企業爲了管理方便,經常要限制一下企業內員工在上班時間娛樂,這樣就免不了我們這羣網管做一些工作。
前幾天,我們嶽老闆在工作期間視察發現員工上qq聊天,大發雷霆,把我叫道辦公室說道“小張啊,最近公司內員工總是在上班時間上網聊天,這個問題很嚴重,我很生氣。你看能不能解決一下?”
我笑道“可以,要是不上網的話就簡單了,在機房把網線斷了就OK了。”
嶽老搖頭到“絕對不行,我還要玩聯衆呢。”
“那……不好辦啊……”
“那也不行,你回去想想辦法,給你三天時間,把這個問題解決了,不能讓員工上qq,但是我還要玩聯衆。回去吧!”嶽老似乎有點生氣。
嘿嘿,其實這個問題可以解決,不過是麻煩點。我們的企業用的是ISA防火牆,雖然版本老了點,是04,但是封個qq還是可以的,ISA當初不就極力的鼓吹他的應用層過濾功能麼?
嘿嘿,幹說不練假把式。我們這就開始。
首先,這是我們嶽老公司的模擬環境,florence是ISA,perth就代表我們的內網
網卡正如圖中所示,內網是10.1.1.1網段,外網是192.168.0.1網段
然後這是我ISA的防火牆策略,很簡單,什麼都不限制,大家隨便上網。
然後在perth上面登陸我的qq
正常,正常的不能再正常了
其實我們可以在qq設置裏面可以看到,qq的登陸方式就是UDP和TCP,正常情況下,是先從UDP8000端口找到qq的服務器,然後找一個最快的服務器登陸。簡單,別客氣,8000端口就封了,不要了
新建一個協議
協議名稱
新建一個8000的端口
類型udp,端口就是8000,方向發送
好了,下一步,不使用輔助連接
完成。
先建立好協議,等會我們連TCP的服務器都封了再說
TCP的怎麼封呢?我們用個命令來實現,首先我們可以看到,TCP有很多服務器,我們在nslookup下面用這些服務器查看所有的騰訊TCP鏈接
上圖,發現有tcpconn.tencent.com的鏈接,一直到tcpconn4.tencent.com,
然後cmd
nslookup
查看鏈接tcpconn.tencent.com
呵呵!發現很多IP吧?先記錄,然後記錄!待全部ip查看完畢後,就可以封了所有IP了
用cv大法,記錄所有ip,然後就可以開始封了,有個朋友很小心,一個ip一個ip的封,我就不管,整個ip段都封,嘿嘿,有點狠……
在ISA中新建地址範圍
然後按照下面的方式新建地址範圍,注意,務必把所有ip都封在範圍內
好了,所有都寫好了!
然後就開始封了,新建防火牆策略,新建規則
新建一個封UDP8000端口規則
名稱
規則爲拒絕
協議爲所選的協議,就選我們剛纔新建的協議
下一步
此規則用於內部協議,也要用於本機,當然,在單位我是絕對不會這樣的,我自己也要上qq不是?
目標到外部
給所有用戶使用
完成,這樣就不能用UDP訪問了
然後再新建規則,把TCP服務器剛纔新建的規則也封掉!嘿嘿
好了!兩個規則都建立好了,應用一下,這樣就沒有問題了!所有的qq都不能上了,但是嶽老玩聯衆還是沒有問題的!o(∩_∩)o...哈哈
但是上網沒有問題!
當我把這個環境做好之後,嶽老很高興,說道“小張啊,不錯,有前途。好好幹。”
但是!這樣就行了麼?不能完全封qq,用代理就沒有問題了!
公司小王平時和我關係不錯,平時喜歡網上聊qq泡mm,可是我封了qq以後,小王很是鬱悶。
這天,小王下班專門請我吃飯,我早就知道無事不找我!原來就是qq的事,他想上qq,但是上面有命令啊!大家都不上,這個……
無奈吃人嘴軟嘛!我偷偷告訴小王用http的方法,然後囑咐說不許說我說的,小王一聽還能上網,又給我買了幾包煙,嘿嘿!賺了。
簡單,網上找個代理,這就上去了。
這不是上去了麼?還是在臨汾!嘿嘿
上是上去了,可是,我想到一個問題,代理能封麼?
幾經查詢,嘿嘿!可以!
qq登陸的時候要抓個包!分析一下,看到現在的qq是用IP做的關鍵字,再加上qq.com和tencent.com
新配置一個HTTP策略然後添加到簽名裏面就好了這樣就上不去了!嘿嘿
不能上了吧?哈哈!
不過!用socks5代理這個辦法就沒用了!看來ISA還得考慮考慮這個問題啊。