利用H3C防火墙的端口控制来限制P2P下载

的确,作为网络管理员,最头疼的无非是带宽永远都无法满足下面员工的需求。  :)

公司最近建立了自己独立的网络,但是经常有人抱怨网速慢的问题,经过网络分析后发现,占用带宽最多的还是来自于P2P下载和视频网站,这里我们尝试着利用端口限制来对P2P下载和视频网站,由于很多P2P下载都是经过1024(它是动态端口的开始)以上的端口来下载的,故我们只要在上班的时候将这些端口限制即可。这里我们以H3C SecPath防火墙为例,配置如下:

1.定义一个work时间策略time-rang,上班时不可以P2P下载

[Quidway] time-range work 08:00 to 18:00 working-day

2.创建ACL并配置规则,1024以上的端口在work时间内封闭,除了22223端口(注意优先级)

system-view
[Quidway] acl number 3003
[Quidway-acl-adv-3003]rule 1 permit tcp destination-port eq 22223 time-range work
[Quidway-acl-adv-3003]rule 51 deny tcp destination-port gt 1024 time-range work
[Quidway-acl-adv-3003]rule 52 deny udp destination-port gt 1024 time-range work
[Quidway-acl-adv-3003]rule 60 permit ip time-range work
[Quidway-acl-adv-3003]quit

3.在局域网入口处创建应用3003策略

[Quidway] interface Ethernet0/1
[Quidway-Ethernet0/1]firewall packet-filter 3003 inbound
[Quidway-Ethernet0/1]quit

如果公司有些领导说:“我要炒股。“ 你就可以在acl 3003里添加低于51的新rule,开放相应的炒股软件端口,形式如rule 1。你也可以参考下这篇文章:利用H3C SecPath配置NAT限制最大TCP连接数,同样也可以达到相应的效果。

Share and Enjoy:

  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Technorati
  • YahooMyWeb
  • Live
  • Google
  • Print this article!

Related Posts

This entry was written by brauze, posted on July 22, 2008 at 10:14 pm, filed under Network and tagged , , . Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.

One Trackback

  1. By Xu Sheng » 利用H3C SecPath配置NAT限制最大TCP连接数 on July 24, 2008 at 4:25 pm

    [...] 原来也写过一篇利用端口控制来限制P2P下载的文章,这种方法更实用些:利用H3C防火墙的端口控制来限制P2P下载。 [...]

Post a Comment

Your email is never published nor shared. Required fields are marked *

*
*