ISA2006策略开SKYPE禁QQ方法.docVIP

ISA2006策略开SKYPE禁QQ的方法 由于我们是用Web代理的方法来登陆ISA，QQ很容易通过HTTP代理连接到ISA，如果ISA开了HPPTS协议，那么QQ就可以进行登陆了。 现在讲解一种方法来达到开SKYPE禁QQ的目的。 首先，我这里是开启HTTPS协议让SKYPE实现登陆的。所以策略中必添加HTTPS协议。但无疑如果不进行其他设置的话，QQ通过HTTP（或HTTPS）代理必定也可以登陆。 其次，我们需要的是想办法禁止QQ走HTTPS协议。经过多次测试，发现QQ通过Web代理登陆都会发关键字“”的数据包。那么我是就可以通过禁关键字来达到禁QQ的目的。 我们知道，HTTP中才有禁关键字的选项。如下图： 点“筛选”打开“配置HTTP”选择“签名”选项： 在里面点击“添加”，添加阻止QQ数据包相应的关键字如“”,具体设置方法如下图。其中的名称可随便输入，为了方便我们的记忆，我这里设名称为QQ。下面的签名就是我们填的重要关键字。这里填写为：.确定保存就OK了。 这条策略建立后，我们就可以进行登陆SKYPE了，当然这时的QQ是无法登陆的。但还存在着另一个问题，就是用户除了登陆SKYPE还可以上网，原因就是这里有HTTP协议嘛。 禁止HTTP协议的方法就是在这条策略的上面再建一条策略，专门来限制HTTP协议的。这策略很简单，就不用说啦！ 到此完成了。其他相应的即时通讯软件的限制也可以通过上面的方法来实现，重要的是找到关键字。 以下内容为附件 MSN和QQ，交流沟通的好工具，拉近了人们的距离。然而，对于很多业务繁忙同时又不太依赖即时交流工具的公司来说，它们可是洪水猛兽，会严重影响员工的正常工作、公司的正常运转。 　　针对以上情况，很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题，由于网络办公的需要，网管并不能禁用HTTP协议，因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。 　　封堵原理 　　因为网管必须保证员工能正常上网办公，所以不可能禁用HTTP协议，这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念，如ISA Server2004，它不但可以对通信中的网络数据包进行检验，而且还可以检查数据包应用层中的内容，能对HTTP应用层数据进行过滤和检测。 　　ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息，就可将该数据包丢弃，以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。 　　解决办法 　　要想阻止MSN和QQ使用HTTP代理，最有效、最简单的办法就是过滤掉网络通信中的IM数据包，这种过滤措施是通过识别IM数据包中所包含的IM关键字来实现的，利用ISA Server 2004防火墙提供的“签名”功能很容易做到。 　　网络环境:由ISA Server 2004服务器统一管理的网络 　　封堵工具:ISA Server 2004防火墙 　　提示:ISA防火墙提供了很强大的网络监控和管理功能，如深度防护和过滤功能，利用这些功能可禁止MSN和QQ使用HTTP代理。当然要知道MSN和QQ数据包中所包含的特征关键字才行。 　　封堵步骤:获得MSN和QQ的关键字;启用ISA签名功能;启动“封堵”功能。 　　掌握“关键字” 　　做好以上准备工作后，就可以开始进行“封堵”的设置了，在找到MSN和QQ数据包中的关键字后，配置一下ISA防火墙即可完成设置工作。 　　因为ISA防火墙就是利用MSN和QQ数据包所包含的特征关键字，来过滤掉HTTP数据包中所包含的IM数据包，实现禁用HTTP代理的目的，因此必须首先找出MSN和QQ数据包中的关键字。 　　ISA Server 2004 提供的“签名”功能作用在HTTP应用层中，是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”，而QQ数据包使用的关键字是“”，掌握了这些信息后，就容易利用“签名”功能封堵HTTP代理。 　　提示:在网上很容易查找到MSN、QQ数据包中的“关键字”资料，那别人是如何获得的呢?这个比较复杂，需要利用工具Sniffer对这些IM数据包进行监控和分析，如利用NAI公司推出的协议分析工具“Sniffer Pro”，由于操作比较麻烦，就不详细介绍了。 　　开始“封口” 　　掌握了聊天工具使用HTTP代理传出的数据包中的关键字后，我们就可顺藤摸瓜，利用这些“关键字”封住它们的“口”。 　　ISA防火墙就是利用内置的“签名”功能，来禁止MSN和QQ使用HTTP代理，因此必须要合理配置“签名”功能才行