http://www.ainy.com.cn/ zh-cn PBlog2 v2.4 http://www.ainy.com.cn/images/logos.gif http://www.ainy.com.cn/ 微软产品研究 http://www.ainy.com.cn/article/54.htm your@email.com(ainy) Wed,25 Aug 2010 13:51:40 +0800 http://www.ainy.com.cn/default.asp?id=54
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://lvdaz.blog.51cto.com/822542/191591
            我们使用ISA Server 2006可以使用访问规则限制内网用户访问外网网站，我们今天就是用ISA来限制用户登录QQ。在很多公司里在工作时间是不允许使用QQ登录（工作时间不允许闲聊啦！！）今天我们就拿QQ来试一试怎么限制即时通讯软件。
实验环境如下图所示，China是内网工作站，Beijing是ISA服务器

QQ登录的方法有好多种
1 正常登陆
2 使用协议
3 使用代理服务器

1 封锁QQ的正常登陆
我们在ISA服务器上创建一个访问规则“允许任何访问”如下图所示

我们在工作站China上登录QQ，登录正常，如下图所示

接下来我们就来封锁QQ的登录，QQ是同过UDP协议，8000端口访问外网的。我们新建一条协议叫“封锁QQ”，如下图所示

新建协议连接，如下图所示

不使用辅助连接

完成向导，如下图所示


2 封锁协议
TCP协议类型中有四个QQ服务器地址，如下图所示

我使用nslookup来查看这四服务器的地址，如下图所示

输入tcpconn2.tencent.com 如下图所示

输入tcpconn3.tencent.com 如下图所示

输入tcpconn4.tencent.com 如下图所示

腾讯果然很牛X，那么多服务器，怎么封锁呢，ISA是有办法的！我们可以把整个网段都封掉，哈哈~~~
我们在ISA防火墙策略—网络对象—右击地址范围，添加地址段如下图所示
QQ1

QQ2

QQ3

QQ4

接下来我们创建一条访问规则叫“拒绝QQ登录”如下图所示

符合此访问规则的一定要拒绝，这样才能拒绝登录，如下图所示

添加协议，我们添加我们刚才创建的“封锁QQ”如下图所示

添加访问源，如下图所示
                                    
添加访问规则目标，如下图所示

添加此规则应用的用户，如下图所示

完成访问规则，如下图所示

现在我们把UDP封掉了，接下来我们一定要把TCP也封掉，我们再创建一条访问规则来封锁TCP，如下图所示

拒绝符合规则的操作，如下图所示

此规则应用于“所有出站通讯”如下图所示

添加访问规则源，如下图所示

添加访问规则目标，我们添加刚才创建的地址范围，如下图所示

添加此规则应用的用户，如下图所示

访问规则创建完毕，如下图所示

UDP和TCP访问规则创建完毕，我们现在应用防火墙策略

我们用工作站China测试一下，登录QQ试一试吧，结果登录失败，哈哈啊~~~成功了，如下图所示

QQ登录不成功，但是访问外网的网页时可以的！！！如下图所示


3 封锁代理服务器
我们虽然封掉了QQ，但是如果有人使用代理服务器，ISA防火墙策略就会放过数据，因为访问的目标地址是一个代理服务器地址而不是我们设置的地址范围，所以ISA就会放过数据，让QQ登录了！！对付这种使用代理服务器的人，我们就要把事情做的绝点，封锁代理服务器，我们在HTTP策略里，为QQ添加一个签名，这样使用代理服务器也是没用的，ISA会认得数据里带有QQ签名的数据就会直接封锁掉！！呜哈哈~~QQ你无处逃了！！！

首先我们先找一个代理服务器试一试能否登录QQ

QQ登录成功~~~~如下图所示

接下来我们使用签名来阻止QQ使用代理服务器登录，在访问规则里选择“协议选项卡”单击“筛选”选择HTTP策略里“签名”选项卡，单击添加，如下图所示

填写签名信息，如下图所示

应用规则后，我们再次使用代理服务器登录QQ，结果登录失败，如下图所示


限制QQ访问就完成了！！！！
  
]]> http://www.ainy.com.cn/article/26.htm your@email.com(ainy) Fri,08 Jan 2010 14:39:43 +0800 http://www.ainy.com.cn/default.asp?id=26
Forefront Client Security
Forefront Security for SharePoint
Forefront Security for Exchange
Forefront Security for Office Communications Server (即以前的Live Communications Server)

微软的ISA Server 2006防火墙和通过收购Whale公司获得的Intelligent Application Gateway（智能应用网关）技术都没有冠以Forefront的名称，但是它们实际上已经作为Forefront家族中面向高端网络防护的前端组件了 ，主要面向大型企业的网络安全应用，提供企业级防火墙的安全和维护。


Forefront不是单一的产品 实际上体现了微软帝国在信息安全方面的熊熊野心，Forefront实际上是一个信息安全平台。
在一个小型企业中，Forefront可以与Windows操作系统协同工作，也可以和基础应用服务器，如Exchange邮件服务器或 SharePoint协作服务器协同工作。随着公司规模的增长，你可以在系统中添加一些更高级的与安全相关的解决方案，比如Windows Rights Management Services (版权管理服务，RMS)，或者Microsoft Identity Integration Server (身份综合服务MIIS)，而不用担心协作问题或者有任何冲突。
　　结合操作系统内置的安全机制（组策略，EFS, IPsec, UAC, NAP等），再加上上面提到的解决方案，可以为企业建立一套多层次的安全策略，并且随着企业规模的增长或安全需求的增加，这种安全层次还可以不断增加。
]]> http://www.ainy.com.cn/article/25.htm your@email.com(ainy) Fri,08 Jan 2010 14:27:36 +0800 http://www.ainy.com.cn/default.asp?id=25

试用版下载：http://download.microsoft.com/download/2/5/a/25aea1be-e655-4ed2-8a78-04e71accbaf8/setup.exe]]>