禁止使用P2P软件.ppt

ISA 2004 ——Microsoft? Internet Security and Acceleration (ISA) Server 2004 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 禁止使用P2P软件 现在P2P软件非常的流行，而且提供了多样化的登录方式。网络管理员想封锁它的时候，带来很多不便。 重点在于对P2P软件所使用的协议来进行分析。 解决问题最关键的是什么？ QQ 是一个很典型的例子，本身就支持UDP、HTTP和HTTPS这三种登录方式，而且可以使用HTTP 代理，这相当于只要你允许了HTTP 协议，那么QQ 就可以登录。过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁QQ 的。 ISA Server 2004 的深层HTTP 检查机制，可以实现对QQ的封锁。 经过分析，检测得出QQ 的登录过程是这样的： 在默认情况下，QQ 先向服务器群的8000 端口发送UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器； 如果没有服务器回复UDP数据包，则使用TCP 80/443 端口来进行连接。 因为QQ可以使用HTTP 直接连接，而一般是不能封锁HTTP 协议。所以，封锁QQ 的最好办法是封锁它的服务器IP。 但是QQ 还可以使用HTTP 代理登录，所以，应该在ISA Server 2004的HTTP检查机制中设置禁止QQ的HTTP连接。 禁止QQ： 1、封锁QQ服务器群的IP地址。 2、封锁QQ 的HTTP 代理。 思考，有什么要注意的？？？ 禁止QQ： 1、封锁QQ服务器群的IP地址。 （注意tencent会新增服务器，那么可以不允许使用UDP协议，达到效果。若公司需要使用UDP协议，那么你需要关注QQ的新服务器IP地址。） GOOGLE，BAIDU，for:“QQ服务器地址” QQ服务器群IP可在此页面得到。 QQ 服务器分为三类： 1）、UDP 8000 端口类18 个：速度最快，服务器最多；QQ 上线会向这些服务器发送UDP 数据包，选择回复速度最快的一个作为连接服务器； 45，46，56，50，51，54，52，53，03，66，21，5， 35 ，00，24，64，63，16，09 2、TCP HTTP 连接服务器5 个，使用HTTP 80 和443 端口连接； 3，53，71，21 ，27 3、会员VIP登陆服务器，使用HTTP 443 安全连接； 2 QQ服务器群IP地址如下： 禁止QQ： 1、封锁QQ服务器群的IP地址。 拒绝：所有协议，从内部到QQ服务器群。 禁止QQ： 2、封锁QQ 的HTTP 代理。 在设置QQ使用ISA Server 2004的HTTP 代理服务后，成功登录。 禁止QQ： 2、封锁QQ 的HTTP 代理。 1）在允许QQ使用HTTP代理的点击右键（QQ从哪条规则出去的，就在哪条策略上做），选择.配置HTTP.； 禁止QQ： 2、封锁QQ 的HTTP 代理。 2）在弹出的.为规则配置HTTP策略.对话框中，点击.签名.页，然后点击.添加.； 在弹出的.签名.对话框中，输入名称为.QQ.，指定签名有哪些信誉好的足球投注网站条件为在.请求URL. 中有哪些信誉好的足球投注网站..，如果找到则阻止这个连接。 禁止QQ： 2、封锁QQ 的HTTP 代理。 最后在防火墙策略页点击. 应 用 .以保存修改和更新防火墙策略。 讨论： 在ISA Server 2004中禁止QQ需要注意什么？ 在ISA Server 2004中禁止QQ需要注意什么？ 1、QQ如何运行？ 2、关于封锁QQ 的HTTP 代理。 只有QQ 通过HTTP代理服务器登录的时候，才会在HTTP连接请求中包含.请求URL.，如果是QQ 直接通过HTTP协议连接服务器，那么是不会包含这个字段的。 HTTP深层过滤机制只能针对QQ 使用HTTP代理登录时使用，因此必须结合封锁QQ 服务器群一起使用。 回顾 禁止QQ： 1、封锁QQ服务器群的IP地址。 2、封锁QQ 的HTTP 代理。 讨论：禁止MSN，YAHOO通，网易POPO，淘宝旺旺，…… 个人认为这样做，是不是有点过了。