关于怎样禁止企业QQ上网的安全策略设置－本人的实践(页 1) - 【服务器技术】 - 我是网管论坛 - 畅通网络因为有我

hkhllyz 发表于 2008-4-23 17:20

关于怎样禁止企业QQ上网的安全策略设置－本人的实践

偶所在公司开了一个新的分公司，使用的电脑不多，20几台而已，是典型的代理服务器共享ADSL上网架
构，但是域控制同时也安装在服务器上。前几天，几位大领导前来视察，发现有人在上QQ，于是发布指令\MUF.a\
，要禁掉QQ，无法，偶只好想办法了。SU*f"V6G
经过一番对兼容性，易施行性，安全性方面的考较，偶选择了安全策略封掉QQ的方式，这种方式最累f8ZE pjMu
的就是找出一个一个的QQ代理服务器，网上找的太多太杂，，多是C类地址，一个一个地添加阻止好累，
最后偶偷了个懒，选择B类地址段来封，目前除了百度的地址和QQ服务器的地址在同一个地址段，导致封T$_L4t8o-a
掉后打不开外，其它的无关网页暂未发现有打不开的。其实这也是无奈之举，因为QQ的服务器会在一个BOy5OC-SZ;do@
类地址段内不停地变化，只好统统封杀。

tHs+c8z{ g[(m
  因为偶在深圳，所以深圳的网友就不必再测试了，直接导入附件里的安全策略就可以，而其它地区可以
先测试下，应该没问题......

;B-W8Jc!I$gE8B
!D2ulx`Si
需封堵的IP：*f/KX2I;J1P_?:{
ab3M#l L
UDP:8000:

219.133.0.0 ^G&C:d/tc]!b}E0B
58.60.0.0
58.61.0.0
58.251.0.00PE }'m+B(|"V%T6}X
121.14.0.0Lx AG#m c7p*Y
124.115.0.0A+VF$P2k
218.1.72.0:rgP9V{(G#n&L
+cJ0b[!i0T\0`L
TCP:80:

219.133.0.0
58.251.62.0
209.62.0.0
121.14.74.0
58.60.0.0jH[WR)t
58.61.0.0
218.17.0.07vZ!b D3MyW
218.18.0.0$CxHX&R;|
.dK\&G0q"|g|
TCP:443S-a__l
WV&P a"qVRS0}
vip:&Q3{*HN)F*Xa
aw zn4u[ F
58.60.9.58w:l&A0A$Ag?8ge
218.17.209.42J#H)| ja{7W7Os
l({CuR

[attach]95404[/attach]

0l7LwP)u
转个帖子，大家可以看下怎么做基本的安全策略设置（感谢帖子原作者）：#`C;_bQ@%P

一、腾讯QQ的工作方式
1、查看QQ登录方式的方法
以QQ2005betaII为例（以下同）。
打开QQ面板，点左下角“菜单”→“个人设置”→“系统设置”→“登录设置”，就可查看到当前QQ的登
录方式和所登录的服务器。sFNNg/m[j*W
2、  QQ的工作方式
主要有四种：
①       UDP方式
这是最普遍的一种方式，客户端使用4000端口，服务端采用8000端口
②       会员VIP服务器登录方式+s1m9K'GBrRC
这是连通性最强的一种方式，可以通过大部分防火墙的限制，服务端使用443端口
③       TCP方式
禁用QQ时碰到的最麻烦的一种方式，使用TCP的80端口，而网页浏览也是使用80端口，总不成为了禁用QQN S]A+be{G
连网页浏览也禁用了吧
④       代理
包括HTT代理与Socks5多种，关于使用代理突破网络封锁的方式，连网警都无能为力，我们同样也没有办#v7~Eu@*w7VU
法。不过如果我们的学生能自己找到利用代理破解QQ禁用的方法，对这样的学生我们还是应该予以鼓励吧
（苦笑ing~~~）。`,C8_wcH
二、 QQ禁用思路
1、 UDP端口的禁用)JOz.`4U.Hn/YZD!Mi
① 关闭发向服务端口8000的向外请求
② 关闭来到本地4000端口的向内请求w'i b~f"u3C$p
2、会员VIP登录的禁用"^%Hj D xY
关闭向服务器端口443的请求，协议方式为TCPh+}5T0X"j5k4] RD!h [
3、TCP方式的禁用2p!T2Y+Z,[#@:d/O
普通用户使用TCP登录时一般采用80端口，80端口同样也是网页浏览的端口，当然不能禁。首先我针
对QQ的每一个服务器IP地址予以封锁，但太繁琐，效果也不是很好，因为QQ有二十多台服务器，并且还在E`5N o{Ob n#yN"T ?
不断增加中，之后我发现QQ服务器IP地址集中在三个C类网段上，分别为 218．18．95．0、219．133．49
．0和219.133．38．0，针对这三个网段禁止本地机器与它们来往的通讯，那就简单得多，同时据我观测
，新增的QQ服务器都是这三个网段中的地址，所以即使QQ新增了服务器，禁用QQ也是可行的。6H N C2u!RT
4、关于QQ代理的禁用h7BB6v!q*y
如果使用本地代理的话，那好说，只要在本地代理服务器上使用以上三种方法即可使所有通过本地代'nI2? _U?P,e{
理连网的客户端实现对QQ的禁用，问题是我们现在使用的均是网关型的透明代理，这就没有办法了。
三、禁用QQ实战Pic;U)k-` _
实验机房均通过Internet连接共享的方式共享上网，均为透明网关型代理，一般没有安装代理软件，
采用系统一般为Windows 2000的高级服务器版，故在实际操作中选用Windows 2000中自带的“本地安全策
略”工具来实现QQ禁用，这样不要另外安装任何新的软件。如果代理服务器采用Windows 98 加代理软件
的话，可根据QQ禁用思路予以设置，同样比较简单。A-q&O%t7E!{+tX
1、打开“本地安全策略”+FyGC3hAbu
在开始菜单中，选“程序”→“管理工具”→“本地安全策略”，在界面左边右击“IP安全策略”，
选“创建IP安全策略”即可打开IP安全策略向导，点“下一步”将此条Ipsec取一个好记的名字，如禁用@R Hxb'D-]LqW
QQ。然后一路默认至出现一个警告窗口，不理它，选“是”进入下一步，点“完成”即可进入“禁用QQ属p_Y A7l-q;D
性”窗口。
在“禁用QQ属性窗口”中，点“添加”至下一步，一路默认至出现警告窗口，同样不理它，选“是”
即可打开“安全规则向导”窗口。H%zkZr mm
在“安全规则向导”窗口中，点“添加”，在出现的界面中给“IP筛选器列表”取个名字如“禁用QQb2N,u.py CR?L
”，再在此界面去掉对“使用添加向导”的选择，然后点“添加”即可打开“筛选器属性”配置界面。
具体配置参数见下表：
通讯协议       源端口       目标端口       源地址       目标地址4bFH"Xyd7L'L
UDP          任何          8000       我的IP地址       任何IP地址
UDP          任何          4000       任何IP地址       我的IP地址
任何          任何          任何          我的IP地址       218．18．95．0b3sAD#gN#dT]
任何          任何          任何          218．18．95．0 我的IP地址
任何          任何          任何          我的IP地址       219．133．49．0
任何          任何          任何          219．133．49．0 我的IP地址-q;bI#Q _v ? t.Q
任何          任何          任何          我的IP地址       219．133．38．0
任何          任何          任何          219．133．38．0 我的IP地址
TCP          任何          443          我的IP地址       任何IP地址
全部参数配置完成之后，回到“安全规则向导”，选中“禁用QQ”，点“下一步”，在出现的界面中去掉
对“使用添加向导”的选择，点“添加”，给筛选器操作取个名字如“QQ筛选器“，一路默认到“筛选器/o}.JsdS
操作”，选中“阻止”，一路回车回到“筛选器操作”界面，选中新建的“QQ筛选器”，点“下一步”至
“完成”。
2、IP安全策略（Ipsec）的导入与导出
在每台服务器进行Ipsec的配置太过麻烦，此时我们可将在一台服务器上所作的配置通过Ipsec的导出E7y{&}8q'{@k5Y9O
功能保存成一个文件，传到FTP服务器上，另一台服务器上也想禁用QQ的话，可从FTP服务器上将这个配置6A |0@u5T
文件下载到本地机器，使用Ipsec的导入功能来实现，而不需要重新配置。具体做法如下：
在“本地安全策略”中，右击“IP安全策略”→“所有任务”→“导出策略”，即可将已配好的策略保存2Q-}[3q6e,x;nZ
成文件，如果选择“导入策略”即可完成导入。yg5D1}C-k[H` k&v ]5a
3、Ipsec的指派s/@6U1j {u9p"}2E'E
在默认情况下，所导入的策略并未发生作用。此时应在“Ip安全策略”上单击，在右边找到“禁用QQ”项
右击，在出现的右键菜单中选“指派”即可。
至此，禁用QQ的操作就全部完成了，看到屏幕上QQ的小企鹅在拼命挣扎，心中有说不出的痛快，于是世界}0UNPd$h V2y
清净了，实验室少了许多的喧闹。当然下课之后，我们又可以不指派导入的策略，此时QQ小企鹅又会欢快,r-A(Eq:q:w_m
的笑了。
i'AZ!su.{K5bH#J(i]
[[i] 本帖最后由 hkhllyz 于 2008-4-23 18:18 编辑 [/i]]

黄巧文 发表于 2008-4-23 18:26

看看如果管用帮你定其来了

c3_oyb 发表于 2008-4-23 19:47

使用WINDOWS软件限制策略的哈希文件规则不好吗，将各个QQ版本的QQ.EXE取其哈希值不更方便吗？

hkhllyz 发表于 2008-4-24 08:12

楼上的，Hash值很容易改的，稍微改一下就又可以上了。

奇迹网吧 发表于 2008-4-28 10:30

对不起，我直接修改注册表。。

lgf198661 发表于 2008-4-28 11:27

很管用，可惜我不是在深圳

ericlo 发表于 2008-4-28 15:00

很管用，可惜我不是在深圳

流鼻涕 发表于 2008-4-29 09:27

佩服楼主的精神!!!!:victory:

ben6699 发表于 2008-4-29 09:43

看看如果管用帮你定其来了

嬅嬁媂の妖娚 发表于 2008-4-29 09:47

学习咧，收藏咧，不过QQ做为中国第一大IM软件，俺觉得还是很好用的，方便交流嘛！！！~
9M lqG:XF"p'~
:lol

唔啦啦 发表于 2008-5-1 22:51

局域网监控是个大问题啊~~~

┆兲譩弄朲┆ 发表于 2008-5-2 16:02

学习咧，收藏咧，方便交流！！！~

唐果发表于 2008-5-2 18:35

我之前公司的老板也是这样，要让部分的员工有上QQ的权限，一部分要给禁掉3kY^ C.}T
晕死我了

haron 发表于 2008-5-3 01:28

采购一台上网行为管理方面的设备不是可以了吗，直接封特征码与走非http的80、443端口等！

fxg9152 发表于 2008-5-6 09:47

好东西呀.正需要呢.谢谢

jiaozhu5545 发表于 2008-5-6 13:41

用封锁进程的软件吧，非常容易实现的，也不用那么麻烦了，

fove静儿 发表于 2008-5-16 15:01

以前也被这个问题烦躁过不过我用的是聚生限制了同时也可以限制别人下载

redwolfaaaa 发表于 2008-5-16 17:44

学习学习再学习

abc_159 发表于 2008-5-16 18:48

还是用网管软件方便些，而且功能更多。

fynet1 发表于 2008-5-16 20:47

唆?;i rZY;~;S2r#E
唆
唆
唆#t?x+f BHW's+l
唆
唆\j[V wn7e
唆Mr_)BF!yn
唆
唆
唆
唆
唆

页: [1] 2 3 4 5 6

我是网管论坛's Archiver

关于怎样禁止企业QQ上网的安全策略设置－本人的实践