ISA vs QQ
在企业里经常要限制一下企业员工在上班时间娱乐比如说QQ.
试验环境:FLORENCE是ISA,St1是内网用户,denver是代理服务器(由于找代理服务麻烦,在ISA里提供了代理功能里,我就直接拿ISA做代理了。)
QQ登陆原理:QQ登陆是通过DNS询问QQ地方服务器域名(也就是QQ签名注意:不是QQ空间的签名)——访问QQ地方服务器IP——登陆服务器——主服务器——验证数据——返回变量——传输至地方服务器——允许连接。
QQ代理原理:先访问代理服务器IP通过代理服务器的IP来访问DNS询问QQ地方服务器域名(也就是QQ签名注意:不是QQ空间的签名)——访问QQ地方服务器IP——登陆服务器——主服务器——验证数据——返回变量——传输至地方服务器——允许连接。
试验拓扑图:  网卡正如图中所示,内网是10.1.1.1网段,外围是192.168.2.1网段,外网是IP:192.168.1.144 (我做的是背靠背防火墙)
然后配置我的代理服务器ISA的防火墙策略,很简单,什么都不限制,可以用代理随便上网。(一个简单的代理做成功)  开始封锁QQ:如QQ登陆原理所知只要在ISA里限制了QQ登陆的IP就OK了。
QQ登陆IP可以从网上、论坛上也可以通过抓包查找等等。。我用的是抓包,如图
 现在得到了QQ登陆IP,然后在ISA里创建计算机集如下图
 把你所知道的QQ登陆IP添加到计算机集里,在里面你可以一个一个IP的添加也可以把整个IP段都封,嘿嘿,有点狠……
然后在创建一条规则阻止QQ登陆,如下图
 现在QQ已无法登陆了,如图
  虽然QQ被禁止登陆,但是网站还是可以正常打开,如图
 (我用的这个办法是有点麻烦,但是还是收到了很好的效果,如果QQ还能上看你的QQ登陆IP是否全面与你新创建的这条规则上边是否还有别的规则在允许)
现在QQ登陆上不去了,但用代理还可以登陆,原因是QQ登陆时不是直接登陆QQIP,而先访问代理IP在访问QQ登陆IP,直接绕过了防火墙登陆的。如图
 现在靠封QQIP是不行了,但ISA2004里新增功能有项功能是HTTP签名可以对代理进行封锁。如图
 查找QQ签名 利用内网登陆QQ的时候要抓个包!分析一下
 配置一个HTTP策略然后添加到签名里面就好了这样就上不去了!
  |
stserver
博客统计信息
热门文章
最新评论
友情链接
