windows_ISA如何禁止qq

本文中很多内容會借用到其他網友的經驗，我的任務隻是把這些經驗講解得更為詳細，是以不要以為我是這方面的大俠或者諸如此類。請大俠不要偷笑，但是要請進到這裡（ISA中文網論壇）來的朋友分享你們的經驗，分享的同時對自己也是一種提高。

實作的環境

我最初想到禁用QQ的方法是使用WinGate（Version:6.0），因為以前也沒有接觸過，在網上找了兩個晚上的資料并在此期間不停做試驗，發現它不能有效地針對QQ使用的端口和協定進行過濾，也許是我對這款軟體不夠熟悉，不過我仍然認同它是一款功能非常強大的代理伺服器軟體。如果有哪位朋友能通過WinGate實作禁止QQ上網的目的，并且又看到我寫的這些胡話，請你一定記得把你的實作方法寫出來寄給我E-Mail，以此來嘲笑我的無知吧。

網絡環境:

ISA 2004伺服器：

Windows 2000 Server、

Windows 2000 SP4、

IE6sp1、

Windows SQL Server 2000(如果有朋友要用到SQL Server更多的功能，建議先安裝它再安裝ISA 2004，因為ISA2004也會安裝SQL Server)

ADSL（RasPPPoE撥号程式，這是我喜歡用到的ADSL撥号軟體）

雙網卡（内網網卡IP：192.168.123.1；外網網卡IP：192.168.1.2 外網網卡用來連接配接ADSL Modem撥号上網，可以不設IP）

ISA 2004 Standard Edition 中文

（***今晚先寫到這裡，注意保護身體 22時28分***）

實作方法

實作的環境實作後就可以對ISA 2004進行設定來實作我們的目标，ISA2004的過濾規則跟硬體防火牆非常相似。實作禁用QQ上網會使用三種防火牆技術：禁用通訊端口、過濾通訊封包、禁用通訊協定。早期的QQ使用UDP協定和8000端口傳遞消息，後來加入使用TCP協定和 80/443端口來增強軟體适應環境，現在更有VIP使用者可以直接使用HTTP 443來進行通信，是以我們不能簡單的禁用HTTP協定和端口來實作禁用QQ上網，因為不可能禁用HTTP 80端口。

結合禁用端口、協定，并且找出禁用所有QQ 伺服器的IP位址就可以完全禁止QQ上網了。

ISA 2004中并沒有現成的UDP 8000、TCP 443組合協定，我們可以利用軟體提供的靈活性建立自定義的協定：

UDP-8000（圖）

TCP-443（圖）

然後我們根據QQ使用通信協定的不同來對QQ伺服器IP位址進行分組，在ISA中建立三個計算機集：

在QQ-Server UDP_8000 set計算機集中添加如下計算機

61.144.238.145

61.144.238.146

61.144.238.156

61.144.238.150

61.141.194.203

61.141.194.200

61.141.194.224

202.104.129.251

202.104.129.252

202.104.129.253

202.104.129.254

202.96.170.163

202.96.170.164

202.96.170.166

219.133.45.15

219.133.40.216

218.18.95.209

218.18.95.221

（QQ-Server UDP_8000 set圖）

在QQ-Server TCP_443 set計算機集中添加IP位址為如下的計算機

218.17.209.23

218.18.95.153

218.18.95.171

218.18.95.140（這是我新發現的一個QQ伺服器IP，請朋友們驗證）

61.141.194.227

（QQ-Server TCP_443 set圖）

在QQ-Server VIP set計算機集中添加如下計算機

218.17.209.42

（QQ-Server VIP set圖）

建立後的新計算機集：

實作規則的建立

前面的準備工作全都做好以後就可以建立禁用QQ上網的過濾規則了。首先建立禁止通路QQ伺服器的規則Deny qq Server access，******在協定項我們選擇第二項“隻使用選擇的協定”，并且添加前面我們建立的三條自定義組合協定UDP-8000、TCP-80、TCP-443，通路源添加“本地網絡”，目的中添加自定義的三個計算機集QQ-Server UDP_8000 set、QQ-Server TCP_443 set、QQ-Server VIP set，再選擇“所有使用者”點選完成。

（Deny qq Server access規則圖）

再建立第二條規則Allow Internet access選擇所有協定，源添加“本地網絡”，目的添加“外部網絡”，選擇“所有使用者”點選完成。在建立的這條規則上點選滑鼠右鍵選擇“配置HTTP”，進入“簽名”标簽項建立簽名，選擇“請求URL”并在簽名框中輸入“tencent.com”，确定退出應用所有修改。

在區域網路内挑台電腦打開QQ試試看能不能登入，不行？進入QQ設定代理伺服器，再登入，還是不行？OK，大功告成！