简介:如何封IP? 作为一个网络管理员,恐怕最头疼的就是内网用户上网时不注意,经常会中各种各样的病毒,或者下载各种各样的软件,这样对整个局域网的安全造成很大的隐患。另外,单位的领导也不希望员工在上班时间 ...
关键字: ISA Server 局域网 LAN 网络安全
作为一个网络管理员,恐怕最头疼的就是内网用户上网时不注意,经常会中各种各样的病毒,或者下载各种各样的软件,这样对整个局域网的安全造成很大的隐患。另外,单位的领导也不希望员工在上班时间聊天、游戏,影响工作效率。在这样的情况下,就要求网管限制不同用户的上网权限,我们今天就来谈谈如何封IP、IM聊天软件限制下载,甚至是禁止内网用户上网等等。
我们先来说说如何封IP地址。大家上网随便搜索一下,就会发现有很多的方法来封IP地址,但是同样也有很多方法来破解。下面要介绍的方法,是一段程序代码,不仅能封IP,还能按照网段封。
代码如下:
<?php
function IP_match($client_ip, $ip_pattern, $mask){
$ret = true;
$ret = $ret && ereg("^([0-9]{1,3}).([0-9]{1,3}).([0-9]
{1,3}).([0-9]{1,3})$", $client_ip, $ret_ip1);
$ret = $ret && ereg("^([0-9]{1,3}).([0-9]{1,3}).([0-9]
{1,3}).([0-9]{1,3})$", $ip_pattern, $ret_ip2);
$ret = $ret && ereg("^([0-9]{1,3}).([0-9]{1,3}).([0-9]
{1,3}).([0-9]{1,3})$", $mask, $ret_mask);
if (!$ret) {
return false;
}
for ($i = 1; $i < 5; $i++) {
if (((int)$ret_ip1[$i] & (int)$ret_mask[$i]) !=
((int)$ret_ip2[$i] & (int)$ret_mask[$i])) {
return false;
}
}
return true;
}
?>
其中:
$client_ip:客户端IP
$ip_pattern:你封锁的IP
$mask:掩码
返回true,说明该IP已经封锁。
限制BT等P2P软件下载
BT下载正给越来越多的企业办公带来危害,而公众网、电信网中的BT下载,同样也正在吞噬着运营网络带宽。一旦出现第一颗“种子”(下载源),大量的BT用户就会跟进,形成大规模的BT下载网络。与点到点不同的是,这种“群体生存”网络,虽然体现了互联网的自由,但是同样也反映出互联网的无序。而当这种无序性扩散到企业网和电信网中,则变成无法容忍的干扰。限制浏览BT网站。BT网站很多,但考虑到BT下载的特点:下载的人数越多,速度越快;Seed越多,速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多,一般的BT网站去的人就比较少,下载的人数也少,除非他能忍受每秒几K的速度。 因此针对比较热门的BT网站,在安全网关上配置URL过滤规则,之后,在出接口上启用过滤Http_Filter功能,禁止对它们的访问即可。 禁止访问Tracker服务器。
封闭BT下载端口。解决BT对局域网的危害,最彻底的方法是不允许进行BT下载,BT一般使用TCP的6881~6889的端口,网络管理员可以根据网络流量的变化进行判断,在网关中将特定的种子发布站点和端口封掉,在BT下载软件中的Track中可以获得这些信息;但是现在大多数BT软件可以修改端口号,因此网管可以根据实际情况,在不影响正常业务的情况下尽可能将封闭的端口范围扩大,把一些特定的种子发布站点和端口进行封闭。
限制用户带宽。BT之所以会危害到局域网,是因为它占用了大量网络带宽。因此,限制每个用户使用的网络带宽,可以明显缓解BT对网络的危害;同时对于一些运营性网络,完全禁止BT使用是不合理的,限制每个BT的使用带宽就成为一个比较好的选择。网络管理员可以通过一些管理软件或者网络硬件配置,针对应用流进行较细粒度的速率限制,例如将BT用户下载的优先级限制为5(0最高,7最低),带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。
如何禁止用户上网
在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。
在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。
下面就以明确禁止客户上网来给大家讲讲如何进行设置。
禁止IP,这个适合于固定IP配置的用户,操作步骤如下:
1、对需要禁止上网的客户新建一个地址集或者计算机集;
2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。
3、在防火墙策略中新建一个访问规则;
我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。
首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;
图1
然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”;
图2
在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”;
图3
建好的计算机集如下图所示,点击“OK”;
图4
然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字;
图5
规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。
图6
目的网络选择外部;
图7
按照提示进行,最后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置;
注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;
图8
然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。
图9
现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。
首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。同样在“网络对象”中,右击“域名集”,选择“新建域名集”;
图10
在域名集中我添加了YAHOO的网站;
图11
然后在刚才建好的Denyed Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*.yahoo.com”;
图12
修改后的策略如下图所示,点击“应用”;
图13
现在再到客户机上访问其他网站,还是正常的,但是yahoo就不能访问了。
图14
如何封IM聊天软件
现在很多公司和单位都禁止在上班时间使用MSN和QQ,其实作为交流沟通的好工具,MSN和QQ拉近了人们的距离。然而,对于很多业务繁忙同时又不太依赖即时交流工具的公司来说,它们可是洪水猛兽,会严重影响员工的正常工作、公司的正常运转。
针对以上情况,很多网管会采用措施禁用MSN、QQ等即时通信工具。但简单的禁用并不能解决问题,由于网络办公的需要,网管并不能禁用HTTP协议,因此很多不自觉的员工就利用HTTP代理偷偷使用MSN和QQ。这还了得?岂不是在挑战网管的权威?封堵即时通信工具的代理势在必行。
因为网管必须保证员工能正常上网办公,所以不可能禁用HTTP协议,这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念,如ISA Server2004,它不但可以对通信中的网络数据包进行检验,而且还可以检查数据包应用层中的内容,能对HTTP应用层数据进行过滤和检测。
ISA Server 2004一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息,就可将该数据包丢弃,以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。ISA Server 2004 提供的“签名”功能作用在HTTP应用层中,是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”,而QQ数据包使用的关键字是“tencent.com”,掌握了这些信息后,就容易利用“签名”功能封堵HTTP代理。
掌握了聊天工具使用HTTP代理传出的数据包中的关键字后,我们就可顺藤摸瓜,利用这些“关键字”封住它们的“口”。ISA防火墙就是利用内置的“签名”功能,来禁止MSN和QQ使用HTTP代理,因此必须要合理配置“签名”功能才行。
在ISA Server 2004服务器的控制台窗口中,右键单击“允许用户访问外部网络”规则,在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中,切换到“签名”标签页,现在就可以利用签名功能,禁用HTTP代理。
1,禁用MSN
禁止MSN使用HTTP代理,只要过滤掉包含有关键字“MSMSGS”的数据包即可。
图15
在“签名”标签页中,点击“添加”按钮,弹出签名配置对话框(图15),在“名称”栏中输入“MSN Messenger”,然后在“查找范围”下拉列表框中选择“请求头”选项,在“HTTP头”栏中输入“User-Agent:”,然后还要在“签名”栏中输入“MSMSGS”,最后连续两次点击“确定”按钮即可完成设置。
2,禁用QQ
和禁止MSN使用HTTP代理一样,禁止QQ使用HTTP代理,只要过滤掉包含有关键字“tencent.com”的数据包即可。
图16
在“签名”标签页中点击“添加”按钮,弹出签名配置对话框(图16),在“名称”栏中输入“QQ”,然后在“查找范围”下拉列表框中选择“请求URL”,接着在“签名”栏中输入“tencent.com”,最后两次点击“确定”按钮完成设置。
3,禁用其他聊天软件
禁止其他IM工具使用HTTP代理的方法也是相同的,只要知道该IM数据包中所包含的特征关键字,然后在ISA防火墙的“签名”功能中进行相应配置即可。
最后在ISA Server 2004防火墙策略窗口中选中“允许用户访问外部网络”规则,点击上方的“应用”按钮,使以上的签名配置生效,这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。
其实还有一种封QQ的方法,这里也简单的向大家介绍一下。
QQ服务器分为三类:
1,UDP 8000端口类13个:速度最快,服务器最多。 QQ上线会向这11个服务器发送UDP数据包,选择回复速度最快的一个作为连接服务器。这6个服务器名字均以SZ开头,域后缀是tencent.com,域名与IP对应为
sz sz2:
61.144.238.145
61.144.238.146
61.144.238.156
sz3 sz4 sz6 sz7:
202.104.129.251
202.104.129.254
202.104.129.252
202.104.129.253
sz5:
61.141.194.203
202.96.170.166
218.18.95.221
219.133.45.15
61.141.194.224
202.96.170.164
2,TCP HTTP连接服务器4个,使用HTTP 80 和443端口连接这4个服务器名字均以tcpconn开头,域后缀是tencent.com,域名与IP对应为 tcpconn tcpconn3 218.17.209.23 tcpconn2 tcpconn4 218.18.95.153,61.141.194.227,218.18.95.171
3,会员VIP登陆服务器,使用HTTP 443安全连接服务器IP 218.17.209.42
知道这些服务器地址,全封锁了就OK了,谁也不能上QQ了,无论何种方式, 如果可以上了,那么就是tencent增加了新的服务器,再分析一次就可以找出新的服务器地址,按照上述方法重复一遍就可以了。