isa禁止qq.doc

isa禁止qq.doc对企业网管来说,工作时间内禁止员工使用QQ聊天工具做一些与工作无关的事情,是一件常规工作。不过禁止QQ的方法有多种,有的人在ISA访问规则中直接将QQ的服务器/*或者/*给禁用,这样一来公司员工是不能聊QQ了,但是连访问QQ网站都不行了,做的也太绝了点。还有的人想通过协议来实现对QQ的禁用,那就更加麻烦了其实禁用QQ是有更好的方法的,为了找到更好的方法,我们先对QQ的工作原理做个分析。1.     QQ的登录方式QQ可以支持UDP、HTTP和HTTPS这三种登录方式,而且可以使用HTTP代理,这相当于只要你允许了HTTP协议,那么QQ就可以登录。在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复UDP数据包,则使用TCP80/443端口来进行连接。因为他可以使用HTTP直接连接,而一般是不能封锁HTTP协议的,所以,封锁QQ的最好办法是封锁它的服务器IP,但是QQ还可以使用HTTP代理登录,所以,还得在ISAServer2004的HTTP检查机制中设置禁止QQ的HTTP连接。1)     UDP8000端口UDP工作速度最快,服务器最多;QQ上线会向这些服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。UDP8000端口类18个,他们分别是:)     TCPHTTP连接服务器(列举5个),使用HTTP80和443端口连接。)     会员VIP登陆服务器,使用HTTP443安全连接()。例如:。2.     访问规则选择为http和DNS协议,让当前的企业用户能够成功的访问公网,并能成功的使用QQ软件,然后再通过ISA2004的深层检测功能实现对QQ的过滤。过去的基于包过滤的防火墙(无论硬件还是软件防火墙)都是没有办法封锁QQ的,但是利用ISAServer2004的深层HTTP检查机制就可以很好的禁止QQ软件。3.     具体操作创建支持http协议和DNS协议的访问规则在此就不再详细叙述,在后续的文章中将会推出,访问规则的基础上,右击该规则选择“http配置”然后选择“签名”选项卡如下图,添加一条签名规则,并将其签名写为“”注意:。如果该签名无效,则需要利用数据分析工具抓紧QQ数据包分析具体的签名。最后点击“确定”关闭窗口,并且不要忘记“应用”该策略。然后在内部网络中访问QQ的WEB仍然可以继续访问,但是想登录QQ就不行了,并且使用代理也无法登录QQ。使用ISAServer2004禁止P2P软件现在P2P软件非常的流行,而且提供了多样化的登录方式,这给我们做网管的想封锁它的时候,带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下,利用ISAServer2004的增强的HTTP协议检查功能,来完全的禁止它们。既然要封锁它们,首先要对QQ和MSN使用的协议来进行分析,知己知彼,才能在封锁与反封锁的较量中获胜。首先介绍MSN。MSN使用TCP1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录,但是在使用HTTP代理的情况下,MSN可以很轻松的突破1863端口的限制。再说说QQ。QQ的登录过程是这样的,在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复,则使用TCP80/443端口来进行连接。因为他可以使用HTTP直接连接,而一般是不能封锁HTTP协议的,所以,封锁QQ的最好办法是封锁它的服务器IP。但是如果使用HTTP代理登录,那么还是可以上QQ的。QQ的服务器的地址如下,最后更新于2004年6月1日。不过tencent随时可能增加服务器,但是应对政策很简单,如果能上QQ,你在QQ的系统属性里面看看当前登录服务器的IP,然后添加进来就是了。QQ服务器分为三类:1、UDP8000端口类18个:速度最快,服务器最多。QQ上线会向这些服务器发送U