利用微软的ISA实现对局域网上网行为管理的设置方法

作者：陈力行 日期：2022-9-11
　　 ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且，通过本地而不是Internet为对象提供服务，其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时，可以将其配置成防火墙，也可以配置成Web缓存服务器，或二者兼备。
　　 ISA Server提供直观而强大的管理工具，包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具，ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至较小。
本文将介绍如何使用ISA封堵QQ等聊天软件
说到封锁QQ，这的确让不少网络管理员头疼，因为QQ可以使用多种协议通信，如：UDP、TCP、HTTP、HTTPS，而且支持使用代理。只要允许HTTP协议就可以登录，而在网络中又不能禁用所有的协议，那怎么办呢?
　　要禁止QQ登录，我们先看一下QQ的登录过程。在默认情况下，QQ是使用UDP协议向服务器发送请求的，也可以使用HTTP代理进行通信。我们不能禁止HTTP协议，所以较好的办法是封锁服务器IP，然后利用ISA 2006对HTTP检查机制来禁止QQ使用代理登录。
　　1.封锁服务器IP地址
　　首先要找到QQ服务器的IP地址，QQ的服务器不止一个，大家可以到网上找一下，这里我暂时用下面这几个：61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通过HTTP代理连接的服务器的URL，可以去找一下，也可以自己抓包看一下。这里我们用tencent.com这个地址。和刚才一样要定义源集、目标集、策略。源集和禁止访问网络的定义一样，内网的全部计算机。在定义目标集时也定义成为计算机集,然后添加访问规则。但是鉴于目前腾讯QQ服务器IP地址众多，并且每隔一段时间都会增加新的IP地址，这样导致通过ISA禁止QQ聊天软件的方法将会面临着较大的挑战。

 图9
　　2.禁止QQ使用HTTP代理登录
这里使用的是ISA Server的深层过滤机制，在“防火墙策略规则”中“无限制的Internet访问”上面点右键，选择“配置HTTP”，在打开的“为规则配置HTTP策略”上选择“签名”标签。添加一个新的签名。在“签名”中输入“tencent.com”。这样在使用代理登录时请求连接的URL中发现“tencent.com”就会阻止。

 
图10
　　3.应用策略
再调整一下这个策略的属性，点击“应用”就成功地禁止了QQ。要注意的一点是上面两种策略必须同时使用才能彻底禁止QQ，以后如果发现新的QQ服务器IP或是代理服务器的URL，随时加入策略中就可以了。
总结：上文我们介绍了如何使用ISA限制QQ聊天的方法，其中我们看到ISA其实是一个很强大的防火墙工具，但是相关的设置操作较为复杂，需要一定的专业知识和技能。但是随着网络应用的日渐复杂以及新的聊天软件如Skype等采用加密的协议进行传输，同时服务器IP地址不固定，采用P2P的方式搜索全世界的代理登陆的服务器，同时skype还可以利用电脑开放的任意一个端口进行登录，从而依靠ISA禁止Skype聊天软件的方法变得不再可行。目前国内一些上网行为管理软件如安企神（官方网址：http://www.wgj7.com/），在限制skype聊天软件方面采用基于协议与流量特征相结合的方法来控制Skype登录的方式更为有效，同时，安企神系统全部基于傻瓜式的操作界面，操作较之于ISA更为简单，同时在限制网络游戏、控制股票软件、屏蔽网址浏览、进行IP和MAC地址绑定以及防御局域网ARP病毒等方面都具有明显的领先优势。