作者:许本新
对企业网管来说,工作时间内禁止员工使用QQ聊天工具做一些与工作无关的事情,是一件常规工作。不过禁止QQ的方法有多种,有的人在ISA访问规则中直接将QQ的服务器[url]http://www.qq.com/[/url]*或者[url]http://tencent.com/[/url]*给禁用,这样一来公司员工是不能聊QQ了,但是连访问QQ网站都不行了,做的也太绝了点。还有的人想通过协议来实现对QQ的禁用,那就更加麻烦了
其实禁用QQ是有更好的方法的,为了找到更好的方法,我们先对QQ的工作原理做个分析。
1.      QQ的登录方式
QQ 可以支持 UDPHTTP HTTPS 这三种登录方式,而且可以使用 HTTP 代理,这相当于只要你允许了 HTTP 协议,那么 QQ 就可以登录。
在默认情况下,QQ 先向服务器群的 8000 端口发送 UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复UDP数据包,则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直接连接,而一般是不能封锁 HTTP 协议的,所以,封锁 QQ 的最好办法是封锁它的服务器 IP,但是 QQ 还可以使用 HTTP 代理登录,所以,还得在 ISA Server 2004 HTTP 检查机制中设置禁止QQ HTTP 连接。
1)      UDP 8000端口
UDP工作速度最快,服务器最多;QQ 上线会向这些服务器发送 UDP 数据包,选择回复速度最快的一个作为连接服务器。UDP 8000 端口类 18 个,他们分别是:
61.144.238.145   61.144.238.146   61.144.238.156   61.144.238.150   202.104.129.251   202.104.129.254   202.104.129.252   202.104.129.253   61.141.194.203   202.96.170.166   218.18.95.221   219.133.45.15   61.141.194.200   61.141.194.224   202.96.170.164   202.96.170.163   219.133.40.216        218.18.95.209
2)      TCP HTTP连接服务器(列举5个),使用HTTP 80443端口连接。
218.17.209.23   218.18.95.153   61.141.194.227   218.18.95.171   218.18.95.221
3)      会员VIP登陆服务器,使用HTTP 443安全连接()
例如:218.17.209.42
综上所述利用协议实现对QQ的禁用根本是行不通的。
2.      禁用QQ的思想
首先需要建立Internet访问规则选择为httpDNS协议,让当前的企业用户能够成功的访问公网,并能成功的使用QQ软件,然后再通过ISA 2004的深层检测功能实现对QQ的过滤。
过去的基于包过滤的防火墙(无论硬件还是软件防火墙)都是没有办法封锁 QQ 的,但是利用 ISA  Server  2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。
3.      具体操作
创建支持http协议和DNS协议的访问规则在此就不再详细叙述,在后续的文章中将会推出,请关注本blog谢谢大家
在创建好Internet访问规则的基础上,右击该规则选择“http配置”然后选择“签名”选项卡如下图,添加一条签名规则,并将其签名写为“tencent.com”
注意:QQ的签名一般使用的是tencent.com。如果该签名无效,则需要利用数据分析工具抓紧QQ数据包分析具体的签名。
最后点击“确定”关闭窗口,并且不要忘记“应用”该策略。然后在内部网络中访问QQ的WEB仍然可以继续访问,但是想登录QQ就不行了,并且使用代理也无法登录QQ。