在企业中使用P2P传输文件确实造成了一些安全隐患 ,病毒和木马都有可能由这个途径突破企业防火墙进入企业内部网络,还有企业的重要信息或数据也可能由此途径泄漏到外部网络。因此很多企业有禁止P2P软件传送文件,又不能影响消息通讯的需求。 在此我给大家介绍一下如何禁止MSN传送文件。
如果只允许用户使用Windows Messenger,而不使用MSN Messenger,可以实现封堵MSN传文件的问题。
经过我对这两个软件的分析之后发现:Windows Messenger和MSN Messenger登录 .net帐号时都是使用TCP的1863端口的,但是传输文件的时候使用的端口就不同。
Windows Messenger使用的是TCP 的6891 ~ 6900端口,语音视频传输用的是UDP的5004 ~ 65535端口。而MSN Messenger传输文件仍然是TCP的1863端口。这样我就想到了只让用户使用Windows Messenger,然后把TCP的6891 ~ 6900端口端口封掉不就可以啦!
不过,不让用户使用MSN Messenger有点困难,但是还是有办法实现的。
下面做个实验看看具体是怎么配置的!
一、 网络结构
二、 实验步骤
第一步: 架设DNS Server;
第二步: 提升DC,建立活动目录环境 ;
第三步: 建立域用户和组;
第四步:将ISA Server和Client加入到域中;
第五步:安装ISA Server 2004 标准版,在安装完成后安装Service Pack 1补丁包;
第六步:配置ISA Server;
第七步:配置防火墙策略;
第八步:测试;
三、封掉MSN Messenger;
1. 配置步骤;
2. 测试:;
3. 进一步测试.;
4. 监视客户端是否使用了MSN Messenger;
总结
一、 网络结构
1. 网络结构图
2. 结构描述
(1)DC、DNS
操作系统:Windows Server 2003 SP1
IP:192.168.6.11/24
网关:192.168.6.16
DNS:192.168.6.11
域名:test.net
(2)ISA Server
操作系统:Windows Server 2003 SP1
内网网卡IP :192.168.6.16/24
内网网关:无
DNS:192.168.6.11
(3)Client
操作系统:Windows 2000 Professionnal SP4
IP:192.168.6.21/24
网关:192.168.6.16
DNS:192.168.6.11
客户配置为防火墙客户。
二、 实验步骤
本文中涉及到了一些DNS Server和AD(活动目录)中的一些配置和内容,具体方法 忽略。在此域环境只是我的企业网络的需要,不是必须的。
第一步: 架设DNS Server。
第二步: 提升DC,建立活动目录环境。
第三步: 建立域用户和组。
1. 建立测试用域用户组:
(1) 浏览网页组
(2) MSN组
(3) 邮件组
2. 建立测试用域用户帐号:
(1)test1:加入到浏览网页组、MSN组和邮件组。
(2)test2:加入到无限上网组。
第四步:将ISA Server和Client加入到域中。
第五步:安装ISA Server 2004 标准版,在安装完成后安装Service Pack 1补丁包。
第六步:配置ISA Server。
1. ISA Server使用默认的边缘防火墙模版。
2. 新建四个用户集,并于AD中的用户组对应。
(1)现在我们建立第一个用户集,在防火墙策略右边的工具箱中,点击“用户”,然后点击“新建”
打开新建用户集向导:
在“用户集名称”中,输入新建的用户集的名字“浏览网页组”,然后点击“下一步”,来到“用户”页。
在“用户”页,单击“添加”,并选择“Windows 用户和组”
在这里点击“位置”,选择“整个目录”,后点击“确定”
在“输入对象名称来选择”栏里面输入“浏览网页组”,然后点击“检查名称”。
检查成功后,点击确定回到“用户”页,如下图所示,点击“下一步”,按照提示完成用户集的建立。
刚建立好的用户集会在“用户”中显示出来
(2)然后,按照同样的方法,建立其他四个用户集。
全部建立好的用户集如下图:
(3)点击“应用”,应用刚才配置的用户集设置。
3. 自定义协议,使用TCP 的6891 ~ 6900端口,包括出站和入站
(1)新建协议:TCP出站6891 ~ 6900端口
在防火墙策略右边的工具箱中,点击“新建”,然后点击“协议”
选择“协议”后出现“欢迎使用新建协议定义向导”对话框:
输入协议定义名称:TCP 出6891-6900 ,并点击“下一步”,进入“首要连接信息”对话框
