博文
网管故事七:单位禁止QQ游戏、限制在线游戏记(2009-10-28 15:50:00)
摘要:小赵是一家文化传播公司的网管,工作职责就是维护单位内部局域网的电脑,平时维修电脑、安装应用软件等工作对小赵来说都是驾轻就熟的事情,而对一般的网络问题小赵接触的也比较多了,所以平时没有什么较为复杂的工作。可是,最近小赵接到有关领导的指示,要求小赵在一个星期之内将公司内部电脑上班时间玩的各种网络游戏完全屏蔽掉,领导还专门提到了QQ游戏、联众游戏、开心网游戏、中国游戏中心、上海热线游戏等等。原来,由于公司今年的业务不是很多,大概受到经济不景气影响了吧,公司大部分职员的工作量都很少了,所以清闲的时间就多了,因此上班时间玩网络游戏的人也越来越多了。而且公司内部一个同事在上班时间玩网络游戏被领导发现了,被叫到领导的办公室狠狠一顿臭骂。小赵的工作位因为离领导的办公室近,都听到了。
想来也是,公司业务今年不景气,所以更需要公司同仁的共同努力、共度时艰,大家更应该努力工作。所以,小赵还是能够理解领导的心情的。说干就干,小赵开始想办法封堵网络游戏了。
小赵依据自己的网络管理经验,感觉如果想真正屏蔽网络游戏,必须知道这些网络游戏的端口、网络游戏服务器IP地址,然后借助于公司的防火墙就可以实现了。所以,小赵尝试从网络上搜索了一些网络游戏的端口:
TCP 3300 联众游戏-国际象棋
TCP 3400 联众游戏-四国军棋
TCP 4000~4010 联众游戏-GICQ
TCP 8000 上海热线游戏
TCP 8003 上海热线游戏
TCP 8012 上海热线游戏
TCP 8013 上海热线游戏
TCP 8014 上海热线游戏
TCP 8015 上海热线游戏
TCP 8016 上海热线游戏
TCP 8017 上海热线游戏
TCP 8026 上海热线游戏
9、中国游戏在线:8000--8100
TCP 8000 中国游戏中心-大厅
TCP 8001 中国游戏中心-台球
TCP 8004 中国游戏中心-麻将
TCP 8011 中国游戏中心-围棋
TCP 8012 中国游戏中心-军棋
TCP 8018 中国游戏中心-大怪路子
TCP 8032 中国游戏中心-炒地皮
10、万王之王:1234--1238,4002,4999,5002,9002
11、游戏茶苑
双扣端口号:4202
12、TCP 7000~720......
网管故事六:单位禁止大智慧、同花顺股票软件记(2009-10-28 15:48:00)
摘要:小陈是一家大型门户型网站的网管人员,平时的主要工作就是维护公司的电脑稳定和网络畅通。由于小陈平时工作比较勤勉,同时也有将近两年的工作经验,加之,由于小陈公司的职员都是懂一些计算机知识的,所以在小小陈的工作一般较为简单,相对来说也比较轻松。
可是最近一段时间,小陈发现办公室里的同事又开始热衷于讨论股市行情了。这是自上次股市崩盘之后人们又开始表现对股市的热情了。小陈自身不懂炒股,同时自己对炒股也没有兴趣,对大家的讨论,小陈也没有听懂多少,只是隐约听到现在股市又出现“小阳春”了,大家似乎更加关注股市的涨跌了。股市涨是好事,说明经济正在恢复,大家很长时间只发70%工资的日子总算快要结束了吧,小陈心想。
不过,这几天一件事情让小陈对股市有了不同的看法,甚至开始讨厌股市了,这是为什么呢?原来,小陈的领导——也就是总经理的助理,最近传达了领导的一个指令,要小陈在一个星期的时间内封堵所有的股票软件!原来,随着股市的“小阳春”,很多同事上班时间登录股票网站、使用股票软件炒股的频率越来越多了。公司的门户网站信息更新速度变慢了,并且质量也降低了,这直接影响到了网站的流量,流量的下降又自然影响到客户在网站的广告投入,相应地公司的收入就少了,这自然让领导很不高兴!所以才给小陈下达了这道“禁股令”。
小陈不敢怠慢,马上寻找封堵股票的方法。依据小陈以往的经验,通过在防火墙、路由器、交换机上屏蔽股票软件网址、禁止股票软件服务器IP地址和封堵股票软件端口就应该可以限制股票软件和股票网站的浏览和使用了。所以小陈就着手开始工作了。小陈先是通过网络搜索到一些股票软件,如同花顺、大智慧等老牌股票软件的端口,尝试在公司的防火墙上做了屏蔽,然后用自己的电脑测试登录股票软件,发现真不能登录了,小陈心里想股票软件的封堵其实很简单嘛!小陈随后在防火墙上又加上了广发至强版、龙卷风行情分析软件、钱龙旗舰、国元证券软件、分析家、麒麟短信王、光大证券超强版、证券之星、国信证券、申银万国等股票软件。但是,还有一款很有名的股票软件——招商证券全能版。小陈从网上搜到的端口都封堵了,但是测试招商证券还能够登录,同时,公司内部用招商证券的人还真不少,所以小陈不得不想其他的办法来限制招商证券全能版了。小陈通过防火墙拦截日志,发现了招商证券登录的IP地址众多,同时,还通过80端口进行登录。同时,小陈还发现之前通过网络搜索到的一些股票......
网管故事五:单位内部局域网屏蔽P2P软件、封堵在线视频记(2009-10-28 15:28:00)
摘要:小张是一家文化传播公司的网管,平日里的工作主要是维护公司内部服务器、网络的稳定运行。小张从事网管工作已经三年了,积累了一定的工作经验,一般的网络问题都可以较为轻松的应付,同时,由于平时指定了不少网络管理方面的制度和举措,所以公司的网络一直以来都比较稳定。虽然小张的工作没有特别的表现之处,但是也颇受领导的器重和肯定。
可是近一段时间,公司的网络出现了一个不大不小的问题:网速时快时慢,严重的时候甚至会出现网络堵塞、连接中断的情形。这个问题渐渐引起了公司主管网络管理的领导的重视,指示小张注意网络问题。小张也意识到问题的严重性。难道是网络设备出现了故障、或者是局域网遭遇了某种网络病毒,小张暗自寻思道。仔细检查了网络设备的运行情况,却并没有发现问题,小张随后又运用最新版的杀毒软件在局域网个别运行最慢的电脑上进行了全面查杀,查杀的结果也只是发现了一些较小的病毒,不足以拖垮整个网络速度啊。小张一时之间陷入了深思:网络速度究竟慢在何方?
小张突然想到,是不是有人在上班时间使用P2P软件进行下载或者观看在线视频呢?小张决定做一次明察暗访。之后几天里,小张佯装给局域网某些人员的电脑升级杀毒软件,安装补丁为名,考察了公司几个重点对象的上网行为。不经意间,发现了几个人员的电脑大都安装迅雷、网际快车或者QQ 旋风等P2P软件,还有一些在线视频、网络电视软件,如UUSEE、PPstream、pplive、QQlive、PPfilm等等,同时还发现一些个人人员的电脑上的收藏夹里面存储了大量的在线视频网址,如六间房、土豆网、优酷、酷6等等。小张意识到了可能是这些P2P软件和在线视频抢占了公司的带宽资源。小张决定要从根源加以治理,就必须完全屏蔽这些软件在局域网内的使用,屏蔽在线视频网址的浏览。
说做就做。小张根据之前的经验,可以通过防火墙禁用这些软件的端口和服务器的IP地址就可以实现对这些P2P软件的封堵了,对那些在线视频网址,同样可以通过防火墙或者路由器就可以完全屏蔽。小张决定亲自动手验证一下。要想知道这些P2P软件的端口和服务器IP地址需要借助抓包工具,抓取这些软件的传输数据包,从中加以分析。小张赶紧从网上下载了业内较为知名的Sniffer嗅探软件,设置好环境之后就开始嗅探了。先拿迅雷来开刀,本......
网管故事四:单位内部局域网剿杀ARP攻击和ARP欺骗记(2009-10-28 15:26:00)
摘要:小刘是一家出口贸易公司的网管,平日里主要负责公司的内部网络维护,并最兼做一些电脑修理的工作。不过,由于小刘大学时代并不是学的计算机专业,所以相关的计算机知识不是很多。本来小刘是做行政工作的,但是由于公司没有专门的网络管理工作,小刘就被经理安排负责起了公司的网络管理工作。
如果只是单纯地帮助单位内部的人员重装操作系统、更换电脑硬件、安装一些应用软件工作,相对还是较为简单的,所以刚一开始,小刘对自己新的工作内容还是比较满意。相对于之前繁杂的行政工作,网络管理工作内容就相对简单了,同时,小刘也可以借机学习一些网络管理方面的知识。
可是,天有不测风云。最近一段时间,小刘座位上的固定电话响的次数明显多了,并且向小刘求救的问题也越越来越相同:网络掉线。这种问题很严重了,导致大家的工作受阻了,对公司影响不小。领导甚至也开始过问小刘,并责令小刘在尽可能段的时间找出根源,并杜绝此类问题的再次发生。
小刘不敢怠慢,马上着手解决问题。先是将公司的线路、交换机的状况,发现链路连接没有问题;借助于公司的硬件监控系统,发现交换机、路由器、防火墙的运行状况也十分正常,排除了物理设备上的问题,小刘突然想到了当前流行的ARP攻击和ARP欺骗。小刘缺乏相关的知识,就赶忙从网上找相关资料了。经过查阅相关资料,小刘了解到:ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。一般来说,ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。
看到这里,小刘吓出了一身冷汗。赶紧接着在网上找相关的解决方案。小刘做了一下归纳,有效抵御ARP攻击,防止ARP欺骗的方法主要有以下两种:一、基于DOS命令的方式,小刘了解到,如果局域网只是偶尔才遭遇ARP病毒攻击,那么只需要点击:开始——运行——......
重庆打黑引发的网络管理、网络监控的思考(2009-10-28 15:23:00)
摘要:重庆打黑从6月开始,目前已控制黑恶团伙嫌犯1544名,重创14个团伙。涉黑系列案已开审,黑头目杨天庆,李义,谢才萍近日相继受审……
与此同时,网络反黑也已经成为当前企事业单位网络管理中的重要难题。“网络黑社会”不仅包括传统的黑客等专门传播恶意病毒、利用计算机、网络漏洞攻击别人,并获取利益的人;也包括当前越来越流行的与网络正常业务相悖的上网行为,如局域网内的P2P下载、聊天、炒股软件和网络游戏等,特别是当前流行的ARP攻击、蠕虫病毒、冲击波病毒等等。这些网络行为不仅会大肆侵占企业的网络带宽资源,造成局域网电脑上网速度慢、网络堵车现象;而且这种行为也会占用员工大量的工作时间,降低工作效率;同时,这些不合理的上网行为,容易在局域网内部传播病毒、容易感染企业关键的文件资源、商业机密等等,从而给企业带来大量的损害。所以网络反黑已经破在眉睫。
正如与重庆打黑首先扫除黑恶势力的带头人、黑老大方式一样。在网络反黑的过程中,我们必须抓住影响网络稳定、安全、畅通的根源。通过在企事业单位的网络管理实践我们可以得知,当前对企事业单位局域网危害最为严重的上网行为就是P2P下载、炒股软件和网络游戏软件、在线视频等等,所以,网络反黑必须要能够有效治理这些应用软件。
当前,随着这些P2P软件的技术发展,越来越多的P2P软件,如迅雷、网际快车、QQ旋风(超级旋风)、电驴、BT等等,纷纷采用基于可变端口、以服务器集群的方式进行传输,同时在传输过程中也进行了加密,从而使得传统的网络设备,如防火墙、路由器和交换机等等已经不能有效管控这些P2P软件了;而对于炒股软件和网络游戏软件虽然封堵较之于P2P软件要简单很多,但是基于服务器集群的登录方式以及经常使用80端口进行传输,也使得通过防火墙等网络设备限制股票软件、禁止网络游戏软件变得较为吃力,同时对网络管理人员的技术要求较高,工作量也较大。
有鉴于此,大势至(北京)软件工程有限公司(官方网站:http://www.grabsun.com)了新一代的聚生网管系统2009版本。聚生网管针对当前流行的P2P软件,首创了对P2P软件的主动防御功能、P2P网站智能屏蔽、P2P软件协议封堵、P2P软件端口控制、P2P服务器智能拦截、P2P软件惩罚控制等高达六层过滤机制,从而实现了对P2P软件的完全封堵。目前聚生网管系统可以有效拦截迅雷、屏蔽超级旋风、禁止网际快车的......
能够限制上网带宽、控制上网流量的网管软件!(2009-10-28 15:16:00)
摘要:当前国内上网行为管理软件众多,功能各有千秋。从架构上来说,分为B/S架构和C/S架构;有基于纯软件架构的,也有基于硬件嵌入式的上网行为管理系统。面对如此多的上网行为管理软件,企事业单位的网管人员如何从中选择能够真正满足本单位需要的上网行为管理系统呢?
目前在国内的一些企事业单位的网管人员的意识中,普遍认为网管功能越多、架构越复杂、价格越高,就代表软件的综合性能高,就受到网管人员的关注和重视。国内的上网行为管理软件厂家也抓住了这些网管人员的意识而采取了针对性的营销和宣传。上述两方面的市场状态导致了国内某些企事业单位在选择上网行为管理软件的时候常常好大喜功、贪大求全,在采购网管软件的往往一掷千金,投资巨大,但是,到最后却常常发现无法实现具体的某一方面的功能,从而既达不到上网管理的目的,又造成投资的浪费,不利于企事业单位降低成本。
那么如何选购真正能够满足企事业单位需要的上网行为管理软件呢?这就要求我们首先需要得知企事业单位具体的上网管理需求。
如果我们对国内各个行业的上网行为管理进行调查,我们就会得知:企事业单位往往只需要管理局域网电脑上网的某些方面,只需要网管软件、上网行为管理软件的某些功能,比如能够限制局域网电脑的上网流量、限制主机带宽、限制局域网P2P下载、禁止聊天软件等等;而其他很多功能一般用得很少;这样,一方面造成投资浪费,另一方面,我们常常发现,无所不包、无所不能的大型上网行为管理系统常常在某些具体的方面做得不是很精、不够专业。比如,国内某些上网行为管理系统宣称软件可以封堵P2P软件,但是往往只能封堵P2P软件里面一两种,而不是全部封堵,这样无法实现在局域网内部封堵P2P软件的目的;同时,一些网络管理系统、上网监控系统对P2P软件的封堵,往往是通过屏蔽BT网址、关闭P2P软件端口的方式来实现的。这种较为初级的限制P2P软件的方法已经无法应对最新的P2P软件,如禁止迅雷下载、屏蔽QQ旋风、拦截网际快车下载等等,而这些P2P软件是更具代表性、应用更广的P2P软件。
此外,企事业单位往往需要对局域网电脑的上网聊天,诸如QQ聊天、MSN聊天等聊天软件进行控制。当前一些网管软件宣称可以封堵QQ聊天、禁止MSN聊天软件的运行。但是这种封堵方式,常常是通过过滤聊天软件的登录服务器IP地址、屏蔽聊天软件端口等方式。这种方式虽然也可能在一定程度上阻止聊天软件的运行,但......
聚生网管系统家用版有效监控孩子的上网行为(2009-10-15 16:26:00)
摘要:"聚生网管家用版“(官方网站:http://www.grabsun.com)是一款为家长管理未成年人上网而量身定做的网络管理软件。保护您的孩子免受网络不良信息侵扰的同时,家长还可以根据孩子的自身特点设置相应的上网规则,以便让孩子安全、合理的使用互联网资源。 使用聚生网管软件,可以有效的安排孩子的上网时间;设置不允许孩子访问的网站类别;合理控制孩子使用聊天工具和一些流行的网络游戏,能有效的预防孩子沉迷于网络游戏和网络聊天。通过查看孩子的上网记录,家长可以及时全面的了解孩子的互联网使用情况。聚生网管的QQ聊天查看功能,无须密码可以全国了解孩子网上交友的对象及聊天内容。 我国青少年上网有以下几个特点:一是青少年上网人数很多,在我国2650万上网者中,25岁以下的青少年占了85%以上,并且正在以每年翻一番的惊人速度增长。二是互联网的应用和发展为青少年的成长带来了无限广阔的空间,网络已成为青少年学习知识、交流思想、休闲娱乐的重要平台。 但是,网络是一把双刃剑,对青少年的负面影响也不容低估。 我国青少年上网存在着五个比较突出的问题: 第一、 在网上浏览色情、暴力等不良信息,这种现象已十分普遍。 第二、 热衷于网上聊天,许多聊天室里的内容低级、庸俗。 第三、 沉溺于网络,不顾身体健康,无节制上网,通宵达旦。已严重影响了青少年的身心健康。 第四、 网上交友缺少自护意识,影响了正常的学习生活。 第五、 利用网络知识恣意妄为,缺乏社会责任感,破坏网络秩序。 时间管理 家长可以制定孩子使用电脑和上网的时间,防止因沉溺于电脑而影响学习,或持续上机造成身心疲劳,影响健康。 设定每日可上网时段,在非允许时段内,无密码不能上网. 设定上网累计时间,超过预设的累计时间,自动断开网络. 设定每日可上机时段,在非允许使用的时段内,无密码不能开机. 设定上机累计时间,超过预设的累计时间,电脑自动关机. 强制性休息,设定在使用电脑期间每隔30-120分钟休息5-15分钟,防止连续上机,造成疲劳 智能过滤 智能过滤包含色情、暴力、反动等不良网址过滤。限制使用搜索引擎对不良信息的相关内容进行搜索。防止通过网络下载游戏,或是色情电影等。 软件内置庞大的不良网址数据库和关键词库,一旦发现所访问的网站含色情、暴力、反动等不良成分即予以屏蔽。 您可以通过添加、删除按钮,添加自己认为不健康的网址及关键字,程序将拒绝......
有效监控网络游戏、股票软件和聊天软件的网管软件?(2009-09-27 15:37:00)
摘要:当前,国内企业逐步建立了自己的局域网,初步实现了企业信息化、电子政务等,随之衍生出了网络管理的一系列问题。上班时间员工上网聊天、炒股、玩网络游戏等行为是目前企事业单位普遍存在的网络管理问题。虽然企事业单位大都建立了相应的互联网管理制度和电脑使用规定,但是实际的操作过程中发现“上有政策、下有对策”,局域网用户总是想尽一切可能的方式来进行上述上网行为。这些不合理的上网行为不仅占用了公司的网络资源和电脑等硬件设备,而且还占用了员工大量的工作时间,相应地减少了工作付出,降低了工作效率,严重影响了企事业单位经济效益的提升。所以,有效管理局域网电脑的上网行为已经成为当前企事业单位网络管理员普遍面临的问题。
由于当前一些网络应用技术有了很大的提高,所以对网管工作也形成了巨大的挑战。比如当前的聊天软件QQ、Skype等等,采用集群服务器的登录方式,同时也可以利用电脑随机开放的任意一个端口登录,从而已经无法通过传统的基于防火墙、路由器或者交换机的封堵方式来禁止聊天软件的运行了;同时,现在的股票软件一般都有大量的服务器IP可以登录,并且这些服务器IP也在随时增加,所以通过屏蔽股票软件的登录服务器的方式已经无法有效禁止股票软件的运行了;而现在的网络游戏,也是有大量的服务器IP和可变端口登录方式,所以也无法有效封堵网络游戏了。
对于当前企事业单位的网络管理人员来说,要想有效管理局域网电脑的上网行为,除了本身需要有过硬的技术根底和工作经验之外,还需要一套行之有效的上网行为管理系统,才能最终实现对上网行为的完全监控。当前国内网络管理软件品牌众多,较为知名的有聚生网管、网路警、深服信等网络管理软件品牌;同时在架构上,有基于纯软件架构的Windwos平台、也有基于Linux平台的硬件监控系统。这两种架构的上网行为管理系统各有优劣,不过总体上来说功能都大致相同。同时,对局域网上网行为、网络应用的监控的实现原理也大致相当,都结合了目前较为知名的DPI(深度数据包检测技术)和DFI(深度流量监测技术),通过这两种技术的综合利用,可以有效监控当前流行的各种股票软件、监控聊天软件、监控网络游戏等软件的运行。
我们拿国内较为知名的聚生网管系统(官方网站:)来说:通过使用基于DPI的应用层签名的方式可以将各种聊天软件的应用层签名获取到,通过集成到聚生网管系统......
网管故事:单位局域网禁止QQ聊天的经历(2009-09-27 15:32:00)
摘要:小王是一家人才服务中心的网管,单位由于电脑数量较多,使用电脑的员工也大都不是很懂电脑,所以平时网络中总有各种各样的网络管理问题,同时单位也只有小王一个网管,所以平时工作量、工作压力可想而知。可是,最近单位分管人力资源的副主任,又给小王出了一个不大不小的难题,要求在上班时间单位内部局域网严禁使用除MSN之外的其他各种聊天软件!
这下可把小王难住了,做网管的谁不知道这些聊天软件不是那么容易被封掉的,比如QQ、Skype、网易泡泡、新浪uc、yahoo通、ICQ、阿里旺旺、校内通等等。何况公司现在只有路由器、交换机、较低级的防火墙,并没有了其他网络设备。没办法,小王知道目前有效封堵聊天软件的方法不外乎关闭聊天软件端口、屏蔽聊天软件服务IP的方式。可是,现在的聊天软件都变得智能了,以前只是通过几个端口登录,现在可以自动切换、搜索本地电脑开放的所有端口,甚至可以用80端口登录,所以通过封堵聊天软件端口的方式来限制聊天软件已经不再可行了。那就只能靠封堵聊天软件服务器IP地址的方式了,可是,现在聊天软件的服务器IP地址也是极为惊人,搜集起来十分困难。小王试着从网上搜索了一下QQ聊天软件的服务器的IP地址,出来将近100个!狂晕,这些IP地址要加到防火墙里面进行过滤本身就是一件繁杂的工作,何况QQ服务器IP地址也是不断更新的,其他聊天软件服务器IP地址没有找到;同时,Skype聊天软件本身根本没有固定的IP地址,他们是所有使用Skype的用户相互提供代理上网、P2P点对点的方式来实现登录的,同时Skype可以利用电脑自身开放的任何一个端口进行登录,从而封堵Skype聊天软件更是难上加难,之前就听说过Skype聊天软件号称“网管杀手”,今天小王算是深深体会到了!
为了能够得到这些聊天软件的服务器IP地址,小王试着在自己的电脑上安装了一款瑞星防火墙,通过瑞星防火墙里面设置屏蔽聊天软件的访问规则来禁止聊天软件的登录,这样在防火墙的日志里面就存储了这些聊天软件的登录IP地址。小王先拿QQ做了一个实验,经过1个小时的测试,小王大概获取了100多个QQ服务器的IP地址,比之前通过网络搜索到的服务器IP地址更全了一些。但是接下来的工作,小王又耗费了将近一个小时才将腾讯QQ服务器的IP地址加到防火墙里面,然后通过下面的电脑测试登录QQ,发现禁止QQ聊天生效了,Q......
利用微软的ISA实现对局域网上网行为管理的设置方法(2009-09-15 15:15:00)
摘要: ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且,通过本地而不是Internet为对象提供服务,其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼备。
ISA Server提供直观而强大的管理工具,包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具,ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。
本文将介绍如何使用ISA封堵QQ等聊天软件
说到封锁QQ,这的确让不少网络管理员头疼,因为QQ可以使用多种协议通信,如:UDP、TCP、HTTP、HTTPS,而且支持使用代理。只要允许HTTP协议就可以登录,而在网络中又不能禁用所有的协议,那怎么办呢?
要禁止QQ登录,我们先看一下QQ的登录过程。在默认情况下,QQ是使用UDP协议向服务器发送请求的,也可以使用HTTP代理进行通信。我们不能禁止HTTP协议,所以最好的办法是封锁服务器IP,然后利用ISA 2006对HTTP检查机制来禁止QQ使用代理登录。
1.封锁服务器IP地址
首先要找到QQ服务器的IP地址,QQ的服务器不止一个,大家可以到网上找一下,这里我暂时用下面这几个:61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通过HTTP代理连接的服务器的URL,可以去找一下,也可以自己抓包看一下。这里我们用tencent.com这个地址。和刚才一样要定义源集、目标集、策略。源集和禁止访问网络的定义一样,内网的全部计算机。在定义目标集时也定义成为计算机集,然后添加访问规则。但是鉴于目前腾讯QQ服务器IP地址众多,并且每隔一段时间都会增加新的IP地址,这样导致通过ISA禁止QQ聊天软件的方法将会面临着较大的挑战。
图9
2.禁止QQ使用HTTP代理登录
这里使用的是ISA Server的深层过滤机制,在“防火墙策略规则”中“无限制的Internet访问”上面点右键,选择“配置......