ISA2006轻松阻止QQ上网
  实验环境的拓扑如下图所示:ISA的两张适配器分别为:
内网;
IP        :10.1.1.254
子网掩码:255.255.255.0
外网:
IP:      192.168.11.254
子网掩码:255.255.255.0
网关:    192.168.11.1
 
 
我们要想阻止QQ上网,首先,我们要知道QQ是怎样登录到腾迅的QQ服务器上的,只有了解了QQ的登录途径我们才能轻松的阻止。经过大量的登录实验我得出QQ登录的几个最主要的方式是通过UDP80008001端口,TCP80443端口以及使用Web代理。这样我们就可以进行阻止实验了。
 一:创建访问规则并检测网络
  首先我们在ISA服务器上做一条宽松的访问规则让内网能够访问外网,我们在内网客户机Florence上登录QQ。如下图所示:
ISA管理工具中防火墙—新建—访问规则
 
在出现的访问规则向导中访问规则名称中写入“允许任何访问”
 
选择“允许”
在协议向导中点击规则的下拉键选择“所有出站通讯”
在访问规则源向导中,添加“内部”和“本地主机”
访问规则目标向导中,添加“任何地点”
 
 
完成后,点击“应用”—“确定”这时访问规则做好。
 
 
我们在Florence上登录QQ,如下图所示:
 
 
QQ成功登录,网络正常,
二:创建阻止UDP80008001端口和TCP80443端口的拒绝访问规则
 UDP800080019个服务器分别是sz.tencent.com sz2.tencent.com sz3.tencent.com sz4.tencent.com sz5.tencent.com sz6.tencent.com sz7.tencent.com sz8.tencent.com       sz9.tencent.com每个服务器的ip都很多,可通过命令nslookup查看。如下图:
 
TCP80443 有六个服务器分别是tcpconn.tencent.com tcpconn2.tencnet.com tcpconn3.tencnet.com tcpconn4.tencent.con tcpconn5.tencnet.com tcpconn6.tencent.com
 1 我们在ISA上新建一个阻止UDP80008001端口的协议,如下图所示:新建—协议
在出现的向导中填写“拒绝UDP
 
 
 
 
 
我们选择“不使用辅助连接”
 
 
2 封闭TCP80443 端口是不行的,因为用户访问外网资源绝大多数是访问服务器的80443端口,所以我们     只能阻止用户访问QQ服务器了,用户通过TCP登录其实是连接tcpconn.tencent.comtcpconn1.tencent.comtcpconn2.tencent.com tcpconn3.tencent.com tcpconn4.tencent.com tcpconn5.tencent.com tcpconn6.tencent.com这几个服务器。我们在ISA上使用nslookup命令查看服务器,我们依次输入服务器域名进行查看ip并记录.下面我们来创建计算机集和域名集来阻止用户访问腾迅的服务器。如下图:网络对象—新建­----计算机集
在出现的对话框中名称处填入“QQ服务器 ”点击“添加”----“计算机”
在名称处填写“server”计算机IP地址处填写QQ服务器的IP地址
如果某个网段IP很多,我们可以全部封掉,如下图:
 
计算机集建好后,我们在建一个域名集来保证更彻底。如下图:网络对象----新建----域名集
在出现的对话框名称处填写“腾讯”,点击“添加”进行添加域名。直到把所有的域名全部添加后“确定”
 3创建拒绝规则
  a UDP80008001创建拒绝规则,如下图所示:
 
 
 
 
 
 
 
 ISA管理控制台中防火墙—新建—访问规则
访问名称填写“拒绝QQ
操作规则为拒绝
应用于所有协议
源通讯为内部和本地主机
目的通讯为QQ服务器和腾讯
规则应用于所有用户
 
 
应用规则后,我们在登录QQ看能否成功,如下图:呵呵,登录失败了,能封掉,但是,这只是完成了一半啊,如果用户使用http代理的话就不行了。
 
 
 
三:我们通过签名的方式来禁止http代理,但是http代理服务器很多,如果我们还是通过拒绝访问计算机集的方式的话是不行的。如下图所示:
 
因此。我们采用另一种方法进行封杀—签名,如下图所示:
 
签名的方式很多通过下面抓包可看到QQ上网是通过CONNECT的方式去连接QQ服务器的,所以我们可以通过禁止CONNECT的方式来达到我们想要的目的
 
在配置http策略对话框中,方法标签中选择“阻止指定的方法”并添加“CONNECT
 
 
就阻止这个还是不行的QQ还通过qq.com 连接到腾迅服务器上,如下图所示:
 
因此,我们要把革命进行到底,继续封锁,通过签名来再次杀。
 
 
 
 
 
我们再来登录QQ看看是否成功封杀
 
哈哈。成功封杀。
如果还有封不住的那就通过策略或在ISA上禁止用户使用USB、禁止下载、禁止用户访问一些网站中的特定内容