务对象“bt100”,内容包括ftp、bt、电驴、迅雷、快车等下载工具;其次添加P2P控制策略,设置主要内容如下。
384孔板①规则名称为floor3and4xunlei。
②源用户是“floor3and4”,其为普通组用户。
③服务对象是“bt100”。
④时间段是“work”,即上班时间。
⑤流控对象是“bt100”,其具体内容包括ftp、bt、电驴、迅雷、快车等下载工具。
⑥动作选择为拒绝,即拒绝ftp、bt、电驴、迅雷、快车等下载工具的使用。
P2P控制设置如图2所示。
1.5根据流量统计分析异常流量
根据某一时间段的流量排名,分析排名前几名的流量数据是否为异常流量,根据IP地址检查用户电脑网络使用情况,是否有木马等病毒在作祟。
1.6添加允许正常应用端口访问并禁用网络中UDP
协议的策略,防护异常流量
通过对异常流量分析发现,网络中的UDP协议通常会超过50%,正常的网络应用不可能有如此多的UDP连接。在用户上网过程中,必须用到UDP协议的地方是DNS解析的53端口,除此之外基本上都可以禁掉,对上网用户影响不大。因为常用的上网应用中大多数采用TCP协议,必须采用UDP协议的较少,像个别的远程通信、视频会议软件等为了提高通信速度采用UDP协议,而这些应用对普通用户来说基本不用,所以禁掉网络中的UDP协议,只开放UDP的53端口,一般对网络用户的影响不大。
另外,DDoS攻击、蠕虫等为提高攻击效果,大多采用UDP通信,所以禁掉UDP协议也能较好地防止病毒攻击。
添加所有内部地址允许访问外部DNS(UDP53)、HTTP(TCP80)、SMTP(TCP25)、POP3(TCP110)、QQ、FTP、股票交易等等常用端口的策略,保证网页、常用应用程序能够正常访问网络。
2实施效果
所有策略设置成功后,一定要把防火墙配置文件进行保存,以便信息丢失时可以导入。
再次打开防火墙网卡流量监控页面时发现IP节点的流量大幅度减少,并且仅出现HTTP、DNS、SMTP、POP3、QQ等常用连接端口,网络工作正常,取得了显著效果,保障了网络畅通。
参考文献:
[1]彭新光.计算机网络安全技术与应用[M].北京:科学出版社,
2005.
[2]陈天明.实现流量控制,某单位组网实例[J].网管员世界,2011
(7):39.
图1网速限制设
置
图2P2P控制设置
彭伊光,等:科学管控流量保障内网畅通51第8期
. All Rights Reserved.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议