2.禁止訪問Tracker服務(wù)器
在防火墻的圖形管理 Syslog（日志）中，可以查詢到關(guān)于HTTP信息的所有記錄，如果有BT下載，則在日志中發(fā)現(xiàn)相應(yīng)的HTTP報(bào)文，根據(jù)報(bào)文內(nèi)容可以得到 Tracker服務(wù)器信息，然后可以在防火墻中配置規(guī)則，禁止內(nèi)部用戶訪問該服務(wù)器。
Tracker服務(wù)器的數(shù)量應(yīng)該遠(yuǎn)少于熱門BT網(wǎng)站的數(shù)量，很多網(wǎng)站都是轉(zhuǎn)的其他網(wǎng)站的Torrent，如果可以找出這些Tracker服務(wù)器的地址，這是一種非常有效方法。防火墻有圖形化管理界面，有詳細(xì)的日志記錄功能，根據(jù)查詢?nèi)罩究梢院苋菀渍业絋racker服務(wù)器。

3.封閉BT下載端口
解決BT對局域網(wǎng)的危害，最徹底的方法是不允許進(jìn)行BT下載。BT一般使用TCP的6881－6889的端口，可以在防火墻中把一些特定的種子發(fā)布站點(diǎn)和端口封掉，在BT下載軟件的Tracker中可以獲得這些信息；但是現(xiàn)在大多數(shù)BT軟件可以修改端口號，因此網(wǎng)管可以根據(jù)實(shí)際情況，在不影響正常業(yè)務(wù)的情況下盡可能將封閉的端口范圍擴(kuò)大，把一些特定的種子發(fā)布站點(diǎn)和端口進(jìn)行封閉。

4.限制用戶帶寬
限制每個用戶使用的網(wǎng)絡(luò)帶寬，可以明顯緩解BT對網(wǎng)絡(luò)的危害；同時(shí)，對于一些運(yùn)營性網(wǎng)絡(luò)，完全禁止BT使用是不合理的，限制每個BT的使用帶寬就成為一個比較好的選擇。防火墻可以針對應(yīng)用流進(jìn)行較細(xì)粒度的速率限制，例如將BT用戶下載的優(yōu)先級限制為5（0最高，7最低），帶寬限制為64Kbps。這樣可以確保 BT軟件使用的同時(shí)不會影響其他業(yè)務(wù)的開展。

5.限制最大連接數(shù)
可以通過防火墻的IP Inspect特性來限制TCP最大連接數(shù)，從而達(dá)到控制BT對網(wǎng)絡(luò)帶寬的占用。采用IP Inspect特性還可以限制最大流數(shù)，同樣起到控制BT對網(wǎng)絡(luò)帶寬占用的目的。

6.使用HTTP代理對應(yīng)用層協(xié)議進(jìn)行過濾
在 HTTP請求報(bào)文中，攜帶了BT的特征值User-Agent：BitTorrent，因此，如果HTTP-Filter能夠?qū)⒕哂性撎卣髦档腍TTP的數(shù)據(jù)包過濾掉，BT客戶端便無法進(jìn)行Tracker查詢，Tracker服務(wù)器便無法將peers列表返回給BT客戶端，從而有效阻截BT下載。

防火墻能夠有效地過濾特定的應(yīng)用層數(shù)據(jù)包（如HTTP數(shù)據(jù)包），然后根據(jù)BT數(shù)據(jù)包中的關(guān)鍵字，就完全可以從HTTP數(shù)據(jù)包中過濾BT數(shù)據(jù)包。

wangliang