利用ISA封锁QQ上网

在上篇我们说到有些员工利用上班时间聊 QQ ，还给大家详细的介绍了一下 ISA2006 的部署，今天我们就简单的来实现一下利用 ISA2006 来封锁 QQ 上网。我们用 beijing 来做 ISA 服务器， beijing 有两块网卡，内网的 IP 我们设为 10.1.1 .254 ，外网的 IP 设为 192.168.0.100 ； tianjin 是内网的一台客户机， IP 为 10.1.1.200. 实验的大致拓扑图如下 ：

首先我在防火墙上不做任何限制，大家可以随便上网。

下面在 tianjin 上登陆 QQ 。登陆时不使用任何代理

OK ！没问题可以上 QQ

其实 QQ 的登陆方式有 UDP 协议、 TCP 协议。现在我们就是通过 UDP 的 8000 端口登陆的，很简单，把 UDP8000 端口封掉，不让它使用 UDP 协议登陆。打开 ISA 服务管理器，选择右上角的新建协议

为协议定义名称

选择“新建”，协议类型选择“ UDP ”，方向“发送接收”，从“ 8000 ”端口到“ 8000 ”端口

不使用辅助连接

很简单，点完成 UDP 协议创建完成

UDP 封锁完成后，下面来封锁 TCP 。 TCP 怎么封锁呢？我们在登陆 QQ 的时候，下面 TCP 类型的登陆方式，我们选择“ TCP 类型”看看它有那些代理服务器呢？

哦   原来有 tcpconn.tencent.com 到 tcpconn4.tencent.com 这几种啊

接下来在 ISA 服务器的开始 --- 运行中输入“ cmd ”

进入 DOS 后输入命令“ nslookup ”，回车后看见下面出现一个 IP 号

紧接着在输入 tcpconn.tencent.com

输入 tcpconn.tencent.com 命令后看见许多 IP 全是 219.133 开头的

在接着输入 tcpconn2.tencent.com ，还是 219.133 开头的，

tcpconn3.tencent.com 和 tcpconn4.tencent.com 中的 IP 是以 58.60. 开头的

记住上面的以 219.168 和 28.60 开头的 IP, 下一步就在 ISA 中对他们进行封锁了。我们选择新建“地址范围”

将 219.133 网段中的 IP 全封掉，我们把它添加到指定的 IP 范围

接下来把 58.60 网段上的 IP 全封掉，也把它添加到指定的 IP 范围

输入完成后，点确定退出。接下来就开始封了，我们在 ISA 防火墙策略中新建访问规则

 

输入访问规则名称

选择“拒绝”

选择所选的协议，把刚才新建的那个网络协议添加进去

从“内部”和“本地主机”

到“外部”

选择所用用户

完成访问规则的建立

建完封锁 QQ8000 端口的访问规则后，接下来在建一条封锁 TCP 端口的协议，输入访问规则名称

这步选择所有出站协议

从所有网络和本地主机

到 QQ\TCP 和 QQ\TCP1. 这是刚才添加的 219.133 和 58.60 开头的 IP

所有用户

完成 TCP 协议的创建

完成后我们应用一下

应用完成后，再在客户机 tianjin 上试试 QQ 还能登上吗？ QQ 登不上了，看来我们的封锁 QQ 的协议生效了。再看看左下角的“疑难解决”看看是那出问题了。为什么 QQ 登不上呢？

哦 原来是端口检测失败了。呵呵

现在还没有成功，现在科学太发达了，网络应用太广泛了，通过 UDP 、 TCP 还不能彻底封锁 QQ 上网，他们还可以通过网上的代理服务器的 IP 上网。嗨！没事，道高一尺，魔高一丈。我们再把代理服务器的 IP 封了不就完了吗？我在网上随便一搜，就搜出来以下这么多代理服务器的 IP ，随便找个试了试还真能通过代理上网啊！

OK ！ QQ 通过代理登上了

  代理服务器 IP 的封锁很麻烦的，既不能上它上 QQ ，又不能封 http ，因为封了 HTTP 那么就和断网一样，用户也不能上网上查资料。如果是这样的话，那么只有一个办法，把代理服务器的 IP 封了。下面是我在网上搜的代理服务器以及 IP 、端口号

北京市 百度公司 202.108.22.5 80 正常 328 http 2008-11-24 0:16:43
巴西 圣保罗 200.242.106.130 3128 正常 5342 http 2008-11-24 0:16:16
南非 196.20.7.74 553 优质 5734 http 2008-11-24 0:15:55
奥地利 193.46.236.141 3128 优质 1984 http 2008-11-24 0:15:18
日本 150.65.32.68 3127 正常 2265 http 2008-11-24 0:14:46
荷兰 130.161.40.153 3127 正常 8562 http 2008-11-24 0:14:35
德国 亚琛工业大学 137.226.138.154 3127 正常 1671 http 2008-11-24 0:14:35
美国 新墨西哥大学 129.24.211.25 3128 正常 1671 http 2008-11-24 0:14:21
美国 特拉华大学 128.4.36.12 3128 正常 2562 http 2008-11-24 0:14:14
美国 特拉华大学 128.4.36.12 3127 正常 1360 http 2008-11-24 0:14:12
美国 特拉华大学 128.4.36.11 3128 正常 1312 http 2008-11-24 0:14:11
英国 81.177.3.10 80 优质 4750 http 2008-11-24 0:12:14
英国 81.177.3.10 3128 优质 1983 http 2008-11-24 0:12:13
美国 72.55.191.6 3128 优质 2515 http 2008-11-24 0:11:55
美国 加洲 64.66.192.61 32080 优质 1358 http 2008-11-24 0:11:34
韩国 211.239.84.232 80 正常 3531 http 2008-11-24 0:09:42
韩国 211.239.84.197 80 正常 656 http 2008-11-24 0:09:17
巴西 圣保罗 200.226.137.10 8080 优质 8562 http 2008-11-24 0:08:39
韩国 211.239.84.195 80 正常 3405 http 2008-11-24 0:08:11
瑞士 192.42.43.22 3127 正常 4578 http 2008-11-24 0:08:05
美国 / 加拿大 206.117.37.5 3128 正常 1547 http 2008-11-24 0:07:23
塞浦路斯 194.42.17.123 3124 正常 1844 http 2008-11-24 0:07:17
英国 194.36.10.156 3128 正常 1797 http 2008-11-24 0:07:17
日本 大阪大学 133.1.16.172 3128 正常 1797 http 2008-11-24 0:06:56
加拿大 萨斯卡彻温大学 128.233.252.12 3124 正常 1375 http 2008-11-24 0:06:52

我们在 ISA 上新配置一个 HTTP 策略，然后把 IP 全添加进去，这样就使用代理不能上网了。

首先右击防火墙策略，选择“配置 HTTP ”

切换到“签名”选项，把上面的 IP 一一添加进来吧！没事慢慢来，时间问题而已。呵呵

添加完成后，在用 HTTP 代理试试

嗨！看看登不上了吧！

再试试看看能不能上网。哦 能上网，如下图上搜狐网没问题