正在阅读：围剿与反围剿 解析上网行为管理那点事围剿与反围剿 解析上网行为管理那点事

　　经过第三层后，数据包来到了第二层，数据链路层。数据链路层继续在数据包外边附加控制信息，其中有两个重要的参数，源MAC 地址与目地MAC地址。被加工过的数据包称为数据帧。数据帧再被转化为bit流就可以在物理网络上传输了。当目地MAC主机收到数据帧后，就像“剥洋葱”一样，一层一层剥去控制信息，在剥到第四层时发现，端口号指出，ABCD这条消息应该被提交给QQb。以上描述可能并不十分严紧，但数据在网络中大概就是这样被传输的。

　　管理MAC地址：MAC地址工作在OSI模型的第二层。这个地址被“烧”在了网卡上，它就像是每台电脑相对固定的身份证一样，每当电脑与对端设备进行通信时，双方的MAC地址总会出现在数据帧中。这就相当于数据帧有了“身份”信息，而且这一信息就在数据帧的最外围，所以对数据帧进行管理是最简单的。但其实MAC地址很容易被修改 — 不是真的重新烧录网卡上的地址，而是在操作系统层面进行“软”修改。修改了MAC地址，相关的管理策略也就失效了。

　　管理IP地址：IP地址工作在OSI模型的第三层，这个地址是我们手动为网卡指定的，修改起来也更加方便。管理IP地址要比管理MAC地址方便一些，也更有效率，比如，可以对一个IP地址段进行策略套用。但不足也同样明显，修改IP地址比修改MAC地址更容易，所以基于IP地址的安全策略很容易被“绕过”。

　　管理端口号：端口号与具体的应用程序有关，所以基于端口号的策略的有效性要比其它两种稍强一些。比如，一台在192.168.2.0网络中的服务器开放了Telnet端口（23号端口），但不希望192.168.1.0网络的电脑访问，一种方法是可以在路由器上设置一条策略，禁止所有来自192.168.1.0的Telnet请求通过。这样的话，192.168.1.0网络中的某台电脑，无论怎样修改IP地址、MAC地址都是无法访问服务器的。原因很简单，因为在此情境中，所有Telnet请求都必须访问23号端口。

　　不可否认，基于端口号的管理策略在某些情况下是比较有效的，但这仅是在少数情况下。因为多数应用所使用的不是固定的端口号，比如QQ、MSN、BT等等。看到这里我想您也明白了，所谓有效的管理策略都是基于不可变“条件元素”的，但传统的“老三样”所基于的“条件元素”都是可修改的，所以“老三样”很难有效管理QQ、MSN、BT。

常见的应用，应用层协议，传输层协议

　　之所以上网行为管理路由器可以有效的管理QQ、MSN、BT等，是因为这类设备使用了不同的“条件元素”，即应用层协议。每个应用层协议都是为了服务于某一类应用，比如，BT客户端有很多，包括比特精灵，比特慧星等，但它们所使用的其实都是bittorrent协议。协议比MAC地址、IP地址、端口号都要“稳定”，实际上对于用户来讲是不可修改的，所以基于应用层协议的管理策略十分有效。对应用层协议进行识别，基于此再套用管理策略，这就是上网行为管理的本质。>>