ISA限制QQ思路

用ISA2006封QQ

   

首先我先建立内部域环境，Denver是域内的成员，Berlin是域“FQQ”的域控制器，Beijing也加入域并且是ISA防火墙。拓扑图如下：

我的思路是：

1． 客户机都通过防火墙客户端访问网络。

2．  用防火墙客户端对QQ进行封锁。

安装ISA2006

点击下一步

选择自定义，下一步。

选画圈的，点击下一步。

点击添加。

点击添加适配器并确定。

在内网前打钩，确定。

我选择允许不加密的防火墙客户端连接。

点击安装进行ISA2006的安装，等待其完成。

一、    使客户机使用防火墙客户端

1. 先要禁止用户使用Web代理，在ISA上关闭Web代理就可以了。在ISA服务器上依次点击开始－程序－Microsoft ISA Server－ISA服务器管理。

配置－网络－内部，在内部网络的属性中切换到“Web代理”，如下图所示，取消“为此网络启用Web代理客户端连接”，这样ISA就不再对内网提供Web代理服务了。

取消“为此网络启用Web代理客户端连接”

2. 禁止客户机使用SNAT，利用SNAT不支持用户身份验证的弱点，在访问规则中要求用户必须通过身份验证。访问规则中允许所有用户任意访问改为允许通过身份验证的用户操作如下：

把“所有用户”删掉。

选择“所有通过身份验证的用户”。

如上图我们应用此策略。

这样用户只能通过防火前客户端访问了。

二、       用防火墙客户端对QQ进行封锁。

1 、协议

现在很多企业内部都不喜欢职员们上班时间聊QQ，我们可以通过强大的ISA来对他们进行限制，达到预期的目的。下面我们来布置下。

打开ISA服务器管理，展开 配置－常规，点击“定义防火墙客户端设置”，如下图所示。

在防火墙客户端设置中切换到“应用程序设置”，如上图所示，点击“新建”。

我们在应用程序中输入QQ，键选择“Disable”，值选择“1”。

这样想封住QQ功力还是不够的，我们还要进一步来操作。

QQ 的通讯协议在ISA默认中是没有的，我们就可以在防火墙策略的工具箱中的协议下选择“新建协议”自己定义一个新的协议。如下图：

出现新建协议向导

我们选择新建

我定义FQQ协议使用UDP，方向为发送接受，端口为8000。

选择“否”下一步。

 这样创建了一个自定义协议FQQ。

在规则属性中切换到“协议”标签。

将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“，只允许使用特定的协议。

这样我们添加协议。

将刚才我所新建的协议FQQ添加到里面。

我们是想要封锁QQ的，千万不要选择允许操作，应该拒绝。如上图。

2 、网络对象

要想禁止QQ，一般情况下我们需要定义域名集和计算机集两种元素，从域名和IP地址两种角度描述QQ。这里我们用计算机集，如下图所示，在防火墙策略工具箱中展开网络对象，选择新建计算机集。

为新建的计算机集取名为FQQ，选择添加“计算机”或“地址范围”。我们应当把所有QQ的IP都填进去。

创建完网络对象后，我们来修改访问规则。在规则的属性中切换至“到”标签.

如上图所示，在“例外“处点击添加，将计算机集FQQ添加进来，这样QQ就不再被访问规则所允许了。

3 、签名

QQ 用了很多代理服务器，比较令人头疼的。下面我在用签名的方式来进一步限制QQ的爱好者们。

我们在ISA中利用签名封锁QQ。在HTTP策略属性的“签名”标签处点击“添加”，如下图所示，

我们为签名取名为“QQ”，查找范围是“请求URL”，签名内容是 “tencent.com”“QQ.com” 。

 

至此我通过ISA2006限制QQ上线的方法结束。

由于近几天没有上网的网络环境，在这里只把思路说了下.