利用ISA封锁QQ上网

在上篇我们说到有些员工利用上班时间聊QQ，还给大家详细的介绍了一下ISA2006的部署，今天我们就简单的来实现一下利用ISA2006来封锁QQ上网。我们用beijing来做ISA服务器，beijing有两块网卡，内网的IP我们设为10.1.1.254，外网的IP设为192.168.0.100；tianjin是内网的一台客户机，IP为10.1.1.200.实验的大致拓扑图如下：



首先我在防火墙上不做任何限制，大家可以随便上网。



下面在tianjin上登陆QQ。登陆时不使用任何代理



OK！没问题可以上QQ



其实QQ的登陆方式有UDP协议、TCP协议。现在我们就是通过UDP的8000端口登陆的，很简单，把UDP8000端口封掉，不让它使用UDP协议登陆。打开ISA服务管理器，选择右上角的新建协议



为协议定义名称



选择“新建”，协议类型选择“UDP”，方向“发送接收”，从“8000”端口到“8000”端口



不使用辅助连接



很简单，点完成UDP协议创建完成



UDP封锁完成后，下面来封锁TCP。TCP怎么封锁呢？我们在登陆QQ的时候，下面TCP类型的登陆方式，我们选择“TCP类型”看看它有那些代理服务器呢？



哦 原来有tcpconn.tencent.com到tcpconn4.tencent.com这几种啊



接下来在ISA服务器的开始---运行中输入“cmd”



进入DOS后输入命令“nslookup”，回车后看见下面出现一个IP号



紧接着在输入tcpconn.tencent.com



输入tcpconn.tencent.com命令后看见许多IP全是219.133开头的



在接着输入tcpconn2.tencent.com，还是219.133开头的，



tcpconn3.tencent.com和tcpconn4.tencent.com中的IP是以58.60.开头的



记住上面的以219.168和28.60开头的IP,下一步就在ISA中对他们进行封锁了。我们选择新建“地址范围”



将219.133网段中的IP全封掉，我们把它添加到指定的IP范围



接下来把58.60网段上的IP全封掉，也把它添加到指定的IP范围



输入完成后，点确定退出。接下来就开始封了，我们在ISA防火墙策略中新建访问规则



输入访问规则名称



选择“拒绝”



选择所选的协议，把刚才新建的那个网络协议添加进去



从“内部”和“本地主机”



到“外部”



选择所用用户



完成访问规则的建立



建完封锁QQ8000端口的访问规则后，接下来在建一条封锁TCP端口的协议，输入访问规则名称





这步选择所有出站协议



从所有网络和本地主机



到QQ\TCP和QQ\TCP1.这是刚才添加的219.133和58.60开头的IP



所有用户



完成TCP协议的创建



完成后我们应用一下



应用完成后，再在客户机tianjin上试试QQ还能登上吗？QQ登不上了，看来我们的封锁QQ的协议生效了。再看看左下角的“疑难解决”看看是那出问题了。为什么QQ登不上呢？



哦 原来是端口检测失败了。呵呵



现在还没有成功，现在科学太发达了，网络应用太广泛了，通过UDP、TCP还不能彻底封锁QQ上网，他们还可以通过网上的代理服务器的IP上网。嗨！没事，道高一尺，魔高一丈。我们再把代理服务器的IP封了不就完了吗？我在网上随便一搜，就搜出来以下这么多代理服务器的IP，随便找个试了试还真能通过代理上网啊！



OK！QQ通过代理登上了



代理服务器IP的封锁很麻烦的，既不能上它上QQ，又不能封http，因为封了HTTP那么就和断网一样，用户也不能上网上查资料。如果是这样的话，那么只有一个办法，把代理服务器的IP封了。下面是我在网上搜的代理服务器以及IP、端口号
北京市 百度公司 202.108.22.5 80 正常 328 http 2008-11-24 0:16:43

巴西 圣保罗 200.242.106.130 3128 正常 5342 http 2008-11-24 0:16:16

南非 196.20.7.74 553 优质 5734 http 2008-11-24 0:15:55

奥地利 193.46.236.141 3128 优质 1984 http 2008-11-24 0:15:18

日本 150.65.32.68 3127 正常 2265 http 2008-11-24 0:14:46

荷兰 130.161.40.153 3127 正常 8562 http 2008-11-24 0:14:35

德国 亚琛工业大学 137.226.138.154 3127 正常 1671 http 2008-11-24 0:14:35

美国 新墨西哥大学 129.24.211.25 3128 正常 1671 http 2008-11-24 0:14:21

美国 特拉华大学 128.4.36.12 3128 正常 2562 http 2008-11-24 0:14:14

美国 特拉华大学 128.4.36.12 3127 正常 1360 http 2008-11-24 0:14:12

美国 特拉华大学 128.4.36.11 3128 正常 1312 http 2008-11-24 0:14:11

英国 81.177.3.10 80 优质 4750 http 2008-11-24 0:12:14

英国 81.177.3.10 3128 优质 1983 http 2008-11-24 0:12:13

美国 72.55.191.6 3128 优质 2515 http 2008-11-24 0:11:55

美国 加洲 64.66.192.61 32080 优质 1358 http 2008-11-24 0:11:34

韩国 211.239.84.232 80 正常 3531 http 2008-11-24 0:09:42

韩国 211.239.84.197 80 正常 656 http 2008-11-24 0:09:17

巴西 圣保罗 200.226.137.10 8080 优质 8562 http 2008-11-24 0:08:39

韩国 211.239.84.195 80 正常 3405 http 2008-11-24 0:08:11

瑞士 192.42.43.22 3127 正常 4578 http 2008-11-24 0:08:05

美国/加拿大 206.117.37.5 3128 正常 1547 http 2008-11-24 0:07:23

塞浦路斯 194.42.17.123 3124 正常 1844 http 2008-11-24 0:07:17

英国 194.36.10.156 3128 正常 1797 http 2008-11-24 0:07:17

日本 大阪大学 133.1.16.172 3128 正常 1797 http 2008-11-24 0:06:56

加拿大 萨斯卡彻温大学 128.233.252.12 3124 正常 1375 http 2008-11-24 0:06:52
我们在ISA上新配置一个HTTP策略，然后把IP全添加进去，这样就使用代理不能上网了。
首先右击防火墙策略，选择“配置HTTP”



切换到“签名”选项，把上面的IP一一添加进来吧！没事慢慢来，时间问题而已。呵呵



添加完成后，在用HTTP代理试试



嗨！看看登不上了吧！



再试试看看能不能上网。哦 能上网，如下图上搜狐网没问题