限制QQ、MSN其實是有很多方法的,如利用限制名稱限制QQ、利用ISA的HTTP的過濾功能、利用組策略等等下面我們來展示幾種簡單的限制MSN的方法
環境:beijing是ISA服務器,Denver是域contoso.com的域控制器,firence是域內的客戶機并裝有MSN
我們先用最簡單的限制名稱來限制一下
這種方法beijing應該是域的成員,或者域內有Radius服務器以便后來做身份驗證
這種方法前提是客戶機必須使用防火墻客戶端代理上網
首先要讓客戶機不能利用web代理和SNAT代理,操作是
在beijing上依次點擊 開始-程序-Microsoft ISA Server-ISA服務器管理,在配置—網絡中右擊內部屬性,如圖勾掉web代理
這樣客戶機不能使用web代理了,我們再利用SNAT不能進行身份驗證的弱點不讓用戶使用SNAT
在設置的策略中關于允許上網的策略的用戶標簽下更改成通過身份驗證的用戶
然后在配置—常規下點擊“定義防火墻客戶端配置”
切換到應用程序標簽下點擊新建將應用程序禁止應用程序寫msnmsgr注意不要加.exe,鍵是disable值是1這樣就禁止了應用程序名為msnmsgr的程序
這樣做顯然有很大的缺點只要客戶機firence將msn的應用程序名稱一改這種方法就不靈了
下面我們來利用防火墻策略來限制msn
這樣做的前提是知道msn服務器的ip地址,最簡單的方法是上網查一查,不放心的話也可以自己用抓包器來抓一下,抓包器用windows自帶的管理工具下的網絡監視器也行,推薦使用Ethereal我們也可以用網絡監視器抓用Ethereal來分析
方法是先禁用網卡—-開始抓包—-登陸msn
為方便起見本人在網上查了一下msn服務器的ip是65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
QQ服務器的ip是
202.104.128.233
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
用這種方法限制QQ比較麻煩ip那么多好在只是時間問題
我們在ISA的工具箱中找到網絡對象新建一個計算機集
點擊添加選計算機將剛剛查到的ip全部寫入
這時,再新建一條訪問規則
先取個名字
規則是拒絕
協議選所有出站協議
規則源是內部
目標是剛剛寫入的MSN服務器的計算機集
用戶選所有用戶
檢查一下完成創建
應用后計算機就不能訪問msn的服務器了
但是這種方法也不能從根本上解決問題,因為客戶機登陸msn服務器時除了直接登陸外還可以用代理服務器登錄,這時我們就要用HTTP的過濾功能中的簽名來限制了簽名是HTTP我們要找出MSN服務器時的特征數據,依靠這個來封掉MSN
在允許上網的用戶策略上右擊選擇配置HTTP
切換到“頭”標簽下添加查找范圍請求頭值為User-Agent這樣就可以阻止這個請求頭
在簽名的標簽下點擊添加輸入如圖的數據頭是“User-Agent”。
查找簽名可以在微軟網站上也可以通過抓包工具來獲取
這是利用簽名來限制MSN這種方法也并不是萬無一失的如果客戶機把請求加了密或者封裝成了ftp的格式這種方法也是無能為力的
我們也可以在域控制器上利用組策略來限制做法是
在域控制器Denver上開始—程序—管理工具—AD站點和服務在站點上右擊屬性
在組策略標簽下新建個策略然后點擊編輯
在windows設置下的安全設置下找到軟件限制策略,打開后在其他規則上右擊選擇新建哈希規則計算機基礎知識
點擊瀏覽查找msn對應的程序打開
這時會出現如圖所示的內容
確定之后就可以了用了這個方法后本版本的msn一定會不能用了
介紹的這幾種方法基本上可以限制一般的用戶了
上一條:十個優化電腦的技巧
下一條:家用投影選購三大熱點問題逐個剖析