路由器信号不好用什么增强:2用ISA SERVER 2006轻松封锁QQ - 激情燃烧的岁月 - 51CTO技术博客

来源:百度文库 编辑:中财网 时间:2024/04/28 08:47:44
用ISA SERVER 2006轻松封锁QQ
2009-04-05 22:00:57标签:封锁QQ
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和本声明。否则将追究法律责任。http://zhanglijie888.blog.51cto.com/545423/146342
用ISA2006轻松阻止QQ上网
实验环境的拓扑如下图所示:ISA的两张适配器分别为:
内网;
IP:        :10.1.1.254
子网掩码:255.255.255.0
外网:
IP:      192.168.11.254
子网掩码:255.255.255.0
网关:    192.168.11.1

我们要想阻止QQ上网,首先,我们要知道QQ是怎样登录到腾迅的QQ服务器上的,只有了解了QQ的登录途径我们才能轻松的阻止。经过大量的登录实验我得出QQ登录的几个最主要的方式是通过UDP的8000、8001端口,TCP的80和443端口以及使用Web代理。这样我们就可以进行阻止实验了。
一:创建访问规则并检测网络
首先我们在ISA服务器上做一条宽松的访问规则让内网能够访问外网,我们在内网客户机Florence上登录QQ。如下图所示:
ISA管理工具中防火墙—新建—访问规则

在出现的访问规则向导中访问规则名称中写入“允许任何访问”

选择“允许”

在协议向导中点击规则的下拉键选择“所有出站通讯”

在访问规则源向导中,添加“内部”和“本地主机”

访问规则目标向导中,添加“任何地点”



完成后,点击“应用”—“确定”这时访问规则做好。

我们在Florence上登录QQ,如下图所示:


QQ成功登录,网络正常,
二:创建阻止UDP:8000和8001端口和TCP:80和443端口的拒绝访问规则
UDP:8000和8001有9个服务器分别是sz.tencent.com sz2.tencent.com sz3.tencent.com sz4.tencent.com sz5.tencent.com sz6.tencent.com sz7.tencent.com sz8.tencent.com       sz9.tencent.com每个服务器的ip都很多,可通过命令nslookup查看。如下图:

TCP:80和443 有六个服务器分别是tcpconn.tencent.com tcpconn2.tencnet.com tcpconn3.tencnet.com tcpconn4.tencent.con tcpconn5.tencnet.com tcpconn6.tencent.com

1 我们在ISA上新建一个阻止UDP:8000和8001端口的协议,如下图所示:新建—协议

在出现的向导中填写“拒绝UDP”




我们选择“不使用辅助连接”


2 封闭TCP的80和443 端口是不行的,因为用户访问外网资源绝大多数是访问服务器的80和443端口,所以我们     只能阻止用户访问QQ服务器了,用户通过TCP登录其实是连接tcpconn.tencent.com、tcpconn1.tencent.com、tcpconn2.tencent.com、 tcpconn3.tencent.com、 tcpconn4.tencent.com 、 tcpconn5.tencent.com 、tcpconn6.tencent.com这几个服务器。我们在ISA上使用nslookup命令查看服务器,我们依次输入服务器域名进行查看ip并记录.下面我们来创建计算机集和域名集来阻止用户访问腾迅的服务器。如下图:网络对象—新建­----计算机集

在出现的对话框中名称处填入“QQ服务器 ”点击“添加”----“计算机”

在名称处填写“server”计算机IP地址处填写QQ服务器的IP地址

如果某个网段IP很多,我们可以全部封掉,如下图:


计算机集建好后,我们在建一个域名集来保证更彻底。如下图:网络对象----新建----域名集

在出现的对话框名称处填写“腾讯”,点击“添加”进行添加域名。直到把所有的域名全部添加后“确定”

3创建拒绝规则
a 为UDP的8000和8001创建拒绝规则,如下图所示:








在ISA管理控制台中防火墙—新建—访问规则

访问名称填写“拒绝QQ”

操作规则为拒绝

应用于所有协议

源通讯为内部和本地主机

目的通讯为QQ服务器和腾讯

规则应用于所有用户



应用规则后,我们在登录QQ看能否成功,如下图:呵呵,登录失败了,能封掉,但是,这只是完成了一半啊,如果用户使用http代理的话就不行了。



三:我们通过签名的方式来禁止http代理,但是http代理服务器很多,如果我们还是通过拒绝访问计算机集的方式的话是不行的。如下图所示:

因此。我们采用另一种方法进行封杀—签名,如下图所示:

签名的方式很多通过下面抓包可看到QQ上网是通过CONNECT的方式去连接QQ服务器的,所以我们可以通过禁止CONNECT的方式来达到我们想要的目的

在配置http策略对话框中,方法标签中选择“阻止指定的方法”并添加“CONNECT”


就阻止这个还是不行的QQ还通过qq.com 连接到腾迅服务器上,如下图所示:

因此,我们要把革命进行到底,继续封锁,通过签名来再次杀。



我们再来登录QQ看看是否成功封杀

哈哈。成功封杀。
如果还有封不住的那就通过策略或在ISA上禁止用户使用USB、禁止下载、禁止用户访问一些网站中的特定内容
本文出自 “激情燃烧的岁月” 博客,请务必保留此出处http://zhanglijie888.blog.51cto.com/545423/146342
0人
isa server ISA SERVER ? ISA Server是什么? ISA Server是什么东东? 求 ISA SERVER 2004 SN 提供sms server,ISA server ,Exchange Server等技术支持 ISA SERVER 配置上网相关问题 ISA Server 2004 简体中文企业版注册码 ISA server 2000 那里有得下载 求isa server 2004的下载地址 ISA SERVER 2004高手进!!!急~~~~~~~~~~ microsoft firewall client for isa server 2004 isa server 2004服务器软件可以到那下载啊 isa server 2004服务器软件 到那可以下载 哪里有ISA Server 2004 英文 企业板 和标准版 isa server和一般防火强有什么区别? 谁知道Microsoft ISA Server 2004 简体中文正式版从那下? 2003、ISA server 与河南网通拨号程序兼容吗? 如何通过isa的防火墙策略封迅雷和电驴 在哪里有下ISA Server 2004的企业版的啊。 ISA Server 2004 是不是一定要装在域控制器上面的啊. 配置WIN2000+IIS+EXCHANGE+MSSQL+SERVER-U+负载均衡+ASP(PHP.CGI)+CHECK PIONT(ISA 有没有这样的协义来代替ISA server 2004的代理服务器而上网呀 安装了isa server 2004后,感觉上网速度变慢,请问什么原因