ISA禁止使用P2P软件课件

ISA

2004——Microsoft®InternetSecurityandAcceleration

(ISA)Server

2004禁止使用P2P软件现在P2P软件非常的流行，而且提供了多样化的登录方式。网络管理员想封锁它的时候，带来很多不便。重点在于对P2P软件所使用的协议来进行分析。解决问题最关键的是什么？QQ是一个很典型的例子,本身就支持UDP、HTTP和HTTPS这三种登录方式,而且可以使用HTTP代理,这相当于只要你允许了HTTP协议,那么QQ就可以登录。过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁QQ的。ISAServer2004的深层HTTP检查机制,可以实现对QQ的封锁。禁止使用P2P软件禁止使用P2P软件经过分析，检测得出QQ的登录过程是这样的:在默认情况下，QQ先向服务器群的8000端口发送UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复UDP数据包，则使用TCP80/443端口来进行连接。因为QQ可以使用HTTP直接连接，而一般是不能封锁HTTP协议。所以，封锁QQ的最好办法是封锁它的服务器IP。但是QQ还可以使用HTTP代理登录，所以，应该在ISAServer2004的HTTP检查机制中设置禁止QQ的HTTP连接。禁止使用P2P软件禁止QQ：1、封锁QQ服务器群的IP地址。2、封锁QQ的HTTP代理。思考，有什么要注意的？？？禁止使用P2P软件禁止QQ:1、封锁QQ服务（注意tencent会新增服务器,那么可以不允许使用UDP协议,达到效果。若公司需要使用UDP协议,那么你需要关注QQ的新服务器IP地址。）GOOGLE,BAIDU,for:“QQ服务器地址”器群的IP地址。QQ服务器群IP可在此页面得到。禁止使用P2P软件QQ服务器群IP地址如下:QQ服务器分为三类:1）、UDP8000端口类18个:速度最快，服务器最多；QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器；45，61.144.238.146，61.144.238.156，61.144.238.150，51，202.104.129.254，202.104.129.252，202.104.129.253，03，202.96.170.166，218.18.95.221，219.133.45.15，35，61.141.194.200，61.141.194.224，202.96.170.164，63，219.133.40.216，218.18.95.2092、TCPHTTP连接服务器5个，使用HTTP80和443端口连接；3，218.18.95.153，218.18.95.171，218.18.95.221，61.141.194.223、会员VIP登陆服务器，使用HTTP443安全连接；2禁止使用P2P软件禁止QQ:1、封锁QQ服务器群的IP地址。拒绝:所有协议，从内部到QQ服务器群。禁止使用P2P软件禁止QQ:2、封锁QQ的HTTP代理。在设置QQ使用ISAServer2004的HTTP代理服务后，成功登录。禁止使用P2P软件禁止QQ:2、封锁QQ的HTTP代理。1）在允许QQ使用HTTP代理的点击右键（QQ从哪条规则出去的,就在哪条策略上做）,选择.配置HTTP.；禁止使用P2P软件禁止QQ:2、封锁QQ的HTTP代理。2）在弹出的.为规则配置HTTP策略.对话框中,点击.签名.页,然后点击.添加.；在弹出的.签名.对话框中,输入名称为.QQ.,指定签名搜索条件为在.请求URL.中搜索..,如果找到则阻止这个连接。禁止使用P2P软件禁止QQ:2、封锁QQ的HTTP代理。最后在防火墙策略页点击.应用.以保存修改和更新防火墙策略。禁止使用P2P软件讨论：在ISAServer2004中禁止QQ需要注意什么？禁止使用P2P软件在ISAServer2004中禁止QQ需要注意什么？1、QQ如何运行？2、关于封锁QQ的HTTP代理。只有QQ通过HTTP代理服务器登录的时候，才会在HTTP连接请求中包含.请求URL.，如果是QQ直接通过HTTP协议连接服务器，那么是不会包含这个字段的。HTTP深层过滤机制只能针对QQ使用HTTP代理登录时使用，因此必须结合封锁QQ服务器群一起使用。禁止使用P2P软件回顾