使用ISA Server 2004禁止P2P软件（图）

　　现在P2P软件非常的流行，而且提供了多样化的登录方式，这给我们做网管的想封锁它的时候，带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下，利用ISA Server 2004的增强的HTTP协议检查功能，来完全的禁止它们。
　　
　　既然要封锁它们，首先要对QQ和MSN使用的协议来进行分析，知己知彼，才能在封锁与反封锁的较量中获胜。
　　
　　首先介绍MSN。MSN使用TCP 1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录，但是在使用HTTP代理的情况下，MSN可以很轻松的突破1863端口的限制。
　　
　　再说说QQ。QQ的登录过程是这样的，在默认情况下，QQ先向服务器群的8000端口发送UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复，则使用TCP 80/443端口来进行连接。因为他可以使用HTTP直接连接，而一般是不能封锁HTTP协议的，所以，封锁QQ的最好办法是封锁它的服务器IP。但是如果使用HTTP代理登录，那么还是可以上QQ的。

网管论坛bbs_bitsCN_com

　　
　　QQ的服务器的地址如下， 最后更新于2004年6月1日。不过tencent随时可能增加服务器，但是应对政策很简单，如果能上QQ，你在QQ的系统属性里面看看当前登录服务器的IP，然后添加进来就是了。
　　
　　QQ服务器分为三类：
　　
　　1、UDP 8000端口类18个：速度最快，服务器最多。
　　
　　QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。
　　
　　61.144.238.145
　　
　　61.144.238.146
　　
　　61.144.238.156
　　
　　61.144.238.150
　　
　　202.104.129.251
　　
　　202.104.129.254
　　
　　202.104.129.252
　　
　　202.104.129.253
　　
　　61.141.194.203 网管网www.bitscn.com
　　
　　202.96.170.166
　　
　　218.18.95.221
　　
　　219.133.45.15
　　
　　61.141.194.200
　　
　　61.141.194.224
　　
　　202.96.170.164
　　
　　202.96.170.163
　　
　　219.133.40.216
　　
　　218.18.95.209
　　
　　2、TCP HTTP连接服务器5个，使用HTTP 80 和443端口连接这4个服务器名字均以tcpconn开头，域后缀是tencent.com，域名与IP对应为
　　
　　tcpconn tcpconn3 218.17.209.23
　　
　　tcpconn2 tcpconn4 218.18.95.153
　　
　　61.141.194.227
　　
　　218.18.95.171 218.18.95.221
　　
　　3、会员VIP登陆服务器，使用HTTP 443安全连接服务器IP 218.17.209.42
　　
　　在过去的时候，对于使用HTTP代理来上QQ和MSN的情况，没有什么办法。不过现在不一样了，ISA Server 2004增强的HTTP协议状态检查，可以很完美的封锁使用HTTP代理上QQ和MSN的情况。 中国网管论坛bbs.bitsCN.com
　　
　　以下首先给大家介绍一下封锁利用HTTP代理上Windows Messanger的情况，译自Greg Mulholland的“Preventing P2P and Instant Messaging programs from hijacking your network with ISA 2004 Firewalls”，不过原文比较复杂，我简化了一下。
　　
　　Greg Mulholland通过设置防火墙策略，只允许这个客户只能使用HTTP协议，所以，Windows Messenger不能登录。
　　　
　　但是这个客户使用Windows Messenger的HTTP代理，
　　　
　　于是就可以登录了。
　　　
　　Greg Mulholland通过在HTTP协议中配置签名，
　　　
　　（注意，下图是重点）Windows Messenger连接HTTP代理服务的时候，发送的数据包的请求头中的User-Agent字段，关键字为MSMSGS，

中国网管联盟bitsCN.com

　　　
　　通过勾选这个定义项，ISA Server 2004会阻止具有这个特性的HTTP数据包。