近期以来，在网上看到好多关于用isa 2004封锁ＱＱ封不住的问题，在这里，我想把我的经验分享出来。
+| J7@%e._6]1K)b网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术　　我单位的内网现在就是用isa2004进行管理的，我给内网用户做的是防火墙客户端+webproxy客户端，没有做SecureNAT客户端。isa2004做在了单位的内网里面。单位内网的IP地址是10.8.46.1-10.8.46.255,我的ISA服务器的IP是10.8.46.45。子网掩码是：255.255.252.0,默认网关是：10.8.45.1.我建了一个dns，10.8.10.244,将内网的dns请求转发到isp提供的dns服务器上。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术0Q/Y!e%g$S6{#d
　　我在ISA里建立了一条访问规则，允许内部用户访问外网，但是，我只开了三个协议，FTP,HTTP,HTTPS。#i0z.g8](~:u#w'q
    这样，我内网的所有用户要访问外网的话，必须通过ISA 2004,访问出去的协议只有上面那三个，然后我对允许内部用户访问外网的那条规则进行配置，在那条规则上用鼠标右击，然后在弹出的菜单中选择配置HTTP,在弹出的对话框中，选择签名选项卡，在里面写上tencent.com，这样，所有内网用户通过isa2004代理上QQ就已经被封死。我也没有做一些资料上写的那些封堵腾讯服务器IP的规则，这主要是因为所有的内网电脑都是用的防火墙客户端+webproxy客户端的原因吧。我给内网电脑装的防火墙端客户端是老版本的，即isa2000带的客户端，并非isa2004的客户端。具体原因是，以前用ISA 2000,后我将ISA2000升级为ISA 2004，由于内网电脑太多，又是工作组环境，所以就没有换客户端。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术8a9^8n/F-};w/n$]&J&x
　　关于QQ使用80代理的问题，我是这么解决的，在为允许内部用户访问外网的那条规则配置HTTP的对话框中，选择，方法选项卡，然后选择阻止指定的方法，然后添加这个方法CONNECT（注意大小写）。 这回使用HTTP80代理QQ就无法登录了，问题解决。或者再添加一个218.18.95的签名，同样是阻止这个218.18.95的签名，这样就ＯＫ了。这个问题出现在使用SecureNAT客端的电脑上，后来，我统一换成了防火墙客户端+webproxy客户端。不使用SecureNAT客户端后，使用tencent.com封锁QQ后，至今未发现有员工在未经本人允许情况下，使用ＱＱ。
6Z%o%K7C/?$_5X　　附：ISA　Server中的三种客户端为防火墙客户端(需要在电脑上安装isa防火墙的客户端)。　　　　webproxy客户端，只要在IE浏览器中设置即可。SecureNAT客户端，这种客户端最简单，只要将默认网关指向ISA服务器即可。这样的话，就必须建议内部DNS服务器，将内网用户的DNS请求转发到ISP的ＤＮＳ上即可。
7Q%|/i:E:p6i8].u网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术附图片：
/O8o.J*t%L+p.M6J Y我是网管论坛[attach]56576[/attach]
"e(G2l'W5{9r:z我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！勾选阻止包含windows可执行内容的影响将导致.exe文件无法下载
(?8s,[%s6`.N&E网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术[attach]56577[/attach]bbs.54master.com#Y }&j.W$i4|+W
在这里要注意的是，如果勾选阻止包含不明确的扩展名的请求此项的话，很可能造成在论坛上无法下载附件。或者在一些下载站点下载东西无法下载- 畅通网络 因为有我*r/R4P)W4x ~0D.L1q
[attach]56578[/attach]网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术-D9A.p'_1t
在这时添加QQ的HTTP签名，这里，我只添加了一个，即tencent.com，其他的如MSN等大家可以自行添加。另外，附常应用程序签名（转自Microsoft)。见下面我是网管论坛 u8]2q#V7q4T-k(R
常用应用程序签名
.E&o3t3e2L:q `-w网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术
!z0K6I$p8N'p(}bbs.54master.com签名下表提供了一些常用应用程序及其签名的示例。
6W"z$G0r.Q8L3l- 畅通网络 因为有我重要说明
)D%O)D#T!v0b'P.`:O我是网管论坛头可能会随着时间的变化而更改，特别是在应用程序的新版本发布时。
!_;]4J"y4W+X(Vbbs.54master.com
2n&v5q2w)w!b.B+Q2g网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术[attach]57724[/attach]6l6x0q7I!j"m
其他参数下表提供了其他一些描述应用程序特征的参数。
!H4Y"Y6I2M[attach]57725[/attach]
7}7l7g4z8b网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术                                                    P2P-Agent（上表格框内容）

我单位的内网里共有四台ISA，做成了背靠背防火墙，我是网管论坛:w!A(z,T$M,x/^1l9t*H
我单位的网络为10.8.x.x的网段，我上面写的只是其中一部分使用的。其实还有10.8.44.1-10.8.44.255
9z$I&_ o.g4~&U10.8.45.1-10.8.45.255　10.8.47.1-10.8.47.255这三个网段，这三个网段的ＩＳＡ服务器的设置是一样的，帮不赘述
8E1r$C)s,G5E9K5j/j%{10.8.10.x这个网段是老总及高层们用的网段，为单位主干网

经验之谈,很不错学习了..........谢谢

ISA并不能完全封住迅雷。因为如果封住迅雷，很可能连网也上不了。只能将3076-3078这三个端口封住，让迅雷不能查询侯选资源，这样，可以缓解一下迅雷下载时的带宽占用。- 畅通网络 因为有我(P6l;@/g$U(O9M7w+w'[-u
关于ＢＴ，只要在为外网访问规则配置http的设置里将BT种子文件的扩展名阻止一下。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术0?3U+J3y*_6^&k5g
补充，利用签名封堵ＢＴ我是网管论坛2H$e&x#B'w'i:{8X
　　　当ＢＴ客户端下载时，必须进行tracker进行查询，tracker通过http　get命令的参数来接收信息，而响应给对方的是Bencoded编码的消息。而在http请求的数据包中，包含了带有ＢＴ特征的头（User-Agent):BitTorrent。鉴于此，在ISA 2004中，在允许访问外部网络的那条规则上，右击，选择配置http，在签名里添加一个BT的签名，名称我起的是BT,查找范围为请求头，http头为User-Agent，签名为BitTorrent
(i"z#Q8d0^$]我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！
(d(f)B"g7O)~- 畅通网络 因为有我[ 本帖最后由 blazewind 于 2007-4-16 10:32 编辑 ]

赞一下,在特定的客户端类型中,使用你这种方法相当有效的.
1V)y,U,B.q5Z4}'U's&H1O+i- 畅通网络 因为有我不过,还要考虑到QQ公司在技术上面的发展,像有些VIP用户登陆的方式又有所不同.bbs.54master.com.R5^+j9v-X9L6@/`
*H5T-z G1}3T c
如果楼主能把自己的拓朴也简单的贴出来,并配以文字说明,会更加完善你的这个贴子的,偶也可以帮你整个推荐贴子
"X.P+M$p*J- 畅通网络 因为有我bbs.54master.com/m c3K+h'R
另外,有做个ISA方面(技术应用,以及方案架构)的专题或是子论坛,不知你有没有兴趣呢.做的好,偶可以帮忙推荐ISA-MVP.

不错，是好方法。。。先学习一下。偶不在企业做我是网管论坛，企业网管的天堂，网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛！6e5l,g6f9D2O0^1b1C$\7^

5|.~0J;x)y9s'gbbs.54master.com   
;?.o+C%K:Y%u#T M/[1F网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术    先学习方法。。。

回头我会专门开个贴子，说明一下我现在单位的具体情况的。但是，贴子可能会比较长

是个好帖子。我就是在公司做的。正在研究这方面的问题。多谢楼主

关于迅雷，用天网在ＩＳＡ代理服务器上封信3076-3078这三个端口后，可以在ＩＳＡ里设置一下每个客户端最大的ＴＣＰ和非ＴＣＰ连接数，进一步减少使用迅雷对内网的影响。

不错啊。。。这个东西是好东西