上网行为管理选择的三大误区

核心提示： 典型的P2P识别技术，一般有下面的三种：1. 端口识别早期的P2P应用大多数使用固定端口，上网行为管理选择的三大误区(3)，在此情况下对其识别方式与识别普通应用的方式完全相同，检查报文分组的传输信息，应该是基于关键业务的保障，并能够按需灵活分配带宽资源，如果端口号与某些特定的端口号匹配，则

典型的P2P识别技术，一般有下面的三种：

1. 端口识别

早期的P2P应用大多数使用固定端口，在此情况下对其识别方式与识别普通应用的方式完全相同。检查报文分组的传输信息，如果端口号与某些特定的端口号匹配，则该报文即为P2P流量分组，可以按照预设的动作对其进行处理。这种方式在P2P应用使用动态端口后已不再适用，目前只是个辅助的方法。

2. 特征识别

当许多P2P应用使用随机端口(有些甚至使用HTTP，SMTP等一些常见端口)来掩盖其存在，识别难度也就增加了。因此，人们提出了通过检查分组内部携带的负载信息进行分组识别的方法。即对常见的P2P协议的特征进行分析，提取特征信息，根据特征信息对报文进行模式匹配对比，从而判断出该报文是否属于某一类P2P应用。

这一方法是目前最主要的方式，但是只能针对已知数据格式的P2P应用进行识别，而且由于需要对分组内部数据进行全面的检查分析，实现效率较低。另外，一些P2P应用开始以密文方式进行数据传输，面对这种情况用户特征识别方式则完全无能为力。

3. 连接模式识别

基于观察源和目的IP地址的连接模式，可以发现一些模式是P2P所独有的，由此可以将P2P流量识别出来。大约2/3的P2P协议同时使用TCP和UDP协议，而其他应用中同时使用两种协议的仅仅包括NetBIOS、视频等少数应用。另外，当某一P2P主机和其它主机建立连接时，对端口而言，与其建立连接的IP地址数目就等于与其建立连接的不同端口数目。对这两种特殊模式的扫描追踪，就能识别出P2P应用。

相对于端口识别和特征识别，连接模式的识别需要做更多的分析。只有在系统收集到了足够的数据，经过了很长时间的智能模型建立，才能非常有效的进行识别。

以上就是三种目前比较主流的P2P识别方式，此外还有些其它的如流量模式识别、IP组合识别等方式。但不管哪种方式，其核心思想都是对现有的P2P协议进行分析和对比。相对于URL库，P2P协议的变化和更新是比较慢的。即使这样，想把识别率做到99%也是不可能，因为协议本身就有许多是不可分析，更何况一直是在变化的。所以说，99%这样的说法，只能算是个口号。

误区三：流量封堵

谈到流量封堵，很多厂商都在上网行为管理中加入了流量控制模块。该模块最明显的应用主要是从限速、禁用的角度出发，针对个人、部门进行主动管控。初看之下，这是个很好的方式，可以对员工的上网行为进行有效的截止。

让我们回到需求者的角度。不是所有的应用单位都希望采取这种强制控制的手段，要知道随着不同部门、不同级别、不同时间，以及工作性质的区别，应用到每个时间段的对象都各不相同。在此，需要考虑的是一整套切合该单位的策略规则如何设定;如果不细化策略，是否能满足全体员工的合理分配需求;当企业单位发生人事变迁时，策略调整又该如何进行?

除此之外，非关键业务部门的临时应急需求得不到IT管理上的急时响应，如在急需处理过大的图文信息传输时，无法随时获取空闲带宽资源，只能在局限的流量状态下空等。不仅占用了接收双方的时间，也浪费了企业现有的资源。

真正的流控手段，应该是基于关键业务的保障，并能够按需灵活分配带宽资源，把企业在管理和效能上的应用价值提升上去。