当前，以BitTorrent（以下简称BT）为代表的P2P下载占用了网络接入的大量带宽（据统计已经超过了50%），严重影响了用户使用正常的Web、E-mail以及视频点播等业务。因此，教育行业以及企业用户都有对这类流量进行限制的要求。本文介绍了在校园网环境中如何通过RG-WALL防火墙或RG-IPS入侵防御系统控制BT下载的几种方法。

BT的工作原理

   BT与传统下载方式的最大不同在于充分发挥了Internet上主机对等的特点，即每个运行TCP/IP协议的主机都可以平等地（端到端）接收或发起访问请求。

   传统的下载方式采用C/S模式，即各个客户端分别从服务器下载文件，而BT的下载机制是各客户端既下载又提供下载服务，而BT服务器只是提供有关下载的主机和文件的目录信息。各客户端下载时选择的内容具有一定的散列特征，因此，通常参与下载的各客户端主机中都有其他主机尚未下载的内容，从而能够为其他客户端提供下载服务。在这种机制下，各客户端能够同时从多个地点下载，因此下载的传输速率得以大幅度提高。

   BT服务器提供了发布的统一管理，BT客户端需要连接服务器才能得到其他参与下载的主机节点。事实上，这也为我们限制BT流量提供了一个简单可行的手段。BT的.torrent文件中包括了服务器的地址、文件名、目录名、文件长度等信息，BT客户端软件在分析.torrent文件之后，向服务器发出下载请求，请求的URL中包括了自身的端口信息，下载进度和状态信息等。
   
   BT服务器使用track程序来管理这些下载请求，得到URL后就会查找列表，找到提供相应的文件下载的主机。客户端就可以进行下载，与此同时，如果该客户端具有接受连接请求的能力，track程序会把该主机的信息也加入列表中，使其他主机能够找到该主机并进行下载。

   由于BT客户端通常可以指定自身所用来提供下载/上传的端口，因此传统的封闭BT下载用端口的方式很难奏效。

防BT的几种方法

   下面介绍一下通过在校园中常见的RG-WALL防火墙和RG-IPS入侵防御系统防BT的几种方法。
   1、启用URL过滤功能限制对BT网站及Tracker服务器站点的访问

   考虑到BT下载的特点：下载的人数越多，速度越快；种子越多，速度越快。只有比较热门的BT网站的Torrent文件下载的人才会比较多，因此针对比较热门的BT网站和Tracker服务器，在RG-WALL防火墙上配置基于“*bt*”通配符的URL过滤规则即可禁止对这些站点的访问禁止访问Tracker服务器。

   2、启用流量整形功能实现带宽限制或会话限制

   BT之所以对网络产生了影响是因为它占用了大量的网络出口带宽。因此，限制每个用户使用的网络带宽，可以缓解BT对网络的危害；同时对于运营商而言，完全禁止BT是不合理的，限制每个BT的使用带宽就成为一个比较好的选择。

   此外，还可针对每个用户的会话数来做限制，我们知道，一般情况下，每个用户使用50个左右的会话就足以满足日常的应用，因此，启用RG-WALL防火墙的会话限制功能也可有效的降低BT应用对网络带宽的影响。

   3、使用”BitTorrent”特征库检测

   我们知道，不论是哪种BT应用程序，其软件内核还是基于BitTorrent Protocol的，也就是说在BT应用数据流中，通过截包，我们可以发现在BT应用数据包的负载部分是有“BitTorrent Protocol”字段的。

   RG-IPS入侵防御系统具备深度包检测功能，能够识别出数据包的负载部分，显然，通过IPS来进行阻断或限制BT应用（甚至是P2P应用）是很容易实现的。