北京市海淀区北四环西路

52号中芯大厦12层电话:(010)62960376P2P限制及流量控制技术说明版本1.
0时间2011年7月作者韩晔(yhan@fortinet.
com)支持的版本FortiOS4.
0MR3Patch1状态草稿北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376目录目的3测试环境.
3设备配置.
4配置应用程序探测器.
4配置流量整形器.
5配置防火墙策略.
6P2P应用屏蔽效果7屏蔽迅雷.
7屏蔽BT.
8屏蔽电驴.
10P2P应用限速效果11迅雷限速.
11BT限速.
12电驴限速.
13北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376目的本文的目的是介绍FortiGate设备在应用控制功能中,配置P2P限制及流量控制的方法,并介绍对常见P2P软件做限制或流量控制时的效果.
在测试功能时,使用的设备为ForitGate51B,FortiOS版本为4.
0MR3Patch1(Build0458).
测试环境FortiGate51B的Internal接口连接测试PC,WAN1口连接Internet.
测试PC可以通过FortiGate51B正常访问Internet.
IPS引擎及IPS签名库版本信息如下:测试P2P软件版本信息如下:迅雷7.
2版本比特精灵3.
6版本电驴1.
1.
15版本北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376设备配置配置应用程序探测器在UTMProfiles→应用控制→ApplicationSensor中,创建新的应用程序探测器:输入新的应用程序探测器名称后,创建新的应用程序列表:在新的应用程序列表中,即可以添加所有P2P应用控制控制,也可以单独添加一个或多个P2P应用.
添加所有P2P应用在"type"中选择"过滤",在分类中选择p2p:北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376在"动作"中,可以选择监视器、屏蔽或重置,选择监视器时,可以对P2P应用做流量控制.
添加一个或多个P2P应用在"Type"中选择"应用",在"Application"中加入需要的应用:在"动作"中,可以选择监视器、屏蔽或重置,选择监视器时,可以对P2P应用做流量控制.
配置流量整形器对P2P应用做流量限制时,需要配置流量整形器.
北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376在FirewallObjects→流量整形器→共享的中,创建新的流量整形器:输入流量整形器名称,勾选"最大带宽",再输入限制多少带宽:新建的流量整形器可以在应用程序探测器中应用:配置防火墙策略配置的应用程序探测器需要在防火墙策略中应用才能生效.
在Policy→策略→策略中,勾选需要引用应用程序探测器的策略,再点击编辑:北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376在编辑输出策略窗口中,勾选"UTM"再勾选"启用应用控制",在下拉菜单中选择应用程序探测器.
在丌同的策略中,可以选择丌同的应用控制探测器.
因此,对丌同的源IP地址,可以做丌同的P2P控制策略.
P2P应用屏蔽效果屏蔽迅雷在应用程序探测器中,选择屏蔽"Thunder",使用迅雷客户端下载迅雷资源,在下载软件中看到的效果如下:北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376结果:迅雷可以下载,但只有单线程下载,即只能从资源的HTTP源地址下载.
在FortiGate应用日志中可以看到,Thunder应用已经被屏蔽,下载使用的是HTTPBrowser应用,即普通的HTTP下载,如下图所示:在应用程序探测器中,同时屏蔽"Thunder"和"File.
Resume.
Dnld.
HTTP",在互联网上下载迅雷资源,可以阻挡迅雷下载.
结果:同时屏蔽"Thunder"和"File.
Resume.
Dnld.
HTTP",可以阻挡迅雷下载.
注:屏蔽"File.
Resume.
Dnld.
HTTP",即屏蔽了HTTP断点续传.
屏蔽BT使用BT客户端下载BT北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376在应用程序探测器中,选择屏蔽"BitTorrent",使用比特精灵在互联网上下载BT资源,可以屏蔽BT下载:结果:使用BT客户端下载BT,配置屏蔽"BitTorrent"应用,可以屏蔽.
使用迅雷客户端下载BT在应用程序探测器中,选择屏蔽"BitTorrent",使用迅雷客户端在互联网上下载BT资源,阻挡没有效果.
通过日志可以看到,使用迅雷客户端下载BT资源时,会自动启用多种P2P应用下载,包括eDonkey、BitTorrent.
HTTP.
Track、HTTP.
BROWSER、Thunder、xunlei.
Kankan等,因此无法阻挡.
如下图所示:在应用程序探测器中,选择屏蔽所有P2P应用,使用迅雷客户端在互联网上下载BT资源,可以阻挡BT下载.
结果:屏蔽所有P2P应用后,使用迅雷客户端不能下载BT资源.
北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376屏蔽电驴使用电驴客户端下载eDonkey在应用程序探测器中,选择屏蔽"eDonkey",使用电驴客户端在互联网上下载资源,可以屏蔽电驴下载.
但在下载一些热门资源时,偶尔会出现无法阻挡的情况,原因是在资源中有些0.
5版本以下的电驴客户端资源,如下图所示:结果:屏蔽eDonkey和VeryCD应用后,使用电驴客户端基本可以阻止下载eDonkey资源,但有些下载客户端使用0.
5以下版本时,不能屏蔽.
使用迅雷客户端下载eDonkey在应用程序探测器中,选择屏蔽"eDonkey",使用迅雷客户端在互联网上下载资源,阻挡没有效果.
通过日志可以看到,使用迅雷客户端下载BT资源时,会自动启用多种P2P应用下载,包括BitTorrent、HTTP.
BROWSER、Thunder、xunlei.
Kankan等,因此无法阻挡.
如下图所示:北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376在应用程序探测器中,选择屏蔽所有P2P应用,使用迅雷客户端在互联网上下载eDonkey资源,可以阻挡电驴下载.
结果:屏蔽所有P2P应用后,使用迅雷客户端不能下载eDonkey资源.
P2P应用限速效果迅雷限速在应用程序探测器中,选择"Thunder"和限速100kbps,限速没有效果.
在日志中会使用xunlei.
Kankan等P2P下载和HTTP.
Browser方式下载.
如果需要对迅雷做限速,需要对所有P2P应用进行限速,此时,迅雷从HTTP源地址下载文件没有限速.
下载的速度将由HTTP源地址下载速度所决定.
显示会话表可以看到,HTTP会话没有限制流量,而且P2P会话限制流量:re=3597timeout=3600flags=00000000sockflag=00000000sockport=0av_idx=0use=5origin-shaper=reply-shaper=per_ip_shaper=ha_id=0hakey=61941北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376policy_dir=0tunnel=/state=logmay_dirtyremstatistic(bytes/packets/allow_err):org=8884/81/1reply=11995/84/1tuples=3orgin->sink:orgpre->post,replypre->postdev=3->5/5->3gwy=192.
168.
118.
230/192.
168.
1.
168hook=postdir=orgact=snat192.
168.
1.
168:53476->112.
95.
240.
77:80(192.
168.
118.
151:34924)hook=predir=replyact=dnat112.
95.
240.
77:80->192.
168.
118.
151:34924(192.
168.
1.
168:53476)hook=postdir=replyact=noop112.
95.
240.
77:80->192.
168.
1.
168:53476(0.
0.
0.
0:0)pos/(before,after)0/(0,0),0/(0,0)misc=0policy_id=1id_policy_id=0auth_info=0chk_client_info=0vd=0serial=0002bd18tos=ff/ffips_view=1app_list=2003app=108855300dd_type=0dd_rule_id=0per_ip_bandwidthmeter:addr=192.
168.
1.
168,bps=38436sessioninfo:proto=17proto_state=01duration=157expire=23timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=5origin-shaper=P2P_sharperprio=2guarantee0/secmax12800/sectraffic14123/secreply-shaper=P2P_sharperprio=2guarantee0/secmax12800/sectraffic14123/secper_ip_shaper=ha_id=0hakey=20312policy_dir=0tunnel=/state=logmay_dirtyosrsremstatistic(bytes/packets/allow_err):org=66/1/1reply=119/2/1tuples=3orgin->sink:orgpre->post,replypre->postdev=3->5/5->3gwy=192.
168.
118.
230/192.
168.
1.
168hook=postdir=orgact=snat192.
168.
1.
168:24315->24.
136.
77.
176:8912(192.
168.
118.
151:40563)hook=predir=replyact=dnat24.
136.
77.
176:8912->192.
168.
118.
151:40563(192.
168.
1.
168:24315)hook=postdir=replyact=noop24.
136.
77.
176:8912->192.
168.
1.
168:24315(0.
0.
0.
0:0)misc=0policy_id=1id_policy_id=0auth_info=0chk_client_info=0vd=0serial=0002bef7tos=ff/ffips_view=1app_list=2003app=7dd_type=0dd_rule_id=0per_ip_bandwidthmeter:addr=192.
168.
1.
168,bps=38436结果:对所有P2P应用限速后,迅雷下载速度将为限制的速度和HTTP源地址下载速度之和.
BT限速使用BT客户端下载BT在应用程序探测器中,选择"BitTorrent"应用限速100kbps,下载速度北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376最高为9KB,可以实现限速.
结果:对BitTorrent应用限速后,可以对BT客户端下载BT进行限速.
使用迅雷客户端下载BT在应用程序探测器中,选择"BitTorrent"应用限速100kbps,使用迅雷客户端在互联网上下载BT资源,限速没有效果.
不使用迅雷客户端限制下载BT相同,在下载,使用了多种P2P协议和HTTP协议进行下载.
即使选择对所有P2P协议进行限速,也没有效果.
迅雷会从HTTP通道中下载BT资源.
如下图所示:结果:对所有P2P应用限速后,无法对迅雷客户端下载BT进行限速.
电驴限速使用电驴客户端下载电驴在应用程序探测器中,选择"eDonkey"应用限速100kbps,使用电驴客北京市海淀区北四环西路52号中芯大厦12层电话:(010)62960376户端下载资源时,对v0.
5以下低版本的电驴客户端,丌能实现限速.
使用迅雷客户端下载电驴在应用程序探测器中,选择所有"P2P"应用限速100kbps,使用迅雷客户端下载电驴资源时,没有效果.
迅雷会从HTTP通道中下载电驴资源.
如下图所