在上篇我们说到有些员工利用上班时间聊QQ,还给大家详细的介绍了一下ISA2006的部署,今天我们就简单的来实现一下利用ISA2006来封锁QQ上网。我们用beijing来做ISA服务器,beijing有两块网卡,内网的IP我们设为10.1.1.254,外网的IP设为192.168.0.100tianjin是内网的一台客户机,IP10.1.1.200.实验的大致拓扑图如下
利用ISA封锁QQ上网_上网
 
首先我在防火墙上不做任何限制,大家可以随便上网。
利用ISA封锁QQ上网_上班_02
 
下面在tianjin上登陆QQ。登陆时不使用任何代理
利用ISA封锁QQ上网_休闲_03
 
OK!没问题可以上QQ
利用ISA封锁QQ上网_职场_04
 
其实QQ的登陆方式有UDP协议、TCP协议。现在我们就是通过UDP8000端口登陆的,很简单,把UDP8000端口封掉,不让它使用UDP协议登陆。打开ISA服务管理器,选择右上角的新建协议
利用ISA封锁QQ上网_上班_05
 
为协议定义名称
利用ISA封锁QQ上网_上网_06
 
选择“新建”,协议类型选择“UDP”,方向“发送接收”,从“8000”端口到“8000”端口
利用ISA封锁QQ上网_休闲_07
 
不使用辅助连接
利用ISA封锁QQ上网_职场_08
 
很简单,点完成UDP协议创建完成
利用ISA封锁QQ上网_职场_09
 
UDP封锁完成后,下面来封锁TCPTCP怎么封锁呢?我们在登陆QQ的时候,下面TCP类型的登陆方式,我们选择“TCP类型”看看它有那些代理服务器呢?
利用ISA封锁QQ上网_上网_10
 
  原来有tcpconn.tencent.comtcpconn4.tencent.com这几种啊
利用ISA封锁QQ上网_上网_11
 
接下来在ISA服务器的开始---运行中输入“cmd
利用ISA封锁QQ上网_休闲_12
 
进入DOS后输入命令“nslookup”,回车后看见下面出现一个IP
利用ISA封锁QQ上网_职场_13
 
紧接着在输入tcpconn.tencent.com
利用ISA封锁QQ上网_上班_14
 
输入tcpconn.tencent.com命令后看见许多IP全是219.133开头的
利用ISA封锁QQ上网_上网_15
 
 
在接着输入tcpconn2.tencent.com,还是219.133开头的,
利用ISA封锁QQ上网_上网_16
 
tcpconn3.tencent.comtcpconn4.tencent.com中的IP是以58.60.开头的
利用ISA封锁QQ上网_职场_17
 
 
 
记住上面的以219.16828.60开头的IP,下一步就在ISA中对他们进行封锁了。我们选择新建“地址范围”
利用ISA封锁QQ上网_职场_18
 
219.133网段中的IP全封掉,我们把它添加到指定的IP范围
利用ISA封锁QQ上网_休闲_19
 
接下来把58.60网段上的IP全封掉,也把它添加到指定的IP范围
利用ISA封锁QQ上网_休闲_20
 
输入完成后,点确定退出。接下来就开始封了,我们在ISA防火墙策略中新建访问规则
利用ISA封锁QQ上网_职场_21
 
 
输入访问规则名称
利用ISA封锁QQ上网_休闲_22
 
选择“拒绝”
利用ISA封锁QQ上网_上班_23
 
选择所选的协议,把刚才新建的那个网络协议添加进去
利用ISA封锁QQ上网_上班_24
 
从“内部”和“本地主机”
利用ISA封锁QQ上网_上班_25
 
到“外部”
利用ISA封锁QQ上网_职场_26
 
选择所用用户
利用ISA封锁QQ上网_上网_27
 
完成访问规则的建立
利用ISA封锁QQ上网_上网_28
 
建完封锁QQ8000端口的访问规则后,接下来在建一条封锁TCP端口的协议,输入访问规则名称
利用ISA封锁QQ上网_休闲_29
利用ISA封锁QQ上网_上网_30
 
 
这步选择所有出站协议
利用ISA封锁QQ上网_休闲_31
 
从所有网络和本地主机
利用ISA封锁QQ上网_休闲_32
 
QQ\TCPQQ\TCP1.这是刚才添加的219.13358.60开头的IP
利用ISA封锁QQ上网_休闲_33
 
所有用户
利用ISA封锁QQ上网_职场_34
 
完成TCP协议的创建
利用ISA封锁QQ上网_职场_35
 
完成后我们应用一下
利用ISA封锁QQ上网_职场_36
 
应用完成后,再在客户机tianjin上试试QQ还能登上吗?QQ登不上了,看来我们的封锁QQ的协议生效了。再看看左下角的“疑难解决”看看是那出问题了。为什么QQ登不上呢?
利用ISA封锁QQ上网_上班_37
 
原来是端口检测失败了。呵呵
利用ISA封锁QQ上网_上网_38
 
现在还没有成功,现在科学太发达了,网络应用太广泛了,通过UDPTCP还不能彻底封锁QQ上网,他们还可以通过网上的代理服务器的IP上网。嗨!没事,道高一尺,魔高一丈。我们再把代理服务器的IP封了不就完了吗?我在网上随便一搜,就搜出来以下这么多代理服务器的IP,随便找个试了试还真能通过代理上网啊!
利用ISA封锁QQ上网_上班_39
 
OKQQ通过代理登上了
利用ISA封锁QQ上网_休闲_40
 
 代理服务器IP的封锁很麻烦的,既不能上它上QQ,又不能封http,因为封了HTTP那么就和断网一样,用户也不能上网上查资料。如果是这样的话,那么只有一个办法,把代理服务器的IP封了。下面是我在网上搜的代理服务器以及IP、端口号
北京市 百度公司 202.108.22.5 80 正常 328 http 2008-11-24 0:16:43
巴西 圣保罗 200.242.106.130 3128 正常 5342 http 2008-11-24 0:16:16
南非 196.20.7.74 553 优质 5734 http 2008-11-24 0:15:55
奥地利 193.46.236.141 3128 优质 1984 http 2008-11-24 0:15:18
日本 150.65.32.68 3127 正常 2265 http 2008-11-24 0:14:46
荷兰 130.161.40.153 3127 正常 8562 http 2008-11-24 0:14:35
德国 亚琛工业大学 137.226.138.154 3127 正常 1671 http 2008-11-24 0:14:35
美国 新墨西哥大学 129.24.211.25 3128 正常 1671 http 2008-11-24 0:14:21
美国 特拉华大学 128.4.36.12 3128 正常 2562 http 2008-11-24 0:14:14
美国 特拉华大学 128.4.36.12 3127 正常 1360 http 2008-11-24 0:14:12
美国 特拉华大学 128.4.36.11 3128 正常 1312 http 2008-11-24 0:14:11
英国 81.177.3.10 80 优质 4750 http 2008-11-24 0:12:14
英国 81.177.3.10 3128 优质 1983 http 2008-11-24 0:12:13
美国 72.55.191.6 3128 优质 2515 http 2008-11-24 0:11:55
美国 加洲 64.66.192.61 32080 优质 1358 http 2008-11-24 0:11:34
韩国 211.239.84.232 80 正常 3531 http 2008-11-24 0:09:42
韩国 211.239.84.197 80 正常 656 http 2008-11-24 0:09:17
巴西 圣保罗 200.226.137.10 8080 优质 8562 http 2008-11-24 0:08:39
韩国 211.239.84.195 80 正常 3405 http 2008-11-24 0:08:11
瑞士 192.42.43.22 3127 正常 4578 http 2008-11-24 0:08:05
美国/加拿大 206.117.37.5 3128 正常 1547 http 2008-11-24 0:07:23
塞浦路斯 194.42.17.123 3124 正常 1844 http 2008-11-24 0:07:17
英国 194.36.10.156 3128 正常 1797 http 2008-11-24 0:07:17
日本 大阪大学 133.1.16.172 3128 正常 1797 http 2008-11-24 0:06:56
加拿大 萨斯卡彻温大学 128.233.252.12 3124 正常 1375 http 2008-11-24 0:06:52
我们在ISA上新配置一个HTTP策略,然后把IP全添加进去,这样就使用代理不能上网了。
首先右击防火墙策略,选择“配置HTTP
利用ISA封锁QQ上网_休闲_41
 
切换到“签名”选项,把上面的IP一一添加进来吧!没事慢慢来,时间问题而已。呵呵
利用ISA封锁QQ上网_上班_42
 
添加完成后,在用HTTP代理试试
利用ISA封锁QQ上网_上网_43
 
嗨!看看登不上了吧!
利用ISA封锁QQ上网_上网_44
 
再试试看看能不能上网。哦 能上网,如下图上搜狐网没问题
利用ISA封锁QQ上网_上班_45