网管必知 严禁即时通信工具使用代理
MSN和QQ,交流沟通的好工具,拉近了人们的距离。然而,对于很多业务繁忙同时又不太依赖即时交流工具的公司来说,它们可是洪水猛兽,会严重影响员工的正常工作、公司的正常运转。
针对以上情况,很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题,由于网络办公的需要,网管并不能禁用HTTP协议,因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。
封堵原理
因为网管必须保证员工能正常上网办公,所以不可能禁用HTTP协议,这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念,如ISA Server2004,它不但可以对通信中的网络数据包进行检验,而且还可以检查数据包应用层中的内容,能对HTTP应用层数据进行过滤和检测。
| 天极软件专题专区精选 | |||
| Windows Vista专区 | POPO专区 | QQ专区 QQ挂机 | 注册表应用专区 |
| Flash MX 视频教程 | Photoshop视频教程 | 网页设计视频教程 | 照片处理数字暗房 |
| PPT动画演示教程 | Excel动画教程集 | Word动画演示教程 | Google专区 |
| 特洛伊木马专区 | 黑客知识教程专区 | 防火墙应用专区 | 了解Web2.0 |
| Windows API开发专区 | 网络编程专区 | VB数据库编程专区 | 图像处理与多媒体编程 |
ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息,就可将该数据包丢弃,以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。
解决办法
要想阻止MSN和QQ使用HTTP代理,最有效、最简单的办法就是过滤掉网络通信中的IM数据包,这种过滤措施是通过识别IM数据包中所包含的IM关键字来实现的,利用ISA Server 2004防火墙提供的“签名”功能很容易做到。
网络环境:由ISA Server 2004服务器统一管理的网络
封堵工具:ISA Server 2004防火墙
提示:ISA防火墙提供了很强大的网络监控和管理功能,如深度防护和过滤功能,利用这些功能可禁止MSN和QQ使用HTTP代理。当然要知道MSN和QQ数据包中所包含的特征关键字才行。
封堵步骤:获得MSN和QQ的关键字;启用ISA签名功能;启动“封堵”功能。
掌握“关键字”
做好以上准备工作后,就可以开始进行“封堵”的设置了,在找到MSN和QQ数据包中的关键字后,配置一下ISA防火墙即可完成设置工作。
因为ISA防火墙就是利用MSN和QQ数据包所包含的特征关键字,来过滤掉HTTP数据包中所包含的IM数据包,实现禁用HTTP代理的目的,因此必须首先找出MSN和QQ数据包中的关键字。
ISA Server 2004 提供的“签名”功能作用在HTTP应用层中,是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”,而QQ数据包使用的关键字是“tencent.com”,掌握了这些信息后,就容易利用“签名”功能封堵HTTP代理。
提示:在网上很容易查找到MSN、QQ数据包中的“关键字”资料,那别人是如何获得的呢?这个比较复杂,需要利用工具Sniffer对这些IM数据包进行监控和分析,如利用NAI公司推出的协议分析工具“Sniffer Pro”,由于操作比较麻烦,就不详细介绍了。
开始“封口”
掌握了聊天工具使用HTTP代理传出的数据包中的关键字后,我们就可顺藤摸瓜,利用这些“关键字”封住它们的“口”。
ISA防火墙就是利用内置的“签名”功能,来禁止MSN和QQ使用HTTP代理,因此必须要合理配置“签名”功能才行。
在ISA Server 2004服务器的控制台窗口中,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页(图1),现在就可以利用签名功能,禁用HTTP代理。
图 1
提示:安装ISA Server 2004网络防火墙后,默认是不允许任何用户访问外部网络的,因此要创建一条访问规则,允许内网中的员工可以访问互联网,这条规则就是刚才所提到的“允许用户访问外部网络”规则。
1.禁用MSN
禁止MSN使用HTTP代理,只要过滤掉包含有关键字“MSMSGS”的数据包即可。
在“签名”标签页中,点击“添加”按钮,弹出签名配置对话框(图2),在“名称”栏中输入“MSN Messenger”,然后在“查找范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“MSMSGS”,最后连续两次点击“确定”按钮即可完成设置。
图 2
2.禁用QQ
和禁止MSN使用HTTP代理一样,禁止QQ使用HTTP代理,只要过滤掉包含有关键字“tencent.com”的数据包即可。
在“签名”标签页中点击“添加”按钮,弹出签名配置对话框(图3),在“名称”栏中输入“QQ”,然后在“查找范围”下拉列表框中选择“请求URL”,接着在“签名”栏中输入“tencent.com”,最后两次点击“确定”按钮完成设置。
图 3
3.禁用其他聊天软件
禁止其他IM工具使用HTTP代理的方法也是相同的,只要知道该IM数据包中所包含的特征关键字,然后在ISA防火墙的“签名”功能中进行相应配置即可。
最后在ISA Server 2004防火墙策略窗口中选中“允许用户访问外部网络”规则,点击上方的“应用”按钮,使以上的签名配置生效,这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。
总结:禁止MSN和QQ使用HTTP代理的原理非常简单,关键就是要知道IM数据包中的特征关键字,然后配置ISA防火墙的签名功能进行相应的过滤即可。
小知识:“代理”为聊天软件服务的原理
虽然不同的IM工具使用的通信协议也各不相同,但几乎所有的IM工具都支持HTTP代理功能,这是因为一旦网管将IM工具封杀,就无法登录,这时就可以利用HTTP代理,将IM工具的数据包转换成HTTP数据包,来突破防火墙的限制,毕竟大多数局域网是不会封杀HTTP协议的。
- · 暴风影音 V6.4.8.3 绿色版
- · 无须重装 两步修复受损WMP 10
- · 新鲜玩法:用Winamp免费观看网上电影
- · 音频切换器 让暴风影音更出色
- · 网管员安全训练营--让ftp服务器更安全
- · 八大技术利弊解析!无线网络安全迫在眉睫
- · 网管员必读 10分钟恢复网络服务有绝招
- · 畅游网络世界的“十大安全技巧”
- · 网管必知 如何设置虚拟主机访问权限
- · windows管理员的六大必备下载工具
- · 千万别小看!上网也有“隐形战斗机”
- · 网络安全diy 不雇网管也能维护网络
- · 轻松让你的家庭网络远离各种潜在危险
- · windows 2003和xp存隐藏的开放端口
- · 拒绝恶意软件 安全上网必备三大利器
- · 网络安全基础 教你怎样关闭网络端口
- · 远程、移动用户连接网络十大基本法则
- · 训练营中的“酷客” 网络安全的中坚一族
- · 练就火眼金睛 关闭包藏祸心的危险端口
- · 防范技巧:教你五招轻松保障网络安全
- · 跟我学tcp端口:作用,漏洞,操作详析
- · 金钟罩护身 个人电脑安全二十招秘技
- · 不可不知——黑客445端口攻击防范必知
- · php.mvc的模板标签系统之初识php.mvc
- · php.mvc的模板标签系统之模板标签库
- · php程序与服务器端通讯方法小结
- · 间谍软件对数据保护构成多大威胁?
- · 高级php v5 对象研究
- · 是与非 如何判断真真假假的安全警告
- · 用php写的身份证验证程序
- · 浅议php程序开发中的模板选择
- · 初学者必读 php常用开发工具分析
- · 微软间谍软件登陆苹果 MAC OS重蹈覆辙?
- · 针对php木马攻击的防御之道
- · 小编推荐:小巧实用间谍软件清理利器
- · 用php编程读取汉字点阵数据
- · 微软总部相中15岁重庆网络奇才
- · 微软免费动作频频:网络广告?遏阻Google?