MSN和QQ,交流溝通的好工具,拉近了人們的距離。然而,對於很多業務繁忙同時又不太依賴即時交流工具的公司來說,它們可是洪水猛獸,會嚴重影響員工的正常工作、公司的正常運轉。 針對以上情況,很多網管會采用措施禁用MSN、QQ等即時通信工具。但簡單的禁用並不能解決問題,由於網絡辦公的需要,網管並不能禁用HTTP協議,因此很多不自覺的員工就利用HTTP代理偷偷使用MSN和QQ。這還了得?豈不是在挑戰網管的權威?封堵即時通信工具的代理勢在必行。 封堵原理 因為網管必須保證員工能正常上網辦公,所以不可能禁用HTTP協議,這也是禁止即時通信工具MSN和QQ使用HTTP代理的難點。如何解決這個難題呢?恰好現在很多企業級網絡防火牆都新增了“深度防護”的概念,如ISA Server2004,它不但可以對通信中的網絡數據包進行檢驗,而且還可以檢查數據包應用層中的內容,能對HTTP應用層數據進行過濾和檢測。 ISA Server 2004一旦發現HTTP應用層數據中包含MSN和QQ的關鍵字信息,就可將該數據包丟棄,以此就能達到禁用MSN和QQ等即時通信工具使用HTTP代理的目的。 解決辦法 要想阻止MSN和QQ使用HTTP代理,最有效、最簡單的辦法就是過濾掉網絡通信中的IM數據包,這種過濾措施是通過識別IM數據包中所包含的IM關鍵字來實現的,利用ISA Server 2004防火牆提供的“簽名”功能很容易做到。 網絡環境:由ISA Server 2004服務器統一管理的網絡 封堵工具:ISA Server 2004防火牆 提示:ISA防火牆提供了很強大的網絡監控和管理功能,如深度防護和過濾功能,利用這些功能可禁止MSN和QQ使用HTTP代理。當然要知道MSN和QQ數據包中所包含的特征關鍵字才行。 封堵步驟:獲得MSN和QQ的關鍵字;啟用ISA簽名功能;啟動“封堵”功能。 掌握“關鍵字” 做好以上准備工作後,就可以開始進行“封堵”的設置了,在找到MSN和QQ數據包中的關鍵字後,配置一下ISA防火牆即可完成設置工作。 因為ISA防火牆就是利用MSN和QQ數據包所包含的特征關鍵字,來過濾掉HTTP數據包中所包含的IM數據包,實現禁用HTTP代理的目的,因此必須首先找出MSN和QQ數據包中的關鍵字。 ISA Server 2004 提供的“簽名”功能作用在HTTP應用層中,是利用即時通信軟件數據包中的“關鍵字”進行過濾操作的。如MSN發送的數據包中包含的關鍵字是“MSMSGS”,而QQ數據包使用的關鍵字是“tencent.com”,掌握了這些信息後,就容易利用“簽名”功能封堵HTTP代理。 提示:在網上很容易查找到MSN、QQ數據包中的“關鍵字”資料,那別人是如何獲得的呢?這個比較復雜,需要利用工具Sniffer對這些IM數據包進行監控和分析,如利用NAI公司推出的協議分析工具“Sniffer Pro”,由於操作比較麻煩,就不詳細介紹了。 開始“封口” 掌握了聊天工具使用HTTP代理傳出的數據包中的關鍵字後,我們就可順籐摸瓜,利用這些“關鍵字”封住它們的“口”。 ISA防火牆就是利用內置的“簽名”功能,來禁止MSN和QQ使用HTTP代理,因此必須要合理配置“簽名”功能才行。 在ISA Server 2004服務器的控制台窗口中,右鍵單擊“允許用戶訪問外部網絡”規則,,在彈出菜單中選擇“配置HTTP”選項。接著在“為規則配置HTTP策略”對話框中,切換到“簽名”標簽頁,現在就可以利用簽名功能,禁用HTTP代理。 提示:安裝ISA Server 2004網絡防火牆後,默認是不允許任何用戶訪問外部網絡的,因此要創建一條訪問規則,允許內網中的員工可以訪問互聯網,這條規則就是剛才所提到的“允許用戶訪問外部網絡”規則。 1.禁用MSN 禁止MSN使用HTTP代理,只要過濾掉包含有關鍵字“MSMSGS”的數據包即可。 在“簽名”標簽頁中,點擊“添加”按鈕,彈出簽名配置對話框(圖1),在“名稱”欄中輸入“MSN Messenger”,然後在“查找范圍”下拉列表框中選擇“請求頭”選項,在“HTTP頭”欄中輸入“User-Agent:”,然後還要在“簽名”欄中輸入“MSMSGS”,最後連續兩次點擊“確定”按鈕即可完成設置。 圖 1 2.禁用QQ 和禁止MSN使用HTTP代理一樣,禁止QQ使用HTTP代理,只要過濾掉包含有關鍵字“tencent.com”的數據包即可。 在“簽名”標簽頁中點擊“添加”按鈕,彈出簽名配置對話框(圖2),在“名稱”欄中輸入“QQ”,然後在“查找范圍”下拉列表框中選擇“請求URL”,接著在“簽名”欄中輸入“tencent.com”,最後兩次點擊“確定”按鈕完成設置。 圖 2 3.禁用其他聊天軟件 禁止其他IM工具使用HTTP代理的方法也是相同的,只要知道該IM數據包中所包含的特征關鍵字,然後在ISA防火牆的“簽名”功能中進行相應配置即可。 最後在ISA Server 2004防火牆策略窗口中選中“允許用戶訪問外部網絡”規則,點擊上方的“應用”按鈕,使以上的簽名配置生效,這樣就可徹底禁止MSN、QQ等聊天工具使用HTTP代理。 總結:禁止MSN和QQ使用HTTP代理的原理非常簡單,關鍵就是要知道IM數據包中的特征關鍵字,然後配置ISA防火牆的簽名功能進行相應的過濾即可。 小知識:“代理”為聊天軟件服務的原理 雖然不同的IM工具使用的通信協議也各不相同,但幾乎所有的IM工具都支持HTTP代理功能,這是因為一旦網管將IM工具封殺,就無法登錄,這時就可以利用HTTP代理,將IM工具的數據包轉換成HTTP數據包,來突破防火牆的限制,畢竟大多數局域網是不會封殺HTTP協議的。
