今天我来写一个用ISA限制QQ的教程吧,在网上搜了一下,大多都是一些老文章,而且,大多是雷同的,总得有人写原创是吧,现在QQ都2010了,不知道以前的技术文档上的东西,能否对付现在的QQ。说起QQ现在几乎是每个老板都感到咬牙切齿的一个东西了,是个人都躲躲藏藏的玩几下,似乎不玩就真的会少一块肉一样。这个小企鹅真的是无处不在,如果你也像我一样深恶痛绝这个笨笨的企鹅,哪么请你随我一起悉心的看一下这篇文章
好吧,说别人的东西老,我自己也不能写老的东西,我现在就从QQ官方上下载一个最新版的QQ对其下刀。
前面我们写了ISA SERVER的安装,我们知道安装后防火墙禁止了一切可以访问的访问,并且我们也学会了创建第一条策略,创建一条“允许任何可以访问的”的策略,现在网通了,可以上网了,既然我们今天讲QQ,我们先来看看,QQ能否登陆.
前面我们讲到ISA提供三种客户端,我们接着看一下如何设置。
先要禁止用户使用Web代理,在ISA上关闭Web代理就可以了。在ISA服务器上依次点击开始-程序-Microsoft ISA Server-ISA服务器管理。
配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。
clip_p_w_picpath002
取消“为此网络启用Web代理客户端连接”
禁止客户机使用SNAT,利用SNAT不支持用户身份验证的弱点,(这也就是微软为什么推荐用WEB代理与防火墙客户端的原因了)在访问规则中要求用户必须通过身份验证。访问规则中允许所有用户任意访问改为允许通过身份验证的用户操作如下:
把“所有用户”删掉。
clip_p_w_picpath004
如上图我们应用此策略。
clip_p_w_picpath006
这样用户只能通过防火前客户端访问了。
自定义防火墙客户端对QQ限制
clip_p_w_picpath008
通过协议来限制
目前QQ官方通过二种方法来登陆,分别是UDP8000一种是TCP443
二、 clip_p_w_picpath010
三、 知道了就好办了,我们先来禁掉UDP 8000的登陆
展开”工具箱“”协议“”用户自定义”我们新建一个自定议协议
clip_p_w_picpath012
新建一个协议
clip_p_w_picpath014
clip_p_w_picpath016
确定后应用一下,当然这还不能生效,我们来新建一个策略,禁止这个协议的登陆
clip_p_w_picpath018
clip_p_w_picpath020
clip_p_w_picpath022
clip_p_w_picpath024
clip_p_w_picpath026
clip_p_w_picpath028
clip_p_w_picpath030
clip_p_w_picpath032
到这里就禁掉了UDP8000的方式了。接着我们来看TCP协议的登陆
有人可能认为我现在要干掉443端口了,这样想就错了,443端口如果
禁用就https类型的网站打不开了,至于为什么,这里就不说了,大家可以谷歌先搜一下
我们看一下QQ有哪些TCP服务器
clip_p_w_picpath034
服务器真不少啊,我们用一个nslookup命令来查看一下这个服务器都在哪些IP上,我们禁用这些IP就行了
clip_p_w_picpath036
通过查看我们发现QQ有以下TCP服务器
名称: tcpconn2.tencent.com
Addresses: 58.251.148.195
58.251.148.202
58.251.149.232
58.251.149.233
58.251.149.234
58.251.149.235
58.251.149.236
58.251.149.237
58.251.149.238
58.251.149.239
58.251.149.240
58.251.150.137
112.90.137.199
112.90.138.155
58.251.148.192
名称: tcpconn3.tencent.com
Addresses: 58.60.14.107
58.60.14.114
58.60.14.191
58.60.14.194
58.60.14.198
58.60.14.242
58.60.14.46
58.60.15.34
58.60.15.41
58.60.15.96
58.60.9.242
58.61.165.61
58.61.34.20
58.61.34.24
58.61.34.51
58.60.14.101
名称: tcpconn4.tencent.com
Addresses: 119.147.18.50
119.147.18.51
119.147.18.52
119.147.18.54
119.147.18.55
119.147.18.56
119.147.19.211
119.147.19.213
119.147.9.239
119.147.9.78
119.147.12.180
119.147.14.144
119.147.14.146
119.147.14.150
119.147.18.38
119.147.18.49
是不是很多?这就是大家的Q币对它的贡献
不用担心其实有规律的,我们按老蒋的政策来封杀它(宁可错杀一千不放过一个落网之鱼)
我们来建立几个“地址范围集”我们依次展开”工具箱““网络对像”
clip_p_w_picpath038
把我们刚才查到的地址全加进去
clip_p_w_picpath040
QQ的服务器再多,像这样整网段的封,再多也会封完,不过一定怨杀很多无辜的网站,当然如果你很有耐心也可以一个一个的添加,这样不会有怨杀。
我们依次把其余的几个网段也全加进去
接着我们来限制这些地址集的访问吧。
新建一个策略
clip_p_w_picpath042
clip_p_w_picpath044
clip_p_w_picpath046
clip_p_w_picpath048
clip_p_w_picpath050
clip_p_w_picpath052
clip_p_w_picpath054
完成后应用,应用后我们再来看看QQ能不能登陆上,发现虽说登陆用了很长时间,但还能登陆,怎么回事?
去QQ设置里的网络里看看,发现竟然还有一个TCP服务器在工作
clip_p_w_picpath056
重复上面的动作后,我们再来看看能不能登陆
clip_p_w_picpath058
到此为止,我们就干扰了QQ的正常登陆,这样一来相信就封杀了,网内
99.9%的QQ用户了。
四、 签名
怎么还在继续?很多人都知道QQ网上存在无数的代理服务器,如果别人用第三方代理服务器怎么办?当然,我们无法在这里封掉世界上所有的代理服务器,因为我们并不完全知道这些数据,如果知道的话,嘿嘿。当然我们可以从下面的方面,一定程度上限制QQ代理服务器的使用。
我们在ISA中利用签名封锁QQ。在HTTP策略属性的“签名”标签处点击“添加”,如下图所示,
clip_p_w_picpath060
我们为签名取名为“QQ”,查找范围是“请求URL”,签名内容是“tencent.com”“QQ.com”,
clip_p_w_picpath062
以上就是全部过程,相信能给大家一些帮助,个人认为技术是一方面,最强大的力量哪还是企业管理上的力量!
有不对之处望大家指正或补充,小弟不甚感激。