ISA禁止使用P2P軟件課件

ISA

2004——Microsoft?InternetSecurityandAcceleration

(ISA)Server

2004禁止使用P2P軟件現(xiàn)在P2P軟件非常的流行，而且提供了多樣化的登錄方式。網(wǎng)絡(luò)管理員想封鎖它的時候，帶來很多不便。重點在于對P2P軟件所使用的協(xié)議來進行分析。解決問題最關(guān)鍵的是什么？QQ是一個很典型的例子,本身就支持UDP、HTTP和HTTPS這三種登錄方式,而且可以使用HTTP代理,這相當于只要你允許了HTTP協(xié)議,那么QQ就可以登錄。過去的基于包過濾的防火墻（無論硬件還是軟件防火墻）都是沒有辦法封鎖QQ的。ISAServer2004的深層HTTP檢查機制,可以實現(xiàn)對QQ的封鎖。禁止使用P2P軟件禁止使用P2P軟件經(jīng)過分析，檢測得出QQ的登錄過程是這樣的:在默認情況下，QQ先向服務器群的8000端口發(fā)送UDP數(shù)據(jù)包，從服務器群的回復中選擇一個最快的作為登錄服務器；如果沒有服務器回復UDP數(shù)據(jù)包，則使用TCP80/443端口來進行連接。因為QQ可以使用HTTP直接連接，而一般是不能封鎖HTTP協(xié)議。所以，封鎖QQ的最好辦法是封鎖它的服務器IP。但是QQ還可以使用HTTP代理登錄，所以，應該在ISAServer2004的HTTP檢查機制中設(shè)置禁止QQ的HTTP連接。禁止使用P2P軟件禁止QQ：1、封鎖QQ服務器群的IP地址。2、封鎖QQ的HTTP代理。思考，有什么要注意的？？？禁止使用P2P軟件禁止QQ:1、封鎖QQ服務（注意tencent會新增服務器,那么可以不允許使用UDP協(xié)議,達到效果。若公司需要使用UDP協(xié)議,那么你需要關(guān)注QQ的新服務器IP地址。）GOOGLE,BAIDU,for:“QQ服務器地址”器群的IP地址。QQ服務器群IP可在此頁面得到。禁止使用P2P軟件QQ服務器群IP地址如下:QQ服務器分為三類:1）、UDP8000端口類18個:速度最快，服務器最多；QQ上線會向這些服務器發(fā)送UDP數(shù)據(jù)包，選擇回復速度最快的一個作為連接服務器；45，61.144.238.146，61.144.238.156，61.144.238.150，51，202.104.129.254，202.104.129.252，202.104.129.253，03，202.96.170.166，218.18.95.221，219.133.45.15，35，61.141.194.200，61.141.194.224，202.96.170.164，63，219.133.40.216，218.18.95.2092、TCPHTTP連接服務器5個，使用HTTP80和443端口連接；3，218.18.95.153，218.18.95.171，218.18.95.221，61.141.194.223、會員VIP登陸服務器，使用HTTP443安全連接；2禁止使用P2P軟件禁止QQ:1、封鎖QQ服務器群的IP地址。拒絕:所有協(xié)議，從內(nèi)部到QQ服務器群。禁止使用P2P軟件禁止QQ:2、封鎖QQ的HTTP代理。在設(shè)置QQ使用ISAServer2004的HTTP代理服務后，成功登錄。禁止使用P2P軟件禁止QQ:2、封鎖QQ的HTTP代理。1）在允許QQ使用HTTP代理的點擊右鍵（QQ從哪條規(guī)則出去的,就在哪條策略上做）,選擇.配置HTTP.；禁止使用P2P軟件禁止QQ:2、封鎖QQ的HTTP代理。2）在彈出的.為規(guī)則配置HTTP策略.對話框中,點擊.簽名.頁,然后點擊.添加.；在彈出的.簽名.對話框中,輸入名稱為.QQ.,指定簽名搜索條件為在.請求URL.中搜索..,如果找到則阻止這個連接。禁止使用P2P軟件禁止QQ:2、封鎖QQ的HTTP代理。最后在防火墻策略頁點擊.應用.以保存修改和更新防火墻策略。禁止使用P2P軟件討論：在ISAServer2004中禁止QQ需要注意什么？禁止使用P2P軟件在ISAServer2004中禁止QQ需要注意什么？1、QQ如何運行？2、關(guān)于封鎖QQ的HTTP代理。只有QQ通過HTTP代理服務器登錄的時候，才會在HTTP連接請求中包含.請求URL.，如果是QQ直接通過HTTP協(xié)議連接服務器，那么是不會包含這個字段的。HTTP深層過濾機制只能針對QQ使用HTTP代理登錄時使用，因此必須結(jié)合封鎖QQ服務器群一起使用。禁止使用P2P軟件回顧