关于ISA网络中封锁QQ与迅雷的方法

关于ISA网络中封锁QQ与迅雷的方法
关于ISA网络中封锁QQ与迅雷的方法
在网上看到好多关于用isa 2004封锁QQ封不住的问题,在这里,我想把我的经验分享出来。

  我单位的内网现在就是用isa2004进行管理的,我给内网用户做的是防火墙客户端+webproxy客户端,没有 做SecureNAT客户端。

isa2004做在了单位的内网里面。

单位内网的IP地址是10.8.46.1-10.8.46.255,我的ISA服务器的IP是10.8.46.45。

子网掩码是:255.255.252.0,默认网关是:10.8.45.1.我建了一个dns,10.8.10.244,将内网的dns请求转发到isp提供的dns服务器上。

  我在ISA里建立了一条访问规则,允许内部用户访问外网,但是,我只开了三个协议,FTP,HTTP,HTTPS。

这样,我内网的所有用户要访问外网的话,必须通过ISA 2004,访问出去的协议只有上面那三个,然后我对允许内部用户访问外网的那条规则进行配置,在那条规则上用鼠标右击,然后在弹出的菜单中选择配置HTTP,在弹出的对话框中,选择签名选项卡,在里面写上tencent.com,这样,所有内网用户通过isa2004代理上QQ就已经被封死。

我也没有做一些资料上写的那些封堵腾讯服务器IP的规则,这主要是因为所有的内网电脑都是用的防火墙客户端+webproxy客户端的原因吧。

我给内网电脑装的防火墙端客户端是老版本的,即isa2000带的客户端,并非isa2004的客户端。

具体原因是,以前用ISA 2000,后我将ISA2000升级为ISA 2004,由于内网电脑太多,又是工作组环境,所以就没有换客户端。

  关于QQ使用80代理的问题,我是这么解决的,在为允许内部用户访问外网的那条规则配置HTTP的对话框中,选择,方法选项卡,然后选择阻止指定的方法,然后添加这个方法CONNECT(注意大小写)。

这回使用HTTP80代理QQ就无法登录了,问题解决。

或者再添加一个218.18.95的签名,同样是阻止这个218.18.95的签名,这样就OK了。

这个问题出现在使用SecureNAT客端的电脑上,后来,我统一换成了防火墙客户端+webproxy客户端。

不使用SecureNAT客户端后,使用tencent.com封锁QQ后,至今未发现有员工在未经本人允许情况下,使用QQ。

  附:ISA Server中的三种客户端为防火墙客户端(需要在电脑上安装isa防火墙的客户端)。

    webproxy客户端,只要在IE浏览器中设置即可。

SecureNAT客户端,这种客户端较简单,只要将默认网关指向ISA服务器即可。

这样的话,就必须建议内部DNS服务器,将内网用户的DNS请求转发到ISP的DNS上即可。

ISA并不能完全封住迅雷。

因为如果封住迅雷,很可能连网也上不了。

只能将3076-3078这三个端口封住,让迅雷不能查询侯选资源,这样,可以缓解一下迅雷下载时的带宽占用。

关于BT,只要在为外网访问规则配置http的设置里将BT种子文件的扩展名阻止一下。

补充,利用签名封堵BT   当BT客户端下载时,必须进行tracker进行查询,tracker通过http get命令的参数来接收信息,而响应给对方的是Bencoded编码的消息。

而在http请求的数据包中,包含了带有BT特征的头(User-Agent):BitTorrent。

鉴于此,在ISA 2004中,在允许访问外部网络的那条规则上,右击,选择配置http,在签名里添加一个BT的签名,名称我起的是BT,查找范围为请求头,http头为User-Agent,签名为BitTorrent关于迅雷,用天网在ISA代理服务器上封信3076-3078这三个端口后,可以在ISA里设置一下每个客户端较大的TCP和非TCP连接数,进一步减少使用迅雷对内网的影响。

未经允许不得转载: 深圳维创信息技术有限公司 » 关于ISA网络中封锁QQ与迅雷的方法

赞 ()
'); })();