我們使用ISA Server 2006可以使用訪問規則限制內網用戶訪問外網網站,我們今天就是用ISA來限制用戶登錄QQ。在很多公司裏在工作時間是不允許使用QQ登錄(工作時間不允許閒聊啦!!)今天我們就拿QQ來試一試怎麼限制即時通訊軟件。
實驗環境如下圖所示,China是內網工作站,Beijing是ISA服務器
QQ登錄的方法有好多種
1 正常登陸
2 使用協議
3 使用代理服務器
1 封鎖QQ的正常登陸
我們在ISA服務器上創建一個訪問規則“允許任何訪問”如下圖所示
我們在工作站China上登錄QQ,登錄正常,如下圖所示
接下來我們就來封鎖QQ的登錄,QQ是同過UDP協議,8000端口訪問外網的。我們新建一條協議叫“封鎖QQ”,如下圖所示
新建協議連接,如下圖所示
不使用輔助連接
完成嚮導,如下圖所示
2 封鎖協議
TCP協議類型中有四個QQ服務器地址,如下圖所示
我使用nslookup來查看這四服務器的地址,如下圖所示
輸入tcpconn2.tencent.com 如下圖所示
輸入tcpconn3.tencent.com 如下圖所示
輸入tcpconn4.tencent.com 如下圖所示
騰訊果然很牛X,那麼多服務器,怎麼封鎖呢,ISA是有辦法的!我們可以把整個網段都封掉,哈哈~~~
我們在ISA防火牆策略—網絡對象—右擊地址範圍,添加地址段如下圖所示
QQ1
QQ2
QQ3
QQ4
接下來我們創建一條訪問規則叫“拒絕QQ登錄”如下圖所示
符合此訪問規則的一定要拒絕,這樣才能拒絕登錄,如下圖所示
添加協議,我們添加我們剛纔創建的“封鎖QQ”如下圖所示
添加訪問源,如下圖所示
添加訪問規則目標,如下圖所示
添加此規則應用的用戶,如下圖所示
完成訪問規則,如下圖所示
現在我們把UDP封掉了,接下來我們一定要把TCP也封掉,我們再創建一條訪問規則來封鎖TCP,如下圖所示
拒絕符合規則的操作,如下圖所示
此規則應用於“所有出站通訊”如下圖所示
添加訪問規則源,如下圖所示
添加訪問規則目標,我們添加剛纔創建的地址範圍,如下圖所示
添加此規則應用的用戶,如下圖所示
訪問規則創建完畢,如下圖所示
UDP和TCP訪問規則創建完畢,我們現在應用防火牆策略
我們用工作站China測試一下,登錄QQ試一試吧,結果登錄失敗,哈哈啊~~~成功了,如下圖所示
QQ登錄不成功,但是訪問外網的網頁時可以的!!!如下圖所示
3 封鎖代理服務器
我們雖然封掉了QQ,但是如果有人使用代理服務器,ISA防火牆策略就會放過數據,因爲訪問的目標地址是一個代理服務器地址而不是我們設置的地址範圍,所以ISA就會放過數據,讓QQ登錄了!!對付這種使用代理服務器的人,我們就要把事情做的絕點,封鎖代理服務器,我們在HTTP策略裏,爲QQ添加一個簽名,這樣使用代理服務器也是沒用的,ISA會認得數據裏帶有QQ簽名的數據就會直接封鎖掉!!嗚哈哈~~QQ你無處逃了!!!
首先我們先找一個代理服務器試一試能否登錄QQ
QQ登錄成功~~~~如下圖所示
接下來我們使用簽名來阻止QQ使用代理服務器登錄,在訪問規則裏選擇“協議選項卡”單擊“篩選”選擇HTTP策略裏“簽名”選項卡,單擊添加,如下圖所示
填寫簽名信息,如下圖所示
應用規則後,我們再次使用代理服務器登錄QQ,結果登錄失敗,如下圖所示
限制QQ訪問就完成了!!!!