利用ISA封锁QQ上网

在上篇我们说到有些员工利用上班时间聊 QQ ，还给大家详细的介绍了一下 ISA2006 的部署，今天我们就简单的来实现一下利用 ISA2006 来封锁 QQ 上网。我们用 beijing 来做 ISA 服务器， beijing 有两块网卡，内网的 IP 我们设为 10.1.1 .254 ，外网的 IP 设为 192.168.0.100 ； tianjin 是内网的一台客户机， IP 为 10.1.1.200. 实验的大致拓扑图如下 ：

 

首先我在防火墙上不做任何限制，大家可以随便上网。

 

下面在tianjin上登陆QQ。登陆时不使用任何代理

 

OK！没问题可以上QQ

 

其实QQ的登陆方式有UDP协议、TCP协议。现在我们就是通过UDP的8000端口登陆的，很简单，把UDP8000端口封掉，不让它使用UDP协议登陆。打开ISA服务管理器，选择右上角的新建协议

 

为协议定义名称

 

选择“新建”，协议类型选择“UDP”，方向“发送接收”，从“8000”端口到“8000”端口

 

不使用辅助连接

 

很简单，点完成UDP协议创建完成

 

UDP封锁完成后，下面来封锁TCP。TCP怎么封锁呢？我们在登陆QQ的时候，下面TCP类型的登陆方式，我们选择“TCP类型”看看它有那些代理服务器呢？

 

哦  原来有tcpconn.tencent.com到tcpconn4.tencent.com这几种啊

 

接下来在ISA服务器的开始---运行中输入“cmd”

 

进入DOS后输入命令“nslookup”，回车后看见下面出现一个IP号

 

紧接着在输入tcpconn.tencent.com

 

输入tcpconn.tencent.com命令后看见许多IP全是219.133开头的

 

 

在接着输入tcpconn2.tencent.com，还是219.133开头的，

 

tcpconn3.tencent.com和tcpconn4.tencent.com中的IP是以58.60.开头的

 

 

 

记住上面的以219.168和28.60开头的IP,下一步就在ISA中对他们进行封锁了。我们选择新建“地址范围”

 

将219.133网段中的IP全封掉，我们把它添加到指定的IP范围

 

接下来把58.60网段上的IP全封掉，也把它添加到指定的IP范围

 

输入完成后，点确定退出。接下来就开始封了，我们在ISA防火墙策略中新建访问规则

 

 

输入访问规则名称

 

选择“拒绝”

 

选择所选的协议，把刚才新建的那个网络协议添加进去

 

从“内部”和“本地主机”

 

到“外部”

 

选择所用用户

 

完成访问规则的建立

 

建完封锁QQ8000端口的访问规则后，接下来在建一条封锁TCP端口的协议，输入访问规则名称

 

 

这步选择所有出站协议

 

从所有网络和本地主机

 

到QQ\TCP和QQ\TCP1.这是刚才添加的219.133和58.60开头的IP

 

所有用户

 

完成TCP协议的创建

 

完成后我们应用一下

 

应用完成后，再在客户机tianjin上试试QQ还能登上吗？QQ登不上了，看来我们的封锁QQ的协议生效了。再看看左下角的“疑难解决”看看是那出问题了。为什么QQ登不上呢？

 

哦 原来是端口检测失败了。呵呵

 

现在还没有成功，现在科学太发达了，网络应用太广泛了，通过 UDP 、 TCP 还不能彻底封锁 QQ 上网，他们还可以通过网上的代理服务器的 IP 上网。嗨！没事，道高一尺，魔高一丈。我们再把代理服务器的 IP 封了不就完了吗？我在网上随便一搜，就搜出来以下这么多代理服务器的 IP ，随便找个试了试还真能通过代理上网啊！

 

OK！QQ通过代理登上了

 

 代理服务器IP的封锁很麻烦的，既不能上它上QQ，又不能封http，因为封了HTTP那么就和断网一样，用户也不能上网上查资料。如果是这样的话，那么只有一个办法，把代理服务器的IP封了。下面是我在网上搜的代理服务器以及IP、端口号

北京市 百度公司 202.108.22.5 80 正常 328 http 2008-11-24 0:16:43
巴西 圣保罗 200.242.106.130 3128 正常 5342 http 2008-11-24 0:16:16
南非 196.20.7.74 553 优质 5734 http 2008-11-24 0:15:55
奥地利 193.46.236.141 3128 优质 1984 http 2008-11-24 0:15:18
日本 150.65.32.68 3127 正常 2265 http 2008-11-24 0:14:46
荷兰 130.161.40.153 3127 正常 8562 http 2008-11-24 0:14:35
德国 亚琛工业大学 137.226.138.154 3127 正常 1671 http 2008-11-24 0:14:35
美国 新墨西哥大学 129.24.211.25 3128 正常 1671 http 2008-11-24 0:14:21
美国 特拉华大学 128.4.36.12 3128 正常 2562 http 2008-11-24 0:14:14
美国 特拉华大学 128.4.36.12 3127 正常 1360 http 2008-11-24 0:14:12
美国 特拉华大学 128.4.36.11 3128 正常 1312 http 2008-11-24 0:14:11
英国 81.177.3.10 80 优质 4750 http 2008-11-24 0:12:14
英国 81.177.3.10 3128 优质 1983 http 2008-11-24 0:12:13
美国 72.55.191.6 3128 优质 2515 http 2008-11-24 0:11:55
美国 加洲 64.66.192.61 32080 优质 1358 http 2008-11-24 0:11:34
韩国 211.239.84.232 80 正常 3531 http 2008-11-24 0:09:42
韩国 211.239.84.197 80 正常 656 http 2008-11-24 0:09:17
巴西 圣保罗 200.226.137.10 8080 优质 8562 http 2008-11-24 0:08:39
韩国 211.239.84.195 80 正常 3405 http 2008-11-24 0:08:11
瑞士 192.42.43.22 3127 正常 4578 http 2008-11-24 0:08:05
美国/加拿大 206.117.37.5 3128 正常 1547 http 2008-11-24 0:07:23
塞浦路斯 194.42.17.123 3124 正常 1844 http 2008-11-24 0:07:17
英国 194.36.10.156 3128 正常 1797 http 2008-11-24 0:07:17
日本 大阪大学 133.1.16.172 3128 正常 1797 http 2008-11-24 0:06:56
加拿大 萨斯卡彻温大学 128.233.252.12 3124 正常 1375 http 2008-11-24 0:06:52

我们在 ISA 上新配置一个 HTTP 策略，然后把 IP 全添加进去，这样就使用代理不能上网了。

首先右击防火墙策略，选择“配置 HTTP ”

 

切换到“签名”选项，把上面的 IP 一一添加进来吧！没事慢慢来，时间问题而已。呵呵

 

添加完成后，在用HTTP代理试试

 

嗨！看看登不上了吧！

 

再试试看看能不能上网。哦 能上网，如下图上搜狐网没问题

转载于:https://blog.51cto.com/idiot988/691899