论坛里经常有人提类似“我应该如何使用ISA限制BT下载”一类的问题，包括各位版主在内的很多朋友也提了一些解决的方法，但是都不够细致。正好这周有空，我就花了1天时间做了一些试验，把结果和大家分享^_^。BT下载作为当前一种流行的下载方式，受到很多人的喜欢。但是在企业网络环境中，BT下载却经常让网络管理员头痛。下面我谈谈如何通过ISA Server来限制BT。首要原则：请在ISA Server上只开放需要的服务，这样可以禁止内部网络客户直接使用BT下载，但不能禁止它通过外网代理进行BT下载。限制的方法有几种，下面我给大家一一讲解：

1、限制种子文件的下载

这大概是大家最先能想到的。方法也比较简单，在设置好的策略中的HTTP中限制一下即可。当然这种方法只要下载者有一点计算机常识就知道，改个扩展名就可以继续下载。不过做为最简单的一种方法，我还是在这里提出来了。另外提醒一句，如果某网站提供下载Torrent文件的端口不是标准的80端口，此方法也会失效，除非你在这个端口上加载Web代理过滤器。
　
2、限制浏览BT网站

也许你会说，BT网站那么多，怎么限制的过来？其实可以考虑一下BT下载的特点：下载的人数越多，速度越快；Seed越多，速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多，一般的BT网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。那么我们所要做的是找出比较热门的BT网站，然后禁止对它们的访问即可。对限制网站（或域名）的访问，对Torrent文件的下载可以起到一定的限制作用。

3、禁止访问Tracker服务器

Tracker是指运行于服务器上的一个程序，这个程序能够追踪到底有多少人同时在下载同一个文件。客户端连上Tracker服务器，就会获得一个下载人员的名单，根据这个，BT会自动连上别人的机器进行下载。一般对tracker服务器的访问以http的形式进行。
知道了这个原理，我们可以从限制对Tracker服务器的访问来限制bt。下面我以SNAT方式（为了试验需要，开放所有出站协议）进行一次简单试验，所用BT客户端软件为BitSpirit。

从中看出，这个Tracker服务器的为btfans.3322.org:8000
我在ISA上新建一个计算机集，加入此Tracker服务器，并设置一条访问规则，禁止内网对其的访问。

此时再下载时，将发现无法连接Tracker服务器的错误了。注意：这里我没有使用域名集的原因是在试验过程中，我发现BT客户端在连Tracker服务器时直接使用IP地址。实际上，由于获得Tracker服务器的地址费劲，实用性不是很强。提出这种方法是让大家有一个新的思路。当然，Tracker服务器的数量应该远少于热门BT网站的数量，很多网站都是转的其他网站的Torrent，如果可以找出这些Tracker服务器的地址，这也不失为一种有效方法。

4、过滤HTTP签名

ISA一个新特征就是可以对应用层协议进行过滤，对HTTP的过滤显得尤为有效。下面我通过一个试验来分析一下BT客户端软件在使用外网HTTP代理时的一些特性。使用的方式仍然为SNAT（开放HTTP、HTTPS、DNS协议），BT客户端软件为BitSpirit。
首先，我在BitSprint中设置外网的http代理，

此时，BT可以正常下载，同时在客户机上抓包进行分析，如下图。我们对访问策略的http进行签名过滤，此时BT下载显示为：显示的错误有点奇怪，是HTTP 500错误，抓包看一下，好像不是被签名过滤了，是内部服务器错误，一直没弄明白是为什么，呵呵不过达到效果了。

5、客户端使用Socks2Http

这几乎是最恶毒的方法了，使用的人还不在少数。由于时间问题，我只以最常用的Socks2Http为例，简单说明一下这种方法。实验环境还是客户端为SNAT方式，ISA开放HTTP、DNS出站协议。安装并设置Socks2http软件，如下图所示：

用netstat Can查看查看本机1080端口是否打开。用QQ测试一下Socks登录是否成功。测试成功，并且QQ可以登录。同样在BitSpirit中设置代理，测试不成功（但这个测试不一定准确，因为我在使用HTTP代理时测试也不成功，但照样能下载），不管它，点击确定，然后下载。出现下图

来此软件不支持BitSpirit。我又更换了BitComet做测试，还是不成功。由于没有时间继续测试其他Socks2Http软件，无法知晓结果。但是可以肯定，如果BitSpirit可以使用此方法，则数据包一定会有它的特征。这个留给大家自己测试了。

6、其他

限制（不是禁止）BT的方法还有很多，论坛里面也谈起过，如限制并发数，限制连接数目等等，具体的设置可以根据你的实际情况制定了。对于局域网内使用二级代理然后进行BT下载的情况，ISA也可以使用限制连接数进行一定的控制。另外，如果你公司是域环境，其中有Windows2003作为域控制器，组策略在上面实施，且客户机的OS为XP或者2003，那么可以利用Windows2003中新的软件限制组策略对BT客户端的使用加以限制。这些已经超过了今天我要讨论的范围，有兴趣的朋友自己查看微软相关的文章.

不过总体来说，使用ISA限制带宽操作比较复杂，并且正版的ISA价格昂贵不是一般企业能够承受的。ISA目前厂家都不愿意更新了，因为几乎淘汰没人要用了。针对国内的用户可以购买一些专业的上网行为管理软件，如AnyView（网络警）网络监控软件系统，在限制各种P2P软件方面做的比较好，可以实现较强的控制，如BT、电驴、迅雷、卡盟、qq旋风等等。