1、阻断QQ的连接
局域网中禁止QQ的问题比较烦琐,传统的解决方法是通过对QQ的端口和服务器地址进行封堵。在阻断8000端口的连接后,发现QQ还会通过UDP的8001和TCP的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来做阻断规则。在用防火墙阻断以上端口的数据包后,发现QQ还会通过TCP的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以只能对服务器的IP地址来做规则。在针对IP作阻断规则后,QQ已基本无法登录。仔细检查后可以发现,QQ安装目录下的Config.db文件记录了QQ服务器的地址。因此,在用防火墙阻止用户使用QQ上网时,除了阻止TCP和UDP的8000、8001端口外,还需阻断与QQ服务器的连接。
实际应用中,由于新版QQ可以采用TCP的80端口和加密代理、HTTP代理等方式进行登录,所以采用传统的方式对局域网内的QQ进行封堵的方法很难达到交果。虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登录使用QQ。
2、阻断MSN的连接
阻断MSN连接最简单高效的方法就是直接禁止对Messenger.hotmail.com等服务器的访问,当然还可以禁止对*.msgr.hotmail.com域名集的访问。但不建议禁止对*.Passport.com的访问,因为登录Hotmail.com邮箱等其它的Passport验证服务还需要使用它。另外,MSN的连接在除使用常规的1863端口外,还会使用7001和80端口,因为这两个端口涉及到其他网络服务的应用,所以也只能采用阻断QQ连接的方法,通过阻断与MSN服务器的连接,来达到用户要求。要禁用MSN,可以采用下面的方法:
首先是尽量采取“允许需要的,拒绝所有(其它)的”的原则创建防火墙规则;
拒绝对IP 207.46.104.20的访问;
拒绝对TCP 1863的访问;
对HTTP进行应用层检查,阻止包含Gateway.messenger.hotmail.com的连接;
拒绝对常用代理端口的访问,比如TCP 8080/1080/3128;
关注常见的HTTP隧道登录,枪打出头鸟,随时拒绝这类服务的登录服务器。
同样,如果微软添加新的MSN服务器或者用户使用代理,还是可以登录MSN。
3、阻断联众及其他游戏服务器的连接
阻断联众的连接相对来说比较容易,在客户端连接服务器时,首先会与服务器的2000端口建立连接(61.55.138.219:2000)。在连接建立后,会用到服务器的1007、2001、2002、3015端口。在试验中,只阻断了2000端口的数据包,客户端就已经无法连接服务器了。此外,还有不少其他的游戏服务器,如可乐吧客户端在连接服务器时,首先要打开可乐吧的主页(www.kele8.com),再通过主页进入游戏大厅。针对这种情况,只要定义一个URL规则,过滤地址为“*kele8*”即可。
防守和反击永远是一个此增彼长的过程,关键在于管理员或者用户实施有的放矢的操作,相对来说,把握主动权的使用者应该就是笑到最后的胜利者了。
