软防与硬防

　　防局域网下载的方法有两大类，一是软件，二是硬件。软件就是采用流量控制软件监视与控制局域网内电脑的下载行为，这种方法的成功率取决于软件的完善度、执行效率和被限制者的计算机知识水平。如果对方是个电脑高手，那么软件层面的限制基本上不会起多少作用。硬件方面就是通过网络出口的路由器来控制局域网中的电脑对互联网的访问，由于它是基于硬件设备进行控制的，所以是目前最彻底和最有效的方法，想突破路由器的限制也不会像软件那么简单。

　　软防

　　首先来说软件。现今网上有很多限制下载的软件，例如网络执法官、AnyView、聚生网管等。它们都可以单独控制某台电脑的行为，如阻止登录QQ、阻止访问指定网站，限制BT、HTTP下载、流量控制等。

　　笔者拿聚生网管为例，展示一下控制其他电脑的过程和方法，其他软件的使用方法基本类似，大家可以举一反三。在描述过程之前，我们有必要先了解一下这类软件的原理。我们都知道局域网中的电脑都是以客户机的形式存在的，理论上说客户机并没有控制其他电脑的行为的权限，通常只有网关、宽带路由器和代理服务器能够直接控制局域网中的电脑。所以要想使客户机具有控制他人的权限，首先要伪装成代理服务器。

　　相信大家都听说过ARP这个词，ARP(Address Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址(MAC地址)的协议。当A向B发送数据的时候，就会先去查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。

　　我们在配置网卡的IP地址时都有网关一项，当向互联网发送数据时，客户机是将数据直接发送给网关的，再由网关转发到互联网。那么聚生网管要想控制其他客户机，就要借助这个网关，让所有客户机认为你的电脑就是网关，它们发送到互联网的数据都是先发送到你的电脑，再由你的电脑发送到真正的网关，再转发到互联网。不过，这个软件不像其他的网络监控软件不同，他不会捕获你的下行数据包，你的下行数据包直接由局域网的网关发送到相应的电脑上，不经过装聚生网管软件的电脑，从而对网速基本没有什么影响。而目前国内类似的网管软件，包括一些放到网关出口的硬件还会将下行的数据包截获并转发给相应的电脑，从而对网速有较大的影响。

　　知道了原理，接下来就来看一下聚生网管的具体用法。

　　第一步就是安装软件，安装完成后启动软件。

　　在使用软件之前要先进行配置，进入软件配置界面，选择你连接网络所用的网卡，下面就会显示网卡的当前IP地址、子网掩码、MAC地址和网关地址。

　　然后进入应用管理界面下的控制下载，勾选启用P2P下载控制。如果不勾选此项就不能对客户机进行P2P流量限制。

　　再进入网络控制台界面，点击“启动网络控制服务”，输出列表里就会显示已扫描到了P2P流量信息。

　　这时，进入主机扫描界面，刷新一下网络，我们就能看到局域网中的所有客户机的信息，包括IP地址、上行流量、下行流量和MAC地址。

　　我们可以右键点击某个IP地址，在选项中设定上、下行的最大流量。

　　这款软件还可以控制QQ登录、禁止访问指定网站等功能，但本文的重点是防P2P下载，所以其他功能就不做详细的介绍了。

　　我们扫描到192.168.0.5和192.168.0.10有BT流量，所以针对这两个主机进行了流量限制。

　　同时，聚生网管软件有高达六种监控模式，可以针对不同的网络结构来调整，基本能够适应国内各种各样的网络结构。同时，聚生网管新版本支持的P2P软件更多，诸如：BitComet(比特彗星)、eMule(电骡)、eDonkey(电驴)、Poco/PP点点通、Kamun(卡盟)、迅雷、Vagaa(哇嘎画时代)、Kugoo(酷狗)、Baidu下吧、BitSprit(比特精灵)、μTorrent、百宝、Shareaza(Raza)、aBitCool(网酷)、Tuotu(脱兔)、PPLive、PPFilm(皮皮影视)、PPVOD(PP点播)、PPStream(PPS网络电视)、QQLive(QQ直播)、ViviPlay(TVKoo网络电视)、UUSee(悠视网网络电视)、CoolStreaming、沸点网络电视、PPMate(网络电视)、猫眼宽频、TVAnts(电视蚂蚁)、超级旋风、网际快车，网络蚂蚁等等。

　　硬防

　　硬防就是利用网络出口端的网关或宽带路由器进行控制，这首先需要你有宽带路由器的管理权限，用管理员帐号登录到路由器后编辑转发规则，来对指定的主机进行限制。它的优点就是安全、高效，不会对整体网速产生严重的影响，而且只有路由器的管理员能够修改限制参数，这时聚生网管这类软件就不起作用了。但它也有缺点，就是不灵活，参数设置比较复杂，对管理员的知识水平有一定的要求，使用不当会有断网的可能。但相对于软防来说，硬防的优势还是很大的。

　　硬防的原理就是通过路由器的IP地址过滤功能限制某个IP或IP段的计算机的某些端口连接到互联网。笔者拿TP-Link的TL-R402+为例为大家演示这一过程及配置方法。

　　要使用IP地址过滤功能，首先要开启防火墙，再开启IP地址过滤功能，在缺省过滤规则中选择一项。然后进入IP地址过滤界面。这里会显示当前所有的过滤规则及状态，点击添加新条目。

　　局域网IP地址：我们可以在其中输入指定IP地址或一个地址段。

　　局域网端口：这个参数是指本机向互联网发送数据时使用的端口地址。例如QQ登录时使用本机的4000端口进行连接。

　　生效时间：这个参数是由四位数字组成，前两位代表小时，后两位是分钟。例0800为早上8点。

　　广域网IP地址：可以指定禁止连接的广域网IP地址或地址段。如QQ服务器地址202.104.128.233。

　　广域网端口：此参数可禁止连接指定广域网IP地址的端口。

　　协议：有TCP、UDP和ALL三个选项，一般选择ALL就可以了。

　　通过：有允许通过和禁止通过两个选项，与上面的参数配合使用。

　　状态：有生效和失效两个选项，可设定此条目是否生效或失效。

　　其中，局域网IP地址、局域网端口、广域网IP地址、广域网端口如果不填写数值则代表所有IP地址和所有端口。

　　们来举个例子演示一下，假如让局域网中所有主机不能使用迅雷下载资源，新条目中的参数的配置如下：

　　开启防火墙、开启IP地址过滤，选择“凡是不符合已设IP地址过滤的数据包，允许通过本路由器”。添加一个新条目，参数如图：

　　之后点击保存就可以了，条目会在IP地址过滤界面出现。

　　笔者收集了一些常见软件的端口号，用户可以直接用这些端口号编辑条目。

　　端口号列表

　　硬防的复杂性就在于条目的编辑，它需要用户对网络基础和端口规则有一定的了解，使用不当会造成网络的瘫痪。有些时候为了限制一个IP地址的上网行为需要编辑好几个条目，对用户的知识水平要求较高。

　　综述

　　可以说软防和硬防各有优缺点。软防不需要用户有管理权限，凡是局域网中的主机都能成为控制端，用户只要在软件界面中调整参数即可。

　　硬防的安全性显而易见，只用拥有管理权限的人才能控制其他人，所有限制规则都是在路由器上完成，破解起来要复杂的多。缺点就是对管理员的知识水品要求高，编辑条目时要格外谨慎，有一个参数出错就有可能造成大面积断网。

　　总而言之，软防和硬防都是迫不得已才使用的手段，能够通过协商来达成共识才是最恰当的办法。希望你在使用共享网络的同时多考虑一下别人，那么就能打造一个高效快速的网络环境了。