ISA Server是建立在Windows 2000操作系統上的一種可擴展的企業級防火墻和Web緩存服務器。ISA Server的多層防火墻可以保護網絡資源免受病毒、黑客的入侵和未經授權的訪問。而且,通過本地而不是Internet為對象提供服務,其Web緩存服務器允許組織能夠為用戶提供更快的Web訪問。在網絡內安裝ISA Server時,可以將其配置成防火墻,也可以配置成Web緩存服務器,或二者兼備。
ISA Server提供直觀而強大的管理工具,包括Microsoft 管理控制臺管理單元、圖形化任務板和逐步進行的向導。利用這些工具,ISA Server能將執行和管理一個堅固的防火墻和緩存服務器所遇到的困難減至最小。
本文將介紹如何使用ISA封堵QQ等聊天軟件
說到封鎖QQ,這的確讓不少網絡管理員頭疼,因為QQ可以使用多種協議通信,如:UDP、TCP、HTTP、HTTPS,而且支持使用代理。只要允許HTTP協議就可以登錄,而在網絡中又不能禁用所有的協議,那怎么辦呢?
要禁止QQ登錄,我們先看一下QQ的登錄過程。在默認情況下,QQ是使用UDP協議向服務器發送請求的,也可以使用HTTP代理進行通信。我們不能禁止HTTP協議,所以最好的辦法是封鎖服務器IP,然后利用ISA 2006對HTTP檢查機制來禁止QQ使用代理登錄。
1.封鎖服務器IP地址
首先要找到QQ服務器的IP地址,QQ的服務器不止一個,大家可以到網上找一下,這里我暫時用下面這幾個:61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通過HTTP代理連接的服務器的URL,可以去找一下,也可以自己抓包看一下。這里我們用tencent.com這個地址。和剛才一樣要定義源集、目標集、策略。源集和禁止訪問網絡的定義一樣,內網的全部計算機。在定義目標集時也定義成為計算機集,然后添加訪問規則。但是鑒于目前騰訊QQ服務器IP地址眾多,并且每隔一段時間都會增加新的IP地址,這樣導致通過ISA禁止QQ聊天軟件的方法將會面臨著較大的挑戰。
圖9
2.禁止QQ使用HTTP代理登錄
這里使用的是ISA Server的深層過濾機制,在“防火墻策略規則”中“無限制的Internet訪問”上面點右鍵,選擇“配置HTTP”,在打開的“為規則配置HTTP策略”上選擇“簽名”標簽。添加一個新的簽名。在“簽名”中輸入“tencent.com”。這樣在使用代理登錄時請求連接的URL中發現“tencent.com”就會阻止。
圖10
3.應用策略
再調整一下這個策略的屬性,點擊“應用”就成功地禁止了QQ。要注意的一點是上面兩種策略必須同時使用才能徹底禁止QQ,以后如果發現新的QQ服務器IP或是代理服務器的URL,隨時加入策略中就可以了。
總結:上文我們介紹了如何使用ISA限制QQ聊天的方法,其中我們看到ISA其實是一個很強大的防火墻工具,但是相關的設置操作較為復雜,需要一定的專業知識和技能。但是隨著網絡應用的日漸復雜以及新的聊天軟件如Skype等采用加密的協議進行傳輸,同時服務器IP地址不固定,采用P2P的方式搜索全世界的代理登陸的服務器,同時skype還可以利用電腦開放的任意一個端口進行登錄,從而依靠ISA禁止Skype聊天軟件的方法變得不再可行。目前國內一些上網行為管理軟件如聚生網管(官方網址:http://www.grabsun.com/),在限制skype聊天軟件方面采用基于協議與流量特征相結合的方法來控制Skype登錄的方式更為有效,同時,聚生網管系統全部基于傻瓜式的操作界面,操作較之于ISA更為簡單,同時在限制網絡游戲、控制股票軟件、屏蔽網址瀏覽、進行IP和MAC地址綁定以及防御局域網ARP病毒等方面都具有明顯的領先優勢。
共有條評論
