Juniper netscreen防火墙禁止QQ和MSN
目前很多公司都不允许用qq和msn,如果有一台AOS设备那就简单多了,直接把qq和msn的程序禁用就行了,但是aos设备价格都比较昂贵,小公司用的话相当于用大炮打蚊子,大才小用了。使用netscreen的防火墙通过一些配置也可以实现qq和msn的程序禁用的功能。
禁用qq的端口
udp src-port 0-65535 dst-port 8000-8001
src-port 0-65535 dst-port 8000-8001
tcp src-port 0-65535 dst-port 1863-1863
udp src-port 0-65535 dst-port 1863-1863
tcp src-port 0-65535 dst-port 2000-2000
udp src-port 0-65535 dst-port 2000-2000
禁用qq的服务器地址
sz.tencent.com
sz2.tencent.com
sz3.tencent.com
sz4.tencent.com
sz5.tencent.com
sz6.tencent.com
sz7.tencent.com
sz8.tencent.com
sz9.tencent.com
tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
tcpconn5.tencent.com
tcpconn6.tencent.com
qq登陆方式有三种,tcp登陆,udp登陆,vip登陆(在qq登陆设置可查)
应该说用任何方式登陆都要经过一定的ip和端口进行的,我发现tcp方式登陆的一般都是用以下几个地址和端口:219.133.60.173, 219.133.49.206,218.18.95.153:80,218.17.209.23:80,可能还有很多ip可以登陆,但我想应该都是通过tcp的80端口登陆的,只要禁止了tcp的80端口就可以禁止tcp方式的登陆了,但大家要注意一个事实,tcp的80端口也是浏览网站的默认端口啊,屏蔽了它是不能上网浏览网页啊,所以只能封登陆的ip地址了。
udp登陆有:219.133.49.171,61.144.238.145:8000,202.104.129.254(253):8000,可能还有很多ip可以登陆,但我想应该都是通过udp的8000端口登陆的,只要禁止了udp的8000端口就可以禁止udp方式的登陆了。
vip登陆有(会员登陆用):58.60.9.58,21817.209.42:443(ssl的端口),这个也是使用tcp方式登陆了,可能还有很多ip可以登陆,但我想应该都是通过tcp的443端口登陆的,只要禁止了tcp的443端口就可以禁止会员的tcp方式的登陆了。
禁用msn的端口
netscreen防火墙预定义有msn的服务端口 TCP src port 0-65535, dst port:1863
禁用msn的服务器地址:
Messenger.hotmail.com
Gateway.messenger.hotmail.com
207.46.107.113
207.46.113.221
65.54.239.211
65.54.239.80
65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
将以上的端口和服务器地址在策略(policy)禁用(deny)掉,基本上可以紧张使用qq和msn了,但是qq和msn的服务器地址会发生变化,只能不断的增加禁用的ip地址,发现一个封一个,另外如果用户通过代理上qq或msn的话,目前netscreen防火墙还是没办法的,只能拒绝对常用代理端口的访问,比如TCP 8080/1080/3128。
如果禁掉了以上的ip和端口发现还是能登陆qq或msn可以在dos界面下用netstat -an命令来查看当前的连接状态,找到qq或msn的ip地址加入到防火墙的禁止访问列表中,基本就没问题了。
以上的方法在netscreen 5gt-108上经过测试,确定是有效的。
