不支持Flash
|
|
|
我的地盘我做主 局域网访问控制浅析(4)http://www.sina.com.cn 2007年03月07日 08:16 中关村在线
如何封IM聊天软件
现在很多公司和单位都禁止在上班时间使用MSN和QQ,其实作为交流沟通的好工具,MSN和QQ拉近了人们的距离。然而,对于很多业务繁忙同时又不太依赖即时交流工具的公司来说,它们可是洪水猛兽,会严重影响员工的正常工作、公司的正常运转。 针对以上情况,很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题,由于网络办公的需要,网管并不能禁用HTTP协议,因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。 因为网管必须保证员工能正常上网办公,所以不可能禁用HTTP协议,这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念,如ISA Server2004,它不但可以对通信中的网络数据包进行检验,而且还可以检查数据包应用层中的内容,能对HTTP应用层数据进行过滤和检测。 ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息,就可将该数据包丢弃,以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。ISA Server 2004 提供的“签名”功能作用在HTTP应用层中,是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”,而QQ数据包使用的关键字是“tencent.com”,掌握了这些信息后,就容易利用“签名”功能封堵HTTP代理。 掌握了聊天工具使用HTTP代理传出的数据包中的关键字后,我们就可顺藤摸瓜,利用这些“关键字”封住它们的“口”。ISA防火墙就是利用内置的“签名”功能,来禁止MSN和QQ使用HTTP代理,因此必须要合理配置“签名”功能才行。 在ISA Server 2004服务器的控制台窗口中,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页,现在就可以利用签名功能,禁用HTTP代理。 1,禁用MSN 禁止MSN使用HTTP代理,只要过滤掉包含有关键字“MSMSGS”的数据包即可。
在“签名”标签页中,点击“添加”按钮,弹出签名配置对话框(图1),在“名称”栏中输入“MSN Messenger”,然后在“查找范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“MSMSGS”,最后连续两次点击“确定”按钮即可完成设置。 2,禁用QQ 和禁止MSN使用HTTP代理一样,禁止QQ使用HTTP代理,只要过滤掉包含有关键字“tencent.com”的数据包即可。
在“签名”标签页中点击“添加”按钮,弹出签名配置对话框(图2),在“名称”栏中输入“QQ”,然后在“查找范围”下拉列表框中选择“请求URL”,接着在“签名”栏中输入“tencent.com”,最后两次点击“确定”按钮完成设置。 3,禁用其他聊天软件 禁止其他IM工具使用HTTP代理的方法也是相同的,只要知道该IM数据包中所包含的特征关键字,然后在ISA防火墙的“签名”功能中进行相应配置即可。 最后在ISA Server 2004防火墙策略窗口中选中“允许用户访问外部网络”规则,点击上方的“应用”按钮,使以上的签名配置生效,这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。 其实还有一种封QQ的方法,这里也简单的向大家介绍一下。 sz sz2: 3,会员VIP登陆服务器,使用HTTP 443安全连接服务器IP 218.17.209.42
【发表评论】
|
不支持Flash
不支持Flash
|