用ISA SERVER 2006轻松封锁QQ

                  用 ISA2006 轻松阻止 QQ 上网

   实验环境的拓扑如下图所示： ISA 的两张适配器分别为：

内网；

IP ：         : 10.1.1 .254

子网掩码： 255.255.255.0

外网：

IP:      192.168.11.254

子网掩码 :255.255.255.0

网关：     192.168.11.1

 

 

我们要想阻止 QQ 上网，首先，我们要知道 QQ 是怎样登录到腾迅的 QQ 服务器上的，只有了解了 QQ 的登录途径我们才能轻松的阻止。经过大量的登录实验我得出 QQ 登录的几个最主要的方式是通过 UDP 的 8000 、 8001 端口， TCP 的 80 和 443 端口以及使用 Web 代理。这样我们就可以进行阻止实验了。

  一：创建访问规则并检测网络

  首先我们在 ISA 服务器上做一条宽松的访问规则让内网能够访问外网，我们在内网客户机 Florence 上登录 QQ 。如下图所示：

ISA 管理工具中防火墙―新建―访问规则

 

在出现的访问规则向导中访问规则名称中写入“允许任何访问”

 

选择“允许”

在协议向导中点击规则的下拉键选择“所有出站通讯”

在访问规则源向导中，添加“内部”和“本地主机”

访问规则目标向导中，添加“任何地点”

 

 

完成后，点击“应用”―“确定”这时访问规则做好。

 

 

我们在 Florence 上登录 QQ ，如下图所示：

 

 

QQ 成功登录，网络正常，

二：创建阻止 UDP ： 8000 和 8001 端口和 TCP ： 80 和 443 端口的拒绝访问规则

 UDP ： 8000 和 8001 有 9 个服务器分别是 sz.tencent.com sz2.tencent.com sz3.tencent.com sz4.tencent.com sz5.tencent.com sz6.tencent.com sz7.tencent.com sz8.tencent.com       sz9.tencent.com 每个服务器的 ip 都很多，可通过命令 nslookup 查看。如下图：

 

TCP ： 80 和 443 有六个服务器分别是 tcpconn.tencent.com tcpconn2.tencnet.com tcpconn3.tencnet.com tcpconn4.tencent.con tcpconn5.tencnet.com tcpconn6.tencent.com

 1 我们在 ISA 上新建一个阻止 UDP ： 8000 和 8001 端口的协议，如下图所示：新建―协议

在出现的向导中填写“拒绝 UDP ”

 

 

 

 

 

我们选择“不使用辅助连接”

 

 

2 封闭 TCP 的 80 和 443 端口是不行的，因为用户访问外网资源绝大多数是访问服务器的 80 和 443 端口，所以我们     只能阻止用户访问 QQ 服务器了，用户通过 TCP 登录其实是连接 tcpconn.tencent.com 、 tcpconn1.tencent.com 、 tcpconn2.tencent.com 、 tcpconn3.tencent.com 、 tcpconn4.tencent.com 、 tcpconn5.tencent.com 、 tcpconn6.tencent.com 这几个服务器。我们在 ISA 上使用 nslookup 命令查看服务器，我们依次输入服务器域名进行查看 ip 并记录 . 下面我们来创建计算机集和域名集来阻止用户访问腾迅的服务器。如下图：网络对象―新建 ­---- 计算机集

在出现的对话框中名称处填入“ QQ 服务器 ”点击“添加” ---- “计算机”

在名称处填写“ server ”计算机 IP 地址处填写 QQ 服务器的 IP 地址

如果某个网段 IP 很多，我们可以全部封掉，如下图：

 

计算机集建好后，我们在建一个域名集来保证更彻底。如下图：网络对象 ---- 新建 ---- 域名集

在出现的对话框名称处填写“腾讯”，点击“添加”进行添加域名。直到把所有的域名全部添加后“确定”

 3 创建拒绝规则

  a 为 UDP 的 8000 和 8001 创建拒绝规则，如下图所示：

 

 

 

 

 

 

 

  在 ISA 管理控制台中防火墙―新建―访问规则

访问名称填写“拒绝 QQ ”

操作规则为拒绝

应用于所有协议

源通讯为内部和本地主机

目的通讯为 QQ 服务器和腾讯

规则应用于所有用户

 

 

应用规则后，我们在登录 QQ 看能否成功，如下图：呵呵，登录失败了，能封掉，但是，这只是完成了一半啊，如果用户使用 http 代理的话就不行了。

 

 

 

三：我们通过签名的方式来禁止 http 代理，但是 http 代理服务器很多，如果我们还是通过拒绝访问计算机集的方式的话是不行的。如下图所示：

 

因此。我们采用另一种方法进行封杀―签名，如下图所示：

 

签名的方式很多通过下面抓包可看到 QQ 上网是通过 CONNECT 的方式去连接 QQ 服务器的，所以我们可以通过禁止 CONNECT 的方式来达到我们想要的目的

 

在配置 http 策略对话框中，方法标签中选择“阻止指定的方法”并添加“ CONNECT ”

 

 

就阻止这个还是不行的 QQ 还通过 qq.com 连接到腾迅服务器上，如下图所示：

 

因此，我们要把革命进行到底，继续封锁，通过签名来再次杀。

 

 

 

 

 

我们再来登录 QQ 看看是否成功封杀

 

哈哈。成功封杀。

如果还有封不住的那就通过策略或在 ISA 上禁止用户使用 USB 、禁止下载、禁止用户访问一些网站中的特定内容