在企業中使用P2P傳輸檔案確實造成了一些安全隱患 ,病毒和木馬都有可能由這個途徑突破企業防火牆進入企業內部網路,還有企業的重要訊息或資料也可能由此途徑泄漏到外部網路。因此很多企業有禁止P2P軟體傳送檔案,又不能影響訊息通訊的需求。 在此我給大家介紹一下如何禁止MSN傳送檔案。
如果只允許使用者使用Windows Messenger,而不使用MSN Messenger,可以實現封堵MSN傳檔案的問題。
經過我對這兩個軟體的分析之後發現:Windows Messenger和MSN Messenger登入 .net帳號時都是使用TCP的1863連接埠的,但是傳輸檔案的時候使用的連接埠就不同。
Windows Messenger使用的是TCP 的6891 ~ 6900連接埠,語音視頻傳輸用的是UDP的5004 ~ 65535連接埠。而MSN Messenger傳輸檔案仍然是TCP的1863連接埠。這樣我就想到了只讓使用者使用Windows Messenger,然後把TCP的6891 ~ 6900連接埠連接埠封掉不就可以啦!
不過,不讓使用者使用MSN Messenger有點困難,但是還是有辦法實現的。
下面做個實驗看看具體是怎麼配置的!
一、 網路結構
二、 實驗步驟
第一步: 架設DNS Server;
第二步: 提升DC,建立活動目錄環境 ;
第三步: 建立域使用者和組;
第四步:將ISA Server和Client加入到域中;
第五步:安裝ISA Server 2004 標準版,在安裝完成後安裝Service Pack 1補丁包;
第六步:配置ISA Server;
第七步:配置防火牆策略;
第八步:測試;
三、封掉MSN Messenger;
1. 配置步驟;
2. 測試:;
3. 進一步測試.;
4. 監視用戶端是否使用了MSN Messenger;
總結
一、 網路結構
1. 網路結構圖
2. 結構描述
(1)DC、DNS
作業系統:Windows Server 2003 SP1
IP:192.168.6.11/24
網關:192.168.6.16
DNS:192.168.6.11
網域名稱:test.net
(2)ISA Server
作業系統:Windows Server 2003 SP1
內網網卡IP :192.168.6.16/24
內網網關:無
DNS:192.168.6.11
(3)Client
作業系統:Windows 2000 Professionnal SP4
IP:192.168.6.21/24
網關:192.168.6.16
DNS:192.168.6.11
客戶配置為防火牆客戶。
二、 實驗步驟
本文中涉及到了一些DNS Server和AD(活動目錄)中的一些配置和內容,具體方法 忽略。在此域環境只是我的商業網路的需要,不是必須的。
第一步: 架設DNS Server。
第二步: 提升DC,建立活動目錄環境。
第三步: 建立域使用者和組。
1. 建立測試用域使用者組:
(1) 瀏覽網頁組
(2) MSN組
(3) 郵件組
2. 建立測試用域使用者帳號:
(1)test1:加入到瀏覽網頁組、MSN組和郵件組。
(2)test2:加入到無限上網組。
第四步:將ISA Server和Client加入到域中。
第五步:安裝ISA Server 2004 標準版,在安裝完成後安裝Service Pack 1補丁包。