利用ISA2006限制QQ

今天尝试着用ISA2006来限制QQ。既然要限制QQ,首先要对QQ进行分析,知己知彼,方能百战不殆。在默认情况下,QQ先向服务器群的8000端口发送UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复,则使用TCP 80/443端口来进行连接。还有使用HTTP代理登入。现在还有webQQ不用下载安装就能使用。还有QQ空间看来还是比较顽固的哈。
   既然知道了对方的招数,那么我们就要开始研究如何见招拆招了。
   1、限制UDP8000端口
   2、限制TCP 80/443端口的QQIP
   3、限制代理登入
   4、封杀web.QQ.com,QQ.com
首先,我们先把环境搭建起来。
    Florence是域控制器、DNS。Ip:10.1.1.1
    beijing是ISA防火墙,系统是wind 2003 SP1,准备有两块网卡,已经加入了域,
    内网IP:10.1.1.254 ;外网IP:192.168.0.254。
    Perth是域内的客户机,Ip:10.1.1.2   安装上2009版QQ。
拓扑如下:
1
先在ISA上新建一个允许所有的策略
3
好了,现在在客服机上登入QQ
2
网络没有问题。
现在开始第一步:限制UDP8000端口,选择新建-协议
81
给协议起个名字
4
选择新建
5
协议选择“UDP”端口8000如下图,
6
不要辅助连接,选择否
7
完成
8
选择新建-访问规则
18
选择“拒绝”
20
协议为所选的协议,就选我们刚才新建的协议
21 
访问规则源:选择本地主机和内部
23
24
访问规则目标:选择“外部”
25
26 
用户集:选择所有用户
27
完成
28
 
第二,我们开始限制TCP80/443的服务器群的ip
首先,在QQ登入面板上选择设置---网络设置----类型选择TCP类型,如下图
9
我们用nslookup,来查看其ip,输入nslookup,
然后依次输入tcpconn.tencent.com
                tcpconn2.tencent.com
                tcpconn3.tencent.com
                tcpconn4.tencent.com
10
11
12
13
好了,记下以上的ip,有点多,那就封网段吧。
选择网络对象---新建---地址范围
15
把ip都要写上,我封的是网段
16
17
88
现在再建一个访问规则
18
起个名字:“TCP限制QQ”
29
选择拒绝
30
协议:所有出站通讯
31
访问规则源:“任何地点”
32
33
访问规则目标:选择刚才新建的地址范围“QQ1” “QQ2””QQ3“
34
35
用户集:选择所有用户
36
完成
37
应用一下
38
现在我们先测试一下,正常登入
39
超时,那在用UDP试试
40
也是一样的结果,那在试试TCP
42
哈哈,挺好,都是不行
43
是不是网络出问题了?试试看
44 45
网络正常,说明以上设置是成功的。不过还有http代理呢
46
成功登入QQ,这可是一记重拳啊!
47
     网上的代理服务器那么多,要一个一个封,那不是累死了,既然人家来势汹汹,那我们也不能硬拼啊,那就给它来个温水煮青蛙,以柔克刚,首先我们抓个包看看,(抓包就不再演示了)
     签名的方式很多,通过抓包可看到QQ上网是通过CONNECT的方式和qq.com去连接QQ服务器的,所以我们可以通过禁止CONNECT来实现。
还记得我们刚开始建了一个允许所有的策略,选择它右键,选择“配置HTTP”
96
出现HTTP策略,选择“方法--阻止指定的扩展名--添加”,如下图
image
   光是禁止CONNECT还是远远不够的,还要在签名里把qq.com、tencent.com干掉
打开签名选择添加,我们把qq.com,tencent.com封杀掉,如下图:
93
94
95
测试一下
70
41
如果是QQ2008的话还可以看到更清楚
image
好了,QQ是封了,但是现在还有web.qq.com,不要安装就能直接使用,腾讯确实是挺有远见啊,还留了一手,
O(∩_∩)O~,不过也简单,只要把它的ip封了就ok啦!
查看一下qq.com和web.com的ip,用nslookup,如下图
48 
选择刚才建的“TCP限制QQ”属性
image
选择“到”“添加”“新建”“计算机集”如下图
image 
名称:?? 选择“添加”“计算机”
101
将qq.com的ip填上,有几个ip就添加几个计算机
102
如下图,确定,这里是把qq.com封了,
image
再新建一个计算机,因为web.com就一个ip,不能误伤无辜
image
建好之后如下图
52
选择确定,再应用一下
38
打开网页看看
50
上上百度
53
再看看qq.com
54
好了大功告成!现在我所知道的也就只有这几个办法,如果哪位兄台还有更好的办法,请赐教!
 
本文出自 “ 努力成就梦想” 博客,请务必保留此出处 http://lizhijian.blog.51cto.com/844063/190620
本文出自 51CTO.COM技术博客

你可能感兴趣的:(职场,休闲,ISA)