灵活有效地imp2p网络应用与管理.pdfVIP

灵活有效地IM、P2P 网络应用与管理 随着网络的高速发展，人们彼此之间沟通越来越顺畅，企业利用网络建立联系的同时， 却常常遇到带宽不足、工作效率低下、机密外泄等困扰。最大的元凶，莫过于IM、P2P 网 络应用。 大家一谈到IM 应用，往往首先想到的就是聊天。IM 进入了企业的门槛，仍然主要是作 为聊天工具，充其量也就是个传传文件，发发消息的小玩意。只不过现在大家聊的话题涉及 公事更多而已。对企业的管理者而言，多半并不喜欢员工进行工作以外的事情，因此企业需 要在便利及安全之间作选择。目前，大部分企业还是把IM 定义为聊天而非沟通工具，因此 国内有些大企业还是以限制与监控网络通讯过程，作为员工考核与奖惩的依据。不少企业为 了避免员工在上班时没事就跟人聊天闲扯，为防止员工工作效率低下便主张禁止IM 软件的 使用。 至于P2P ，相信大家都用过迅雷吧，没错，他就是一款P2P 软件。自从出现诸如迅雷、电 驴、BT 等P2P 软件之后，海量的数据文件（如大容量文件交换、视频文件下载等）逐渐占 据了大部分的网络带宽。P2P 这一新应用给用户带来了前所未有的方便和丰富的资源，但同 时也引发了网络带宽和安全问题。当前，以BT 、迅雷为代表的P2P 下载软件流量占用了宽 带接入的大量带宽，据统计已经超过50%。这对于以太网接入等共享带宽的宽带接入方式 提出了很大的挑战，大量的使接入层交换机的端口长期工作在线速状态，严重影响了用户使 用正常的Web 、E-mail 以及视频点播等业务。特别是为了防止员工上班期间，利用公司网 络进行非法下载，大量占用网络带宽，从而影响其他员工的正常工作，因此，企业用户以及 教育等行业的用户都有对这类流量进行限制的要求。 鉴于上诉越来越多的企业需要针对企业内部IM、P2P 软件应用加以限制，因此越来越多 的企业力图解决此问题。而一直以来网络层防火墙对IM、P2P 无法可管的原因，就在于该 应用建立连结时不使用特定连接端口号码(Port number)的特性，只提供网络层防护的防火墙 无法以关闭连接埠的方式阻断IM、P2P 的使用。因此市场上多家提供防火墙技术的厂商， 正在积极发展应用层防火墙技术。而将技术延伸到应用层后，防火墙将可透过辨识P2P 应 用程序的特征(Signature)，来阻挡该程序的执行。 虽然现在市场上已经有越来越多的应用层防火墙，通过辨识P2P 应用程序的特征，可以 有效地阻挡QQ、MSN 及迅雷、BT 等应用软件的使用。但是在设计和使用上，任然存在缺 陷。所有设定管制IM/P2P 的条例，仅能遵循统一的定制规则。要么公司全网用户禁止使用 IM/P2P 应用软件；要么公司全网用户无任何IM/P2P 应用软件使用的限制。而这种对于特定 用户的限制尺度，无法弹性调整，显然这是无法满足企业内部实际应用灵活需求的，它没有 突破管理的瓶颈。如下图1： 图1 为了应对上诉的情形，众至防火墙特别将IM/P2P 的阻挡机制独立设计，把大家普遍使用 的IM、P2P 软件分门别类的归档于应用程式管制中。这样管理人员则可以依据企业内部员 工工作性质，公司的网络政策，动态调整出可供个别运用的管理组合。如下图2 ： 图2 从图2，我们可以看出，企业可以根据内部的实际需求制定出相应的管制策略。如技术部 门因为网络工具、网络资源的使用可能会比较频繁，因此开放P2P 下载，但是对于技术部 门来说，IM 的使用无非就是私人聊天而已，因此加以禁止IM 的使用。而对于销售部来说， 由于跟客户通讯往来的需要，开放IM 即时通讯软件的使用，而对于P2P 下载加以禁止。至 于总经理，哈哈，那当然是不需要任何限制哦。 补充说明： 当然众志防火墙不仅仅只能管制IM、P2P ，还包括VOIP 管制、WEB 的应用管制等其它分 类。特别针对大陆用户开发禁止股票软件应用的管制功能，如果说IM、P2P 应用对于企业 禁止与否值得商榷的话，相信对于上班期间炒股是绝对不允许的吧？那么果断禁止吧，当然 它也可以像IM、P2P 一样，针对个别用户或群组做到弹性管控。如图3： 总 结： P2P(peer-to-peer) 以及实时传讯软件(Instant Messenger, IM)的应用越来越频繁，例如近日快速 窜红、提供VoIP 应用的Skype，就是一种P2P 应用;而QQ、MSN Messenger、Yahoo Messenger