今天,某网友在群里咨询到我这样的一个问题,由于公司众多员工,在工作时间登陆qq空间玩qq农场游戏,浪费了大量的工作时间,所以想将qq农场禁止掉,现在以思科asa防火墙为例来禁止公司内部员工登陆qq农场。
    由于qq农场在qq空间里面,所以只需要将user.qzone.qq.com,禁止掉即可,即公司内网员工不能登陆qq空间。
    首先要把user.qzone.qq.com,的对应的ip地址查询出来,我们使用nslookup命令,首先打开cmd,输入nslookup user.qzone.qq.com,出现如图
如图中的,58.251.60.179和58.251.159.154 即为qq空间的服务器的ip地址,注意,可能地区不一样,对应的ip地址也是不同的。
    知道了qq空间服务器对应的ip地址,我们可以做高级acl的deny来实现对qq空间访问的控制。
    在asa 5510防火墙的全局模式下 输入 access-list yule deny ip any 58.251。60.179
                                      access-list yule deny ip any 58.251。150.154
                                      access-list yuele permit any any
  做了以上的名称为yule访问控制列表后,将该访问控制列表应用到与内网相连的接口,进入全局配置模式, 输入  access-group yule in interface inside
   该访问控制列表即发挥了作用
  意思为  将该访问控制列表应用到 内网接口的in 方向,目的地址为58.251。60.179,58.251。150.154,将会被deny掉。从而达到了deny QQ农场的目的。
    这么做总是很觉得对不起公司的同事们,觉得他们玩的那么high,被我deny掉了,心里不安啊,但是没有办法,出于公司的角度出发,还是干掉qq农场心里舒服些,否则老板看见员工天天玩qq农场,就该收拾偶了。