使用ISA Server禁止MSN傳送文件一

2020-04-18 13:02:12

字體：大中小

來源：轉載

供稿：網友

　　在企業中使用P2P傳輸文件確實造成了一些安全隱患，病毒和木馬都有可能由這個途徑突破企業防火墻進入企業內部網絡，還有企業的重要信息或數據也可能由此途徑泄漏到外部網絡。因此很多企業有禁止P2P軟件傳送文件，又不能影響消息通訊的需求。在此我給大家介紹一下如何禁止MSN傳送文件。
　　
　　如果只允許用戶使用Windows Messenger，而不使用MSN Messenger，可以實現封堵MSN傳文件的問題。
　　
　　經過我對這兩個軟件的分析之后發現：Windows Messenger和MSN Messenger登錄 .net帳號時都是使用TCP的1863端口的，但是傳輸文件的時候使用的端口就不同。
　　
　　Windows Messenger使用的是TCP 的6891 ～ 6900端口，語音視頻傳輸用的是UDP的5004 ～ 65535端口。而MSN Messenger傳輸文件仍然是TCP的1863端口。這樣我就想到了只讓用戶使用Windows Messenger，然后把TCP的6891 ～ 6900端口端口封掉不就可以啦！
　　
　　不過，不讓用戶使用MSN Messenger有點困難，但是還是有辦法實現的。
　　
　　下面做個實驗看看具體是怎么配置的！
　　
　　一、網絡結構
　　
　　二、實驗步驟
　　
　　第一步：架設DNS Server；
　　
　　第二步：提升DC，建立活動目錄環境；
　　
　　第三步：建立域用戶和組；
　　
　　第四步：將ISA Server和Client加入到域中；
　　
　　第五步：安裝ISA Server 2004 標準版，在安裝完成后安裝Service Pack 1補丁包；
　　
　　第六步：配置ISA Server；
　　
　　第七步：配置防火墻策略；
　　
　　第八步：測試；
　　
　　三、封掉MSN Messenger；
　　
　　1. 配置步驟；
　　
　　2. 測試：；
　　
　　3. 進一步測試.；
　　
　　4. 監視客戶端是否使用了MSN Messenger；
　　
　　總結
　　
　　一、網絡結構
　　
　　1. 網絡結構圖
　　
　　　

　　
　　2. 結構描述
　　
　　（1）DC、DNS
　　
　　操作系統：Windows Server 2003 SP1
　　
　　IP：192.168.6.11/24
　　
　　網關：192.168.6.16
　　
　　DNS：192.168.6.11
　　
　　域名：test.net
　　
　　（2）ISA Server
　　
　　操作系統：Windows Server 2003 SP1
　　
　　內網網卡IP ：192.168.6.16/24
　　
　　內網網關：無
　　
　　DNS：192.168.6.11
　　
　　（3）Client
　　
　　操作系統：Windows 2000 Professionnal SP4
　　
　　IP：192.168.6.21/24
　　
　　網關：192.168.6.16
　　
　　DNS：192.168.6.11
　　
　　客戶配置為防火墻客戶。
　　
　　二、實驗步驟
　　
　　本文中涉及到了一些DNS Server和AD（活動目錄）中的一些配置和內容，具體方法忽略。在此域環境只是我的企業網絡的需要，不是必須的。
　　
　　第一步：架設DNS Server。
　　
　　第二步：提升DC，建立活動目錄環境。
　　
　　第三步：建立域用戶和組。
　　
　　1. 建立測試用域用戶組:
　　
　　（1）瀏覽網頁組
　　
　　（2） MSN組
　　
　　（3）郵件組
　　
　　2. 建立測試用域用戶帳號：
　　
　　（1）test1：加入到瀏覽網頁組、MSN組和郵件組。
　　
　　（2）test2：加入到無限上網組。
　　
　　第四步：將ISA Server和Client加入到域中。
　　
　　第五步：安裝ISA Server 2004 標準版，在安裝完成后安裝Service Pack 1補丁包。
　　
　　第六步：配置ISA Server。
　　
　　1. ISA Server使用默認的邊緣防火墻模版。
　　
　　2. 新建四個用戶集，并于AD中的用戶組對應。
　　
　　（1）現在我們建立第一個用戶集，在防火墻策略右邊的工具箱中，點擊“用戶”，然后點擊“新建”
　　
　　　