尖瑞の阻击QQ聊天

我们都听说过防火墙，也会觉得防火墙是一种很神秘而 power 的安全机制，那么防火墙到底可以实现什么神圣的功能呢。下面我们来介绍一下微软的一款防火墙是怎样以它强大功能来阻止 QQ 通讯的：

ISA2006 ： Internet Security and Acceleration ，微软产品。

ISA2006 继承微软以前防火墙的所有优良基因，所以得到广大用户的亲来。

与此同时，很多公司的我们的同行，在 boss 们的要求下实现一种让员工惊愤的功能――禁止聊 QQ 。

那么同行们是怎样实现这种经典操作的呢？

下面请看看我为大家道来。

首先，我们知道信息条件下通讯不是单方面的数据输出或流入，而是对称的交流、互动。更别说是聊天什么了。居然数据有出有入，那么我就应该针对出 & 入做出应对策略。唉……策略！！！ 对！！！我们用的就是策略。可・・・这个策略怎么实现呢？……？？？ thinking ・・・噢！是用一系列的规则组成的！这样我们就很容易的想到了 ISA2006 的那些宝贝规则了。我们做绝的    呵呵……

基本思路：

一、            针对网络对象加入规则

    （ 1 ） 计算机（ Ip 地址）集

（ 2 ）域名集

二、            针对协议加入规则

三、            端口加入规则

 

打开 ISA 服务管理器：

 

 

打开后我们看到了 ISA2006 的操作窗口，我们现在在窗口右边看到一个工具箱，右击网络对象――新建计算机群（因为我们还不知道腾讯的 IP 是不是连续的，所以不能新建一个地址范围，只能一个一个来了 ）

 

 

根据向导，给机群取一个名儿，叫 qqserver 吧

 

然后添加计算机，这时向导要我们填入名称及 ip 地址，名字随便取， ip 地址就一个个老老实实的写了。

{ ………… （供参考的 qq 服务 ip 地址如下）

202.104.128.233

202.104.129.242

202.104.129.251

202.104.129.252

202.104.129.253

202.104.129.254

202.104.193.18

202.104.193.30

202.96.140.119

202.96.140.12

202.96.140.18

202.96.140.8

202.96.170.163

202.96.170.164

202.96.170.166

210.22.12.126

211.248.99.252

218.17.209.23

218.17.209.42

218.17.217.103

218.17.217.66

218.18.95.153

218.18.95.165

218.18.95.171

218.18.95.209

218.18.95.220

218.18.95.221

218.18.95.236

218.66.59.233

218.85.138.74

219.133.38.133

219.133.38.135

219.133.38.136

219.133.38.230

219.133.38.43

219.133.38.5

219.133.38.66

219.133.40.113

219.133.40.114

219.133.40.115

219.133.40.118

219.133.40.119

219.133.40.15

219.133.40.173

219.133.40.201

219.133.40.216

219.133.40.73

219.133.40.89

219.133.40.90

219.133.40.91

219.133.40.95

61.141.194.200

61.141.194.203

61.141.194.207

61.141.194.223

61.141.194.224

61.141.194.227

61.144.238.145

61.144.238.146

61.144.238.150

61.144.238.156

61.172.249.135

如果我们不知道它的 ip 地址，就在我们登录 QQ 的窗口上点击设置――登录服务器类型。选择协议类型 udp/tcp ，接着后面可以选择服务器，我们选择其中一个以后复制它的地址（域名）。

 

 

进入开始――运行――（键入） cmd ―― nslookup ―― sz3.tencent.com 这个命令查找 qq upd/tcp 的服务器 ip 地址

 

 

 

这样就可以网络了所有服务器的 ip 了 ……………… }

计算机取名儿为 QQserver

 

 

 

一台 ip 为 202.104.128.233 的腾讯服务器就进入了我们的黑名单了

 

同样，其他服务器逐个添加进我们的黑名单中，直到最后一个。

下面我们再写个一个域名集

udp 的 6 个， tcp 的 3 个

 

新建域名集：

 

 

来到协议向导，我们可以根据需要做出更绝的规则，但是我们现在做的只是拒绝 QQ 通讯。

 

 

取名儿为 UDP/TCP 阻止

 

 

在首要链接信息向导中新建――（选择）协议类型――（选择）数据方向――确定端口

 

 

注意： tcp 不能同时设置成出站和进站

 

下一步

 

 

 

不需要辅助链接：选否

下一步

 

 

协议完成

 

然后我们在 ISA2006 管理窗口的左边右击防火墙策略――新建――访问规则

 

 

弹出一个新建访问规则的向导，我们就给我们的规则起个名儿（如：决绝访问）

写好后下一步

 

 

 

规则操作向导中选择拒绝

 

 

注：安全起见，用户用 tcp 链接腾讯数据库。但是 封闭 TCP 的 80 端口是不行的，因为用户访问外网资源绝大多数是访问 web 服务器的 80 端口，所以我们只能阻止用户与 QQ 服务器之间的数据交流啦，而 qq 聊天时为了不延时，所以采用 udp ，为了安全采用 tcp ， udP 的是 8000 和 8001 ， ctp 的是 443 ，这就好办了，封 UDP 的 8000 和 8001 ！！

 

 

端口写好了，还有协议呢。添加协议：添加――新建――用户定义―― udp/tcp 阻止（双击）

 

 

选上之后关掉‘添加协议’窗口，在协议向导窗口点击‘下一步’

 

 

添加内网作为策略中的源

 

 

添加我们前面定义的计算机集合域名集作为策略的目标

 

 

 

下一步，在用户集里面选择所有用户

 

 

下一步，完成。

呵呵     ……     总算是搞定了    ！！！……不过最关键的一步不要忘咯！！！

启   用    策   略    ！！！！！！

哦了    你普通用户有再大能耐也只是望而却步了。

收工！！！