我们使用ISA Server 2006可以使用访问规则限制内网用户访问外网网站,我们今天就是用ISA来限制用户登录QQ。在很多公司里在工作时间是不允许使用QQ登录(工作时间不允许闲聊啦!!)今天我们就拿QQ来试一试怎么限制即时通讯软件。
实验环境如下图所示,China是内网工作站,Beijing是ISA服务器
QQ登录的方法有好多种
1 正常登陆
2 使用协议
3 使用代理服务器
1 封锁QQ的正常登陆
我们在ISA服务器上创建一个访问规则“允许任何访问”如下图所示
我们在工作站China上登录QQ,登录正常,如下图所示
接下来我们就来封锁QQ的登录,QQ是同过UDP协议,8000端口访问外网的。我们新建一条协议叫“封锁QQ”,如下图所示
新建协议连接,如下图所示
不使用辅助连接
完成向导,如下图所示
2 封锁协议
TCP协议类型中有四个QQ服务器地址,如下图所示
我使用nslookup来查看这四服务器的地址,如下图所示
输入tcpconn2.tencent.com 如下图所示
输入tcpconn3.tencent.com 如下图所示
输入tcpconn4.tencent.com 如下图所示
腾讯果然很牛X,那么多服务器,怎么封锁呢,ISA是有办法的!我们可以把整个网段都封掉,哈哈~~~
我们在ISA防火墙策略—网络对象—右击地址范围,添加地址段如下图所示
QQ1
QQ2
QQ3
QQ4
接下来我们创建一条访问规则叫“拒绝QQ登录”如下图所示
符合此访问规则的一定要拒绝,这样才能拒绝登录,如下图所示
添加协议,我们添加我们刚才创建的“封锁QQ”如下图所示
添加访问源,如下图所示
添加访问规则目标,如下图所示
添加此规则应用的用户,如下图所示
完成访问规则,如下图所示
现在我们把UDP封掉了,接下来我们一定要把TCP也封掉,我们再创建一条访问规则来封锁TCP,如下图所示
拒绝符合规则的操作,如下图所示
此规则应用于“所有出站通讯”如下图所示
添加访问规则源,如下图所示
添加访问规则目标,我们添加刚才创建的地址范围,如下图所示
添加此规则应用的用户,如下图所示
访问规则创建完毕,如下图所示
UDP和TCP访问规则创建完毕,我们现在应用防火墙策略
我们用工作站China测试一下,登录QQ试一试吧,结果登录失败,哈哈啊~~~成功了,如下图所示
QQ登录不成功,但是访问外网的网页时可以的!!!如下图所示
3 封锁代理服务器
我们虽然封掉了QQ,但是如果有人使用代理服务器,ISA防火墙策略就会放过数据,因为访问的目标地址是一个代理服务器地址而不是我们设置的地址范围,所以ISA就会放过数据,让QQ登录了!!对付这种使用代理服务器的人,我们就要把事情做的绝点,封锁代理服务器,我们在HTTP策略里,为QQ添加一个签名,这样使用代理服务器也是没用的,ISA会认得数据里带有QQ签名的数据就会直接封锁掉!!呜哈哈~~QQ你无处逃了!!!
首先我们先找一个代理服务器试一试能否登录QQ
QQ登录成功~~~~如下图所示
接下来我们使用签名来阻止QQ使用代理服务器登录,在访问规则里选择“协议选项卡”单击“筛选”选择HTTP策略里“签名”选项卡,单击添加,如下图所示
填写签名信息,如下图所示
应用规则后,我们再次使用代理服务器登录QQ,结果登录失败,如下图所示
限制QQ访问就完成了!!!!
本文出自 “吕达” 博客,请务必保留此出处http://lvdaz.blog.51cto.com/822542/191591
ISA限制QQ登录
社区:
