ISA防火墙VS腾讯QQ 魔高一尺,道高一丈

企业为了管理方便,经常要限制一下企业内员工在上班时间娱乐,这样就免不了我们这群网管做一些工作。
 
前几天,我们岳老板在工作期间视察发现员工上qq聊天,大发雷霆,把我叫道办公室说道“小张啊,最近公司内员工总是在上班时间上网聊天,这个问题很严重,我很生气。你看能不能解决一下?”
 
我笑道“可以,要是不上网的话就简单了,在机房把网线断了就OK了。”
 
岳老摇头到“绝对不行,我还要玩联众呢。”
 
“那……不好办啊……”
 
“那也不行,你回去想想办法,给你三天时间,把这个问题解决了,不能让员工上qq,但是我还要玩联众。回去吧!”岳老似乎有点生气。
 
嘿嘿,其实这个问题可以解决,不过是麻烦点。我们的企业用的是ISA防火墙,虽然版本老了点,是04,但是封个qq还是可以的,ISA当初不就极力的鼓吹他的应用层过滤功能么?
嘿嘿,干说不练假把式。我们这就开始。
 
 
首先,这是我们岳老公司的模拟环境,florence是ISA,perth就代表我们的内网
 
 
 
网卡正如图中所示,内网是10.1.1.1网段,外网是192.168.0.1网段
然后这是我ISA的防火墙策略,很简单,什么都不限制,大家随便上网。
 
 
然后在perth上面登陆我的qq
 
 
 
正常,正常的不能再正常了
 
 
 
其实我们可以在qq设置里面可以看到,qq的登陆方式就是UDP和TCP,正常情况下,是先从UDP8000端口找到qq的服务器,然后找一个最快的服务器登陆。简单,别客气,8000端口就封了,不要了
新建一个协议
 
协议名称
 
 
新建一个8000的端口
 
 
类型udp,端口就是8000,方向发送
 
 
好了,下一步,不使用辅助连接
 
 
完成。
 
 
先建立好协议,等会我们连TCP的服务器都封了再说
 
TCP的怎么封呢?我们用个命令来实现,首先我们可以看到,TCP有很多服务器,我们在nslookup下面用这些服务器查看所有的腾讯TCP链接
 
 
 
上图,发现有tcpconn.tencent.com的链接,一直到tcpconn4.tencent.com,
 
然后cmd
 
nslookup
 
查看链接tcpconn.tencent.com
 
 
呵呵!发现很多IP吧?先记录,然后记录!待全部ip查看完毕后,就可以封了所有IP了
 
 
 
用cv大法,记录所有ip,然后就可以开始封了,有个朋友很小心,一个ip一个ip的封,我就不管,整个ip段都封,嘿嘿,有点狠……
在ISA中新建地址范围
 
 
然后按照下面的方式新建地址范围,注意,务必把所有ip都封在范围内
 
 
好了,所有都写好了!
 
 
然后就开始封了,新建防火墙策略,新建规则
 
 
新建一个封UDP8000端口规则
名称
 
 
规则为拒绝
 
 
协议为所选的协议,就选我们刚才新建的协议
 
 
 
下一步
 
 
此规则用于内部协议,也要用于本机,当然,在单位我是绝对不会这样的,我自己也要上qq不是?
 
 
目标到外部
 
 
给所有用户使用
 
 
完成,这样就不能用UDP访问了
 
然后再新建规则,把TCP服务器刚才新建的规则也封掉!嘿嘿
 
 
 
 
 
 
 
 
好了!两个规则都建立好了,应用一下,这样就没有问题了!所有的qq都不能上了,但是岳老玩联众还是没有问题的!o(∩_∩)o...哈哈
 
 
 
 
 
但是上网没有问题!
 
 
当我把这个环境做好之后,岳老很高兴,说道“小张啊,不错,有前途。好好干。”
 
 
 
 
 
但是!这样就行了么?不能完全封qq,用代理就没有问题了!
 
公司小王平时和我关系不错,平时喜欢网上聊qq泡mm,可是我封了qq以后,小王很是郁闷。
这天,小王下班专门请我吃饭,我早就知道无事不找我!原来就是qq的事,他想上qq,但是上面有命令啊!大家都不上,这个……
无奈吃人嘴软嘛!我偷偷告诉小王用http的方法,然后嘱咐说不许说我说的,小王一听还能上网,又给我买了几包烟,嘿嘿!赚了。
 
简单,网上找个代理,这就上去了。
 
这不是上去了么?还是在临汾!嘿嘿
 
上是上去了,可是,我想到一个问题,代理能封么?
几经查询,嘿嘿!可以!
 
 
qq登陆的时候要抓个包!分析一下,看到现在的qq是用IP做的关键字,再加上qq.com和tencent.com
 
 
 
新配置一个HTTP策略然后添加到签名里面就好了这样就上不去了!嘿嘿
 
 
 
 
不能上了吧?哈哈!

你可能感兴趣的:(职场,系统,休闲,ISA)