ISA禁止QQ

对企业网管来说，工作时间内禁止员工使用QQ聊天工具做一些与工作无关的事情，是一件常规工作。不过禁止QQ的方法有多种，有的人在ISA访问规则中直接将QQ的服务器

http://www.qq.com/*或者http://tencent.com/*给禁用，这样一来公司员工是不能聊QQ了，但是连访问QQ网站都不行了,做的也太绝了点。还有的人想通过协议来实现对QQ的禁用，那就更加麻烦了

其实禁用QQ是有更好的方法的，为了找到更好的方法，我们先对QQ的工作原理做个分析。

1. QQ的登录方式

QQ 可以支持 UDP、HTTP 和 HTTPS 这三种登录方式，而且可以使用 HTTP 代理，这相当于只要你允许了 HTTP 协议，那么 QQ 就可以登录。

在默认情况下，QQ 先向服务器群的 8000 端口发送 UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复UDP数据包，则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直接连接，而一般是不能封锁 HTTP 协议的，所以，封锁 QQ 的最好办法是封锁它的服务器 IP，但是 QQ 还可以使用 HTTP 代理登录，所以，还得在 ISA Server 2004 的 HTTP 检查机制中设置禁止QQ 的 HTTP 连接。 1) UDP 8000端口

UDP工作速度最快，服务器最多；QQ 上线会向这些服务器发送 UDP 数据包，选择回复速度最快的一个作为连接服务器。UDP 8000 端口类 18 个，他们分别是：

61.144.238.145 61.144.238.146 61.144.238.156 61.144.238.150 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253

61.141.194.203 202.96.170.166 218.18.95.221 219.133.45.15 61.141.194.200 61.141.194.224 202.96.170.164 202.96.170.163 219.133.40.216 218.18.95.209

2) TCP HTTP连接服务器（列举5个），使用HTTP 80和443端口连接。

218.17.209.23 218.18.95.153 61.141.194.227 218.18.95.171 218.18.95.221

3) 会员VIP登陆服务器，使用HTTP 443安全连接()。

例如：218.17.209.42

综上所述利用协议实现对QQ的禁用根本是行不通的。

2. 禁用QQ的思想

首先需要建立Internet访问规则选择为http和DNS协议，让当前的企业用户能够成功的访问公网，并能成功的使用QQ软件，然后再通过ISA 2004的深层检测功能实现对QQ的过滤。

过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁 QQ 的，但是利用 ISA Server 2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。 3. 具体操作

创建支持http协议和DNS协议的访问规则在此就不再详细叙述，在后续的文章中将会推出，请关注本blog谢谢大家

在创建好Internet访问规则的基础上，右击该规则选择“http配置”然后选择“签名”选项卡如下图，添加一条签名规则，并将其签名写为“tencent.com”

注意：QQ的签名一般使用的是tencent.com。如果该签名无效，则需要利用数据分析工具抓紧QQ数据包分析具体的签名。

最后点击“确定”关闭窗口，并且不要忘记“应用”该策略。然后在内部网络中访问QQ的WEB仍然可以继续访问，但是想登录QQ就不行了，并且使用代理也无法登录QQ。

使用ISA Server 2004禁止P2P软件

现在P2P软件非常的流行，而且提供了多样化的登录方式，这给我们做网管的想封锁它的时候，带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下，利用ISA Server 2004的增强的HTTP协议检查功能，来完全的禁止它们。

既然要封锁它们，首先要对QQ和MSN使用的协议来进行分析，知己知彼，才能在封锁与反封锁的较量中获胜。

首先介绍MSN。MSN使用TCP 1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录，但是在使用HTTP代理的情况下，MSN可以很轻松的突破1863端口的限制。 再说说QQ。QQ的登录过程是这样的，在默认情况下，QQ先向服务 器群的8000端口发送UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复，则使用TCP 80/443端口来进行连接。因为他可以使用HTTP直接连接，而一般是不能封锁HTTP协议的，所以，封锁QQ的最好办法是封锁它的服务器IP。但是如 果使用HTTP代理登录，那么还是可以上QQ的。

QQ的服务器的地址如下， 最后更新于2004年6月1日。不过tencent随时可能增加服务器，但是应对政策很简单，如果能上QQ，你在QQ的系统属性里面看看当前登录服务器的IP，然后添加进来就是了。 QQ服务器分为三类：

1、UDP 8000端口类18个：速度最快，服务器最多。

QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。 61.144.238.145 61.144.238.146 61.144.238.156 61.144.238.150 202.104.129.251 202.104.129.254 202.104.129.252 202.104.129.253 61.141.194.203 202.96.170.166

218.18.95.221 219.133.45.15 61.141.194.200 61.141.194.224 202.96.170.164 202.96.170.163 219.133.40.216 218.18.95.209

2、TCP HTTP连接服务器5个，使用HTTP 80 和443端口连接

这4个服务器名字均以tcpconn开头，域后缀是tencent.com，域名与IP对应为 tcpconn tcpconn3 218.17.209.23 tcpconn2 tcpconn4 218.18.95.153 61.141.194.227

218.18.95.171 218.18.95.221

3、会员VIP登陆服务器，使用HTTP 443安全连接 服务器IP 218.17.209.42

在过去的时候，对于使用HTTP代理来上QQ和MSN的情况，没有什么办法。不过现在不一样了，ISA

Server 2004增强的HTTP协议状态检查，可以很完美的封锁使用HTTP代理上QQ和MSN的情况。

以下首先给大家介绍一下封锁利用HTTP代理上Windows Messanger的情况，译自Greg Mulholland的“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”，不过原文比较复杂，我简化了一下。

Greg Mulholland通过设置防火墙策略，只允许这个客户只能使用HTTP协议，所以，Windows Messenger不能登录。

但是这个客户使用Windows Messenger的HTTP代理，

于是就可以登录了。

Greg Mulholland通过在HTTP协议中配置签名，

（注意，下图是重点）Windows

Messenger连接HTTP代理服务的时候，发送的数据包的请求头中的User-Agent字段，关键字为MSMSGS，

通过勾选这个定义项，ISA Server 2004会阻止具有这个特性的HTTP数据包。

于是，这个客户不能登录了。

QQ通过HTTP代理服务连接时，发送的数据包同样具有关键字特性，我通过sniffer分析了一下，注意看下图，这是我监听到的数据包的一部分，这个地方，显示了QQ通过HTTP代理服务连接到的QQ服务器URL。

同样的，我做了一个完整的测试：

首先我在ISA Server 2004中设置防火墙策略，只允许192.168.0.41访问外部的HTTP和HTTPS服务。

这时QQ不能通过UDP方式来连接了，于是我设置QQ的HTTP代理，

QQ通过ISA Server 2004的HTTP代理服务成功登录。

现在我来配置HTTP策略，

在“Signatures”页，我添加了一个名为QQ的签名项，指定在Request URL里面搜索“tencent.com”，如果匹配则ISA Server 2004会丢弃该数据包。

此时，QQ已经不能通过代理服务器登录了。

需要注意的是，只有QQ通过HTTP代理服务器登录的时候，才会在数据包内包含“Request URL”，如果是QQ直接通过HTTP协议连接服务器，那么是不会包含这个字段的，所以，这个HTTP签名项只能针对QQ使用HTTP代理登录时使用。不过使用这个HTTP过滤，结合封锁QQ的服务器IP，可以很完美的封锁掉QQ。

以下链接是从微软网站上找到的，常用的网络应用程序的签名项，不过，新版本的软件可能会修改这个签名项。

http://www.microsoft.com/china/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx（中文）

http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx （英文）

本文来源：https://www.bwwdw.com/article/d66x.html