|
在论坛里面经常看到有人问怎样封QQ ,怎样封BT,怎样配置 VPN 服务器,在这里,我利用我们公司的 ISA 规则给大家讲解一下 。
注意:我所有的访问规则都没有限定内容类型的,因为它可能给 HTTP 访问带来一些的困难,我是在 HTTP 过滤里面设置的不允许访问的文件扩展名。我的 ISA 设置是根据需要允许特定的用户利用特定的协议在特定的时间内访问特定的网络。
规则一:这个规则是内网所有用户在所有时间都可以用 HTTP 、 HTTP 、 POP3 、 SMTP 协议访问公司的指定内部服务器 :
以上是规则的协议元素
以上是访问源,我是设定允许所有内部网用户
以上是服务器地址
以上是访问的内容类型。
规则二:特殊用户在特殊时间访问外网:
公司的一个领导特殊时间要访问外网,这是为他建的规则,以上的允许的协议
以上是访问源,我新建的计算机,然后输入他的 IP 地址。
因为讨厌 3721 ,所以把它封了,这个领导访问外部网的时候,有一个叫 3721 的 URL 集例外,也可以把不允许访问的地址放在里面
规则三:制定特殊的用户下载压缩文件:
因为在 HTTP 过虑里面禁止了下载,我专门为有下载需要的用户建了一个下载规则,你可能有疑问,为什么不在另外的规则里面允许下载,因为有的人下载可能是临时的,只要加入这个规则就可以了。
只允许特定的计算机用 HTTP 访问外网,还限定了特定的时间。如果允许下载的计算机不只是一个,可以建一个计算机集。我只允许了下载 .rar 和 .ZIP 文件,这些都禁止了。可能你会问到封 QQ 的问题,因为 QQ 使用的是 443 端口和 UDP 协议的端口,我只允许了 HTTP 访问,不会登录 QQ 的;还有 BT 的问题,我还没有给公司的局域网封 BT ,过两天再说吧,封 BT 我认为只要禁止下载 BT 的种子就行了,扩展名是 .torrent ,禁止下载这个文件就基本封掉 BT 了,但可能别人利用 QQ 等、下载压缩的种子文件也能使用 BT ;还有一种办法,就是封掉 BT 的请求URL: http://*.*.*/announce ,我发现相当大一部份的 BT 客户端在下载文件的过程中都要请求这个地址,不知道封这个地址有没有效,有兴趣的朋友可以试试。除了封 BT 服务器以外,我也没有什么好的办法了,请有较好办法的朋友共享你的办法。这里好像扯远了一些,我们言归正转:
规则四:内网计算机软件在线更新:
如上图只用到 HTTP 协议。 PS :我喜欢把 DNS 协议带上。
如上图,我只允许 updata client 这个计算机集的用户升级。
以上是允许升级时连接的站点,
如上图,然后我限制了升级的时间。
如上图,为了防止他们到升级站点上面乱下载东西,我把扩展名也限制了。
规则五:因为公司的人说晚上太无聊了,那就给他们晚上开通一段时间上网吧,不过也限制了。
如上图,我也限制了使用协议,在 HTTP 筛选里面也配置了访问的扩展名,哦,忘记了说一下进入 HTTP 筛选的方法,点下载的那个筛选,然后点配置 HTTP 就行了。
如上图,允许所有内部用户到外部吧,但不能上 QQ 哦,其实这里把 QQIP 和 QQURL 两个东西拿掉也不能上 QQ 的,可能还有可能利用 HTTP 代理上网,我就在 HTTP 筛选里面按Gurry写的文章使用签名封锁QQ出现的新问题及对策做了点手脚:
上面的 connect 要用大写的。
|
