接着,我们以几个案例,说明几种常见的带宽管理及管制设定:
限定时间上网
有一所学校,在上计算器课程时,不希望学生因上网分心,所以希望在上课时间禁止学生上网,而下课及其它时间则不加限制。因为主要的限制为时间,而希望阻绝所有的上网行为,因此我们可透过禁止所有通讯端口服务来达到这个目的。因此,设定重点为:
管制动作:禁止/服务埠:所有端口[TCP&UDP/1~65535]/来源接口:局域网/来源埠:任何的/目的IP地址:任何的/时间管制:从周一到周五的早上8点到下午6点。
作完设定后,按储存,就可达到上课时间管制学生上网的目的了。
网页以外的服务都禁止
某间公司由于工作需要,上班时间只允许员工访问网页,其它的上网动作都不允许。由于网页的传送是透过TCP80端口传送,因此我们可以透过只允许TCP/80埠传送来达到这个功能。设定的方式如下:
首先比照前例,新增加一条规则禁止所有的封包通过防火墙,也就是说禁止上网;也就是管制动作:禁止/服务埠:所有端口[TCP&UDP/1~65535]/来源接口:局域网/来源埠:任何的/目的IP地址:任何的/时间管制:从周一到周五的早上9点到下午6点。
然后再新增加一条:允许TCP/80埠的封包通过。也就是说管制动作:允许/服务埠:HTTP[TCP/80]/来源界面:任何的/来源IP地址:任何的/目的IP地址:任何的/管制时间:从早上9点到下午6点。最后点击确定完成此设置。
这样就可以实现只能访问网页的这个功能了。设定完后,在“规则”页面要注意的是:由于规则是从上向下执行的,所以要把禁止掉连接网络规则放在上,再把打开TCP/80端口规则放到下面,才能达到预期的效果。当然我们也可以透过相同的设定,透过开放电子邮件发送及收信相关的端口,来允许电子邮件服务的通过。
禁止用户使用MSN
许多公司领导不希望员工上班使用MSN,以免影响工作气氛。MSN Messenger 可以使用埠1863 直接进行TCP 连接或使用80埠进行HTTP 连接来与MSN服务器通信。因此,要禁止MSN,就可以从阻止TCP/1863埠及阻止msn 访问msn.com和hotmail.com的域名着手。
阻止TCP/1863埠需进行的设定为:管制动作:禁止/服务埠: [TCP/1863]/来源界面:任何的或局域网/来源IP地址:任何的/目的IP地址:任何的/管制时间:视情况设定。
由于MSN还提供Web 版本的MSN, 通过禁止对msn.com的HTTP访问即可,它还提供通过它邮箱的服务器登陆,通过禁止对hotmail.com的访问即可。阻止msn 访问msn.com和hotmail.com的域名的作法为:启动网页字符串符管制,加入msn.com及hotmail.com即可。
禁止PP点点通软件
PP点点通也是许多网管头痛的应用。禁止PP点点通软件必须透过以下作法来落实:阻止对220.175.8.100 的http访问, 即TCP/80port -不能搜索;阻止来源于LAN 的所有IP 对UDP/9090~9099 端囗的所有访问(不能共享其它PP用户的文件);阻止来源于LAN 的所有IP 对udp/8094 端囗的所有访问- 不能登录PP;阻止来源于LAN 的所有IP对TCP/5354 端囗的所有访问-不能登录PP。
因此,要禁止PP的实际配置将会有以下项目:管制动作:禁止/服务埠:HTTP[TCP/80~80]/日志:关闭或启动/来源埠:局域网/来源IP地址:任何的/目的IP地址:单独220.175.8.100。
接下来的设定为:管制动作:禁止/服务埠:UDP[9090~9099]/来源埠:局域网/来源IP地址:任何的/目的IP地址:任何的。
管制动作:禁止/服务埠:UDP/8094~8094/日志:关闭或启动/来源埠:局域网/来源IP地址:任何的/目的IP地址:任何的。
接着再重复操作增加TCP/5354的禁止规则,即完成“禁止PP点点通”的设置了。
防止用户使用BT
据技术支持工程师经验,一个BT用户往往可以占用2Mbps的带宽,对于网吧及小区业者,甚或企业网络,都是一个很严重的问题。
BT可透过过滤BT种子进行阻绝,由于BT种子文件名称都为有”.torrent”的字符串,所以我们可以利用这个功能加以过滤。相关的设定为:启动网页字符串管制,新增输入要过滤的关键词”.torrent”即可。时间管制设定全部或到某一时间开始到某一时间失效。可以使用在非工作时间失效, 结合下面的日期, 可以控制在工作天上班时间禁止访问带某些关键词的网页,如果要禁止所有时段,选择全部。按下确定按钮, 使设置生效。
