中小学校园网中P2P应用管理策略.docVIP

中小学校园网中P2P应用的管理策略 　　 摘 要:在目前中小学校园网普遍采用用户共享固定带宽接入的联网模式下,P2P应用大量占用网络带宽成为校园网管理的突出问题。在没有对校园网P2P应用进行策略管理的情况下,P2P应用的流量一般占用了网络60%～90%的带宽,使得学校的正常应用往往得不到保障。文章根据笔者工作实践,在实地调查大量校园网实例的基础上,针对P2P应用,从客户端和出口两个方面分别运用Windwos 2008组策略禁止相关软件运行和Forefront TMG 2010流量插件限制线程、流量进行管理。 　　关键词:校园网;P2P;组策略;线程;带宽 　　中图分类号:TP393.18文献标识:A 文章编号:1673-8454(2010)14-0072-03 　　 　　 引言 　　 P2P指的是Peer-to-Peer,直接翻译是点对点传输,P2P与传统的少数服务器服务多个用户的C/S服务模式不同,大部分的服务靠用户间互相提供服务完成。通俗的讲,就是采用“人人为我,我为人人”的服务模式,通过多线程提高上传、下载速度。P2P给中小学校园网用户带来高速下载、高清网络视频、流畅网络音乐等便利的同时,也带来了一系列问题,如病毒的加速传播、知识产权的侵犯、网络带宽的大量占用等。 　　在目前中小学校园网普遍采用用户共享固定带宽接入的联网模式下,P2P应用大量占用网络带宽的问题尤为突出。在没有对校园P2P应用进行策略管理的情况下,P2P应用的流量一般占用了网络60%～90%的带宽,极端情况下几乎完全占用接入带宽。学校投入大量资金建成的信息高速公路经常因此堵塞,使得教学、科研和管理等工作的正常应用得不到保障。 　　图1为在100M接入的某中学校园网中,在没有对P2P进行管理的情况下,用迅雷下载一部电影的实时截图,显示速度达8.29MB/s,8.29MB/s*8=66.32MB/s,一个用户下载一部电影占用的带宽达校园网接入带宽的60%以上,如果多个用户、下载多部影片,或同时观看P2P在线视频,其结果可想而知。 　　有些学校原先使用10M光纤接入,在发现上网速度变慢时,首先考虑提高带宽。从前面的例子可以看出,虽然网速提高了10倍,但并不能根本解决问题, P2P运用会立即吞噬新增的网络带宽,学校增加了大量的接入费用支出,结果只是部分P2P用户充分享受了信息高速,学校的关键性正常应用却没有得到改善,这已成为目前中小学校园网普遍存在的问题。目前针对P2P应用进行管理的方法很多,本文根据笔者多年的工作实践,在实地调查大量中小学校园网实例的基础上,总结出以下P2P应用的管理策略,即从校园网的客户端和出口两方面对P2P应用进行有效管理。 　　 一、运用组策略禁止P2P软件运行 　　通过Windows活动目录,实施组策略可方便、有效地对客户端运行的软件进行管理,本文以在Windows Server 2008 的活动目录环境下实施组策略限制迅雷运行为例,运用组策略禁止软件运行的方法有几种,其中“不要运行指定的Windows应用程序”这一策略,只要客户端更改应用程序名即失去控制作用;而软件限制策略中的“散列规则”,当应用软件升级或用工具软件修改执行文件的散列值,也同样会失去控制作用。 　　通过限制dll文件的方法能有效限制软件的运行,dll是Dynamic Link Library的缩写,是动态链接库的意思,封装着Windows应用程序的函数。程序在执行的时候, 必须调用相应的dll文件中对应的函数, 才能够正确地运行。如果执行文件调用的dll文件被禁止运行,相应的执行文件就无法完成相应的功能。应用程序在升级的过程中,dll文件不可能全部改变,用户也不可随便更改dll文件名,更改了dll文件名,执行文件就无法调用对应的dll文件,所以禁止dll文件运行,是禁止软件运行的有效方式。方法思路如下: 　　1.网络中需要有一台Windows Server 2008服务器升级到Active Directory(活动目录,以下简称AD) ,用于提供身份验证及对校园网用户实施组策略。为便于管理,用姓名全拼在AD上为学校教师创建实名账号,所有的工作站以实名加入AD。 　　2.创建限制dll文件运行组策略。单击“开始”→“管理工具”→“组策略管理”→“域”→“组策略对象”,右击 “新建”,在“名称框”中输入“禁止迅雷运行”, 右击“禁止迅雷运行”→“编辑”→“用户配置”→“策略”→“Windows设置”→“安全设置”→“软件限制策略”,右击“软件限制策略”→“创建软件限制策略” →“其他规则”,右击“其他规则”,选择“新建路径规则”,在路径名称框中输入ThunderStorage.dll。 　　单击“软件限制策略”→“强制”→“应用软件限制策略到