关于ISA网络中封锁QQ与迅雷的方法

在网上看到好多关于用isa 2004封锁ＱＱ封不住的问题，在这里，我想把我的经验分享出来。
　　我单位的内网现在就是用isa2004进行管理的，我给内网用户做的是防火墙客户端+webproxy客户端，没有
做SecureNAT客户端。isa2004做在了单位的内网里面。单位内网的IP地址是10.8.46.1-10.8.46.255,我的ISA服

务器的IP是10.8.46.45。子网掩码是：255.255.252.0,默认网关是：10.8.45.1.我建了一个dns，10.8.10.244,

将内网的dns请求转发到isp提供的dns服务器上。
　　我在ISA里建立了一条访问规则，允许内部用户访问外网，但是，我只开了三个协议，FTP,HTTP,HTTPS。
     这样，我内网的所有用户要访问外网的话，必须通过ISA 2004,访问出去的协议只有上面那三个，然后我对

允许内部用户访问外网的那条规则进行配置，在那条规则上用鼠标右击，然后在弹出的菜单中选择配置HTTP,在

弹出的对话框中，选择签名选项卡，在里面写上tencent.com，这样，所有内网用户通过isa2004代理上QQ就已

经被封死。我也没有做一些资料上写的那些封堵腾讯服务器IP的规则，这主要是因为所有的内网电脑都是用的

防火墙客户端+webproxy客户端的原因吧。我给内网电脑装的防火墙端客户端是老版本的，即isa2000带的客户

端，并非isa2004的客户端。具体原因是，以前用ISA 2000,后我将ISA2000升级为ISA 2004，由于内网电脑太多

，又是工作组环境，所以就没有换客户端。
　

　关于QQ使用80代理的问题，我是这么解决的，在为允许内部用户访问外网的那条规则配置HTTP的对话框中

，选择，方法选项卡，然后选择阻止指定的方法，然后添加这个方法CONNECT（注意大小写）。这回使用

HTTP80代理QQ就无法登录了，问题解决。或者再添加一个218.18.95的签名，同样是阻止这个218.18.95的签名

，这样就ＯＫ了。这个问题出现在使用SecureNAT客端的电脑上，后来，我统一换成了防火墙客户端+webproxy

客户端。不使用SecureNAT客户端后，使用tencent.com封锁QQ后，至今未发现有员工在未经本人允许情况下，

使用ＱＱ。
　　附：ISA　Server中的三种客户端为防火墙客户端(需要在电脑上安装isa防火墙的客户端)。　　　　

webproxy客户端，只要在IE浏览器中设置即可。SecureNAT客户端，这种客户端较简单，只要将默认网关指向

ISA服务器即可。这样的话，就必须建议内部DNS服务器，将内网用户的DNS请求转发到ISP的ＤＮＳ上即可。

ISA并不能完全封住迅雷。因为如果封住迅雷，很可能连网也上不了。只能将3076-3078这三个端口封住，让迅

雷不能查询侯选资源，这样，可以缓解一下迅雷下载时的带宽占用。
关于ＢＴ，只要在为外网访问规则配置http的设置里将BT种子文件的扩展名阻止一下。

补充，利用签名封堵ＢＴ
　　　当ＢＴ客户端下载时，必须进行tracker进行查询，tracker通过http　get命令的参数来接收信息，而响

应给对方的是Bencoded编码的消息。而在http请求的数据包中，包含了带有ＢＴ特征的头（User-

Agent):BitTorrent。鉴于此，在ISA 2004中，在允许访问外部网络的那条规则上，右击，选择配置http，在签

名里添加一个BT的签名，名称我起的是BT,查找范围为请求头，http头为User-Agent，签名为BitTorrent

关于迅雷,用天网在ＩＳＡ代理服务器上封信3076-3078这三个端口后，可以在ＩＳＡ里设置一下每个客户端较

大的ＴＣＰ和非ＴＣＰ连接数，进一步减少使用迅雷对内网的影响。