ISA禁止QQ.doc

对企业网管来说，工作时间内禁止员工使用QQ聊天工具做一些与工作无关的事情，是一件常规工作。不过禁止QQ的方法有多种，有的人在ISA访问规则中直接将QQ的服务器/*或者/*给禁用，这样一来公司员工是不能聊QQ了，但是连访问QQ网站都不行了,做的也太绝了点。还有的人想通过协议来实现对QQ的禁用，那就更加麻烦了 其实禁用QQ是有更好的方法的，为了找到更好的方法，我们先对QQ的工作原理做个分析。 1.????? QQ的登录方式 QQ 可以支持 UDP、HTTP 和 HTTPS 这三种登录方式，而且可以使用 HTTP 代理，这相当于只要你允许了 HTTP 协议，那么 QQ 就可以登录。 在默认情况下，QQ 先向服务器群的 8000 端口发送 UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复UDP数据包，则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直接连接，而一般是不能封锁 HTTP 协议的，所以，封锁 QQ 的最好办法是封锁它的服务器 IP，但是 QQ 还可以使用 HTTP 代理登录，所以，还得在 ISA Server 2004 的 HTTP 检查机制中设置禁止QQ 的 HTTP 连接。 UDP工作速度最快，服务器最多；QQ 上线会向这些服务器发送 UDP 数据包，选择回复速度最快的一个作为连接服务器。UDP 8000 端口类 18 个，他们分别是： 45 46 56 50 51 54 52 53 03 66 21 5 00 24 64 63 16 09 2)????? TCP HTTP连接服务器（列举5个），使用HTTP 80和443端口连接。 3 53 27 71 21 3)????? 会员VIP登陆服务器，使用HTTP 443安全连接()。 例如：2 2.????? 禁用QQ的思想 首先需要建立Internet访问规则选择为http和DNS协议，让当前的企业用户能够成功的访问公网，并能成功的使用QQ软件，然后再通过ISA 2004的深层检测功能实现对QQ的过滤。 过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁 QQ 的，但是利用 ISA Server 2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。 3.????? 具体操作 创建支持http协议和DNS协议的访问规则在此就不再详细叙述，在后续的文章中将会推出，请关注本blog谢谢大家 在创建好Internet访问规则的基础上，右击该规则选择“http配置”然后选择“签名”选项卡如下图，添加一条签名规则，并将其签名写为“” 注意：QQ的签名一般使用的是。如果该签名无效，则需要利用数据分析工具抓紧QQ数据包分析具体的签名。 最后点击“确定”关闭窗口，并且不要忘记“应用”该策略。然后在内部网络中访问QQ的WEB仍然可以继续访问，但是想登录QQ就不行了，并且使用代理也无法登录QQ。 使用ISA Server 2004禁止P2P软件现在P2P软件非常的流行，而且提供了多样化的登录方式，这给我们做网管的想封锁它的时候，带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下，利用ISA Server 2004的增强的HTTP协议检查功能，来完全的禁止它们。 既然要封锁它们，首先要对QQ和MSN使用的协议来进行分析，知己知彼，才能在封锁与反封锁的较量中获胜。 首先介绍MSN。MSN使用TCP 1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录，但是在使用HTTP代理的情况下，MSN可以很轻松的突破1863端口的限制。 再说说QQ。QQ的登录过程是这样的，在默认情况下，QQ先向服务 器群的8000端口发送UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复，则使用TCP 80/443端口来进行连接。因为他可以使用HTTP直接连接，而一般是不能封锁HTTP协议的，所以，封锁QQ的最好办法是封锁它的服务器IP。但是如 果使用HTTP代理登录，那么还是可以上QQ的。 QQ的服务器的地址如下， 最后更新于2004年6月1日。不过tencent随时可能增加服务器，但是应对政策很简单，如果能上QQ，你在QQ的系统属性里面看看当前登录服务器的IP，然后添加进来就是了。 QQ服务器分为三类： 1、UDP 8000端口类18个：速度最快，服务器最多。 QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。 45 46 56 50 51 54 52 53 03 66 21 5 00 24 64 63 16