用防火墙客户端限制使用 SKYPE:ISA2006系列之七
2010-04-14 22:30
239 查看
用防火墙客户端限制使用
SKYPE
很多
ISA
管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用
QQ
聊天,有的企业不希望用户使用
BT
下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。
防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手
嘛,呵呵,反正俺是绕着走
…..
实验拓扑如下图所示,
Denver
是
contoso.com
的域控制器,
Perth
是域内工作站,
Beijing
是域内的
ISA2006
服务器,此次的实验目的是限制使用即时通讯软件
SKYPE
。
我们的实验思路是:
1
迫使客户机使用防火墙客户端
2
利用防火墙客户端禁止特定程序
一
迫使客户机使用防火墙客户端
由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但
ISA
的代理方式有三种,
Web
代理,防火墙客户端和
SNAT
,怎么才能让用户放弃其他两种选择呢?
首先我们先要禁止用户使用
Web
代理,想做到这一点很容易,只要在
ISA
上关闭
Web
代理就可以了。在
ISA
服务器上依次点击
开始-程序-
Microsoft ISA Server
-
ISA
服务器管理,
展开
配置-网络-内部,在内部网络的属性中切换到
“
Web
代理”,如下图所示,取消“为此网络启用
Web
代理客户端连接”,这样
ISA
就不再对内网提供
Web
代理服务了。
要禁止客户机使用
SNAT
就要动动脑筋了,我们可以利用
SNAT
不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃
SNAT
。如下图所示,现在的访问规则中允许所有用户
任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。
编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有
通过身份验证的用户”添加进来。
由于修改后的访问规则要求用户提供身份验证,但
SNAT
客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。
二
利用防火墙客户端禁止特定程序
现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用
SKYPE
,
SKYPE
是一款功能非常强大的通讯软件,它的分布式计
算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制
SKYPE
,在没限制之前,客户机的
SKYPE
可以正常使用,如下图所示。
打开
ISA
服务器管理,展开
配置-常规,点击“定义防火墙客户端设置”,
如下图所示。
在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。
Skype
的可执行文件名为
skype.exe
。在新建的应用程序项目中,我们在应用程序中
输入
skype
,不用输入
skype.exe
,键选择“
Disable
”,值选择“
1
”
。从字面意义来看是禁止使用
skype
。
添加了应用程序设置后,重启客户机,然后启动
skype
进行测试,如下图所示,
skype
一直在尝试连接,但始终连接不上,实验成功。
但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将
skype.exe
修改为
myskype.exe
。
修改用户名后,再次启动
skype
,如下图所示,
skype
很轻松地突破了防火墙客户端的限制。
综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但最好辅助其他技术手段,例如
用组策略禁用软件等,这样效果才能更好。
SKYPE
很多
ISA
管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用
聊天,有的企业不希望用户使用
BT
下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。
防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手
嘛,呵呵,反正俺是绕着走
…..
实验拓扑如下图所示,
Denver
是
contoso.com
的域控制器,
Perth
是域内工作站,
Beijing
是域内的
ISA2006
服务器,此次的实验目的是限制使用即时通讯软件
SKYPE
。
我们的实验思路是:
1
迫使客户机使用防火墙客户端
2
利用防火墙客户端禁止特定程序
一
迫使客户机使用防火墙客户端
由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但
ISA
的代理方式有三种,
Web
代理,防火墙客户端和
SNAT
,怎么才能让用户放弃其他两种选择呢?
首先我们先要禁止用户使用
Web
代理,想做到这一点很容易,只要在
ISA
上关闭
Web
代理就可以了。在
ISA
服务器上依次点击
开始-程序-
Microsoft ISA Server
-
ISA
服务器管理,
展开
配置-网络-内部,在内部网络的属性中切换到
“
Web
代理”,如下图所示,取消“为此网络启用
Web
代理客户端连接”,这样
ISA
就不再对内网提供
Web
代理服务了。
要禁止客户机使用
SNAT
就要动动脑筋了,我们可以利用
SNAT
不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃
SNAT
。如下图所示,现在的访问规则中允许所有用户
任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。
编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有
通过身份验证的用户”添加进来。
由于修改后的访问规则要求用户提供身份验证,但
SNAT
客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。
二
利用防火墙客户端禁止特定程序
现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用
SKYPE
,
SKYPE
是一款功能非常强大的通讯软件,它的分布式计
算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制
SKYPE
,在没限制之前,客户机的
SKYPE
可以正常使用,如下图所示。
打开
ISA
服务器管理,展开
配置-常规,点击“定义防火墙客户端设置”,
如下图所示。
在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。
Skype
的可执行文件名为
skype.exe
。在新建的应用程序项目中,我们在应用程序中
输入
skype
,不用输入
skype.exe
,键选择“
Disable
”,值选择“
1
”
。从字面意义来看是禁止使用
skype
。
添加了应用程序设置后,重启客户机,然后启动
skype
进行测试,如下图所示,
skype
一直在尝试连接,但始终连接不上,实验成功。
但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将
skype.exe
修改为
myskype.exe
。
修改用户名后,再次启动
skype
,如下图所示,
skype
很轻松地突破了防火墙客户端的限制。
综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但最好辅助其他技术手段,例如
用组策略禁用软件等,这样效果才能更好。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 用防火墙客户端限制使用SKYPE:ISA2006系列之七
- 用防火墙客户端限制使用SKYPE(七)
- 用防火墙客户端限制使用SKYPE
- 用防火墙客户端限制使用SKYPE:ISA2006
- ISA2006系列之五 详解防火墙的三种客户端(下)
- ISA2006系列之四 详解防火墙的三种客户端(中)
- ISA2006系列之三 详解防火墙的三种客户端(上)
- 域环境下使用组策略关闭客户端防火墙
- zabbix系列之使用ansible批量部署zabbix客户端(二)
- 使用iptables防火墙限制web的访问PV
- 使用CXF限制客户端IP地址
- ASP.NET AJAX入门系列(7):使用客户端脚本对UpdateProgress编程
- 使用Qt将一系列图片通过网络发送到客户端动态显示的参考代码(修改一下可以用作远程网络监控)。
- ASP.NET AJAX入门系列:使用客户端脚本对UpdateProgress编程
- 【Mac上SVN客户端系列】SmartSVN专业版安装、破解及功能使用
- 关于php语言限制,使用http协议不能及时返回客户端方法解决方案
- 【Mac上SVN客户端系列】SmartSVN专业版安装、破解及relocate功能使用
- 详解ISA2006三种客户端:ISA2006系列之二
- 只有经过身份认证的才允许上网!-----------ISA Server防火墙客户端使用记要
- 深入剖析防火墙策略的执行过程:ISA2006系列之六