今天我来写一个用ISA限制QQ的教程吧,在网上搜了一下,大多都是一些老文章,而且,大多是雷同的,总得有人写原创是吧,现在QQ都2010了,不知道以前的技术文档上的东西,能否对付现在的QQ。说起QQ现在几乎是每个老板都感到咬牙切齿的一个东西了,是个人都躲躲藏藏的玩几下,似乎不玩就真的会少一块肉一样。这个小企鹅真的是无处不在,如果你也像我一样深恶痛绝这个笨笨的企鹅,哪么请你随我一起悉心的看一下这篇文章
好吧,说别人的东西老,我自己也不能写老的东西,我现在就从QQ官方上下载一个最新版的QQ对其下刀。
前面我们写了ISA SERVER的安装,我们知道安装后防火墙禁止了一切可以访问的访问,并且我们也学会了创建第一条策略,创建一条“允许任何可以访问的”的策略,现在网通了,可以上网了,既然我们今天讲QQ,我们先来看看,QQ能否登陆.
前面我们讲到ISA提供三种客户端,我们接着看一下如何设置。
先要禁止用户使用Web代理,在ISA上关闭Web代理就可以了。在ISA服务器上依次点击开始-程序-Microsoft ISA Server-ISA服务器管理。
配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。
取消“为此网络启用Web代理客户端连接”
禁止客户机使用SNAT,利用SNAT不支持用户身份验证的弱点,(这也就是微软为什么推荐用WEB代理与防火墙客户端的原因了)在访问规则中要求用户必须通过身份验证。访问规则中允许所有用户任意访问改为允许通过身份验证的用户操作如下:
把“所有用户”删掉。
如上图我们应用此策略。
这样用户只能通过防火前客户端访问了。
自定义防火墙客户端对QQ限制
通过协议来限制
目前QQ官方通过二种方法来登陆,分别是UDP8000一种是TCP443
二、 
三、 知道了就好办了,我们先来禁掉UDP 8000的登陆
展开”工具箱“”协议“”用户自定义”我们新建一个自定议协议
新建一个协议
确定后应用一下,当然这还不能生效,我们来新建一个策略,禁止这个协议的登陆
到这里就禁掉了UDP8000的方式了。接着我们来看TCP协议的登陆
有人可能认为我现在要干掉443端口了,这样想就错了,443端口如果
禁用就https类型的网站打不开了,至于为什么,这里就不说了,大家可以谷歌先搜一下
我们看一下QQ有哪些TCP服务器
服务器真不少啊,我们用一个nslookup命令来查看一下这个服务器都在哪些IP上,我们禁用这些IP就行了
通过查看我们发现QQ有以下TCP服务器
名称: tcpconn2.tencent.com
Addresses: 58.251.148.195
58.251.148.202
58.251.149.232
58.251.149.233
58.251.149.234
58.251.149.235
58.251.149.236
58.251.149.237
58.251.149.238
58.251.149.239
58.251.149.240
58.251.150.137
112.90.137.199
112.90.138.155
58.251.148.192
名称: tcpconn3.tencent.com
Addresses: 58.60.14.107
58.60.14.114
58.60.14.191
58.60.14.194
58.60.14.198
58.60.14.242
58.60.14.46
58.60.15.34
58.60.15.41
58.60.15.96
58.60.9.242
58.61.165.61
58.61.34.20
58.61.34.24
58.61.34.51
58.60.14.101
名称: tcpconn4.tencent.com
Addresses: 119.147.18.50
119.147.18.51
119.147.18.52
119.147.18.54
119.147.18.55
119.147.18.56
119.147.19.211
119.147.19.213
119.147.9.239
119.147.9.78
119.147.12.180
119.147.14.144
119.147.14.146
119.147.14.150
119.147.18.38
119.147.18.49
是不是很多?这就是大家的Q币对它的贡献
不用担心其实有规律的,我们按老蒋的政策来封杀它(宁可错杀一千不放过一个落网之鱼)
我们来建立几个“地址范围集”我们依次展开”工具箱““网络对像”
把我们刚才查到的地址全加进去
QQ的服务器再多,像这样整网段的封,再多也会封完,不过一定怨杀很多无辜的网站,当然如果你很有耐心也可以一个一个的添加,这样不会有怨杀。
我们依次把其余的几个网段也全加进去
接着我们来限制这些地址集的访问吧。
新建一个策略
完成后应用,应用后我们再来看看QQ能不能登陆上,发现虽说登陆用了很长时间,但还能登陆,怎么回事?
去QQ设置里的网络里看看,发现竟然还有一个TCP服务器在工作
重复上面的动作后,我们再来看看能不能登陆
到此为止,我们就干扰了QQ的正常登陆,这样一来相信就封杀了,网内
99.9%的QQ用户了。
四、 签名
怎么还在继续?很多人都知道QQ网上存在无数的代理服务器,如果别人用第三方代理服务器怎么办?当然,我们无法在这里封掉世界上所有的代理服务器,因为我们并不完全知道这些数据,如果知道的话,嘿嘿。当然我们可以从下面的方面,一定程度上限制QQ代理服务器的使用。
我们在ISA中利用签名封锁QQ。在HTTP策略属性的“签名”标签处点击“添加”,如下图所示,
我们为签名取名为“QQ”,查找范围是“请求URL”,签名内容是“tencent.com”“QQ.com”,
以上就是全部过程,相信能给大家一些帮助,个人认为技术是一方面,最强大的力量哪还是企业管理上的力量!
有不对之处望大家指正或补充,小弟不甚感激。
27 Responses to 利用ISA2006封杀QQ2010
yesureadmin
Replied on: 2010 年 11 月 28 日, 10:21
@yanhui 干QQ?不用ISA也可以轻松做到
yanhui
Replied on: 2010 年 11 月 27 日, 21:06
思路基本上还是封掉登陆服务器 文章的最后关于对url请求的限制蛮有新意 不过可能只有像ISA这样的应用层防火墙才能做到吧
admin
Replied on: 2010 年 08 月 08 日, 19:41
老张啊,你的数据库出错了啊,页面开不了,你检查一下啊。我用回复提醒给你提个醒,呵@老张博客
yesureadmin
Replied on: 2010 年 08 月 08 日, 08:43
说起来这也算网管工具啊@coolicer
coolicer
Replied on: 2010 年 08 月 07 日, 22:50
那些网管工具不也可以做这些吗?ISA都没怎么研究过,呵呵。以前对Linux比较 有兴趣。
青年怪客
Replied on: 2010 年 08 月 07 日, 17:19
文章写的太好了,不错,以前做实验也弄过,但是现在公司不弄这个ISA了
普通路由器封QQ 2010 — YESURE技术博客
Replied on: 2010 年 08 月 05 日, 18:17
[...] 感觉这几天和QQ较上了,呵呵,前面讲了ISA控制网页用户的一些行为。ISA对于有些人来讲有些麻烦,并且要占用一电脑作为服务器,既然想封QQ想必一定是在局域网,如果是单机哪就太简单了,既然是局域网最差也有一个几十到百来块的路由器吧。今天尝试了一下,用tp-link R402 路由器(这个差吧,应该是市场上最差的吧,大约市价80元)也来封一下QQ,试了一下,也可以。其实道理和我们前面的ISA是一样的,有兴趣的朋友可以去翻阅这篇文章。今天写这个只是抛砖引玉,想想封其它的软件都是一样的,要么端口,要么IP,除了这些如果还能用。想必他也用的不爽。OK,开始吧. [...]
imdeng
Replied on: 2010 年 08 月 05 日, 13:56
公司之前限制得挺厉害,下载的人也挺多的,导致ISA经常当机,后来直接上了个深信服的软件 – -|| 额滴天啊,安装完客户端以后,做啥都被监控到鸟.. – -|| 不过现在又没有弄了,估计是不想高的人心慌慌吧。
admin
Replied on: 2010 年 08 月 05 日, 14:36
当机.只能说明.使用不当.服务器的配置上出了问题.深信服属于网络监控软件.强大之处在于能监控网内用户的行为.当然在流量上也可以控制.不过远远没有isa里控制灵活.不过相对来说比isa要简单地多. Isa上要看到用户的屏幕的话.我认为还是实现不了的. Isa重在防火墙功能.能为局域网内的用户提供安全上的保障. 正像你所说的.再好的软件.都没有制度来的有有效.当然光要制度.还要网络管理员作什么 ?
Junan
Replied on: 2010 年 08 月 03 日, 23:58
这个太高深了~~
yesureadmin
Replied on: 2010 年 08 月 04 日, 09:43
明白了就哪么回事儿,下次写个限制带宽很下载什么的
7cbt
Replied on: 2010 年 08 月 03 日, 23:23
封杀的够厉害的,看着好长
Ebo
Replied on: 2010 年 08 月 03 日, 19:46
呵呵。。。QQ现在用的很广泛,客服不少也是Q
外企吧,对扣这么深恶痛绝。
yesureadmin
Replied on: 2010 年 08 月 04 日, 09:39
你去网上搜一下就知道了,不是我们痛恨,是老板有这些要求的
老张博客
Replied on: 2010 年 08 月 03 日, 16:24
为什么要封杀QQ呢。。呵。。。不过教程详细
yesureadmin
Replied on: 2010 年 08 月 03 日, 17:26
在我们这边,老板对QQ恨透了
睿智小超人
Replied on: 2010 年 08 月 03 日, 14:06
限制qq有什么用?
admin
Replied on: 2010 年 08 月 03 日, 14:49
很多企业不喜欢员工上班玩QQ就用得上了,当然这只是一个方法,还可以限制其它的一些应用,接着我还会写一些教程出来,欢迎观注
搜搜
Replied on: 2010 年 08 月 03 日, 11:46
这东西有什么用处??没看明白
admin
Replied on: 2010 年 08 月 03 日, 13:29
局域网管理,这是一个微软出的防火墙软件
软件盒子
Replied on: 2010 年 08 月 03 日, 10:33
蔡文胜是哪个?
admin
Replied on: 2010 年 08 月 03 日, 13:29
hao123的站长,现在卖给百度了
诺歌
Replied on: 2011 年 09 月 21 日, 11:20
蔡文胜是265,被谷歌投资。hao123是李兴平,被百度收购。
封QQ感觉还是要依协议。
风云春秋博客
Replied on: 2010 年 08 月 02 日, 20:35
我的个擦 这个适合在公司 以后管理员工也这么干
yesureadmin
Replied on: 2010 年 08 月 03 日, 08:38
是的啊,企业管理的杀手锏啊,配合AD来使用就更完美了
阿邙
Replied on: 2010 年 08 月 02 日, 19:40
沙你个发 我艹 这么长文章
admin
Replied on: 2010 年 08 月 02 日, 19:56
呵呵,写着写着照顾的东西多了就这样了,呵呵,你真神速