在企業(yè)中使用P2P傳輸文件確實造成了一些安全隱患 ，病毒和木馬都有可能由這個途徑突破企業(yè)防火墻進入企業(yè)內部網絡，還有企業(yè)的重要信息或數(shù)據(jù)也可能由此途徑泄漏到外部網絡。因此很多企業(yè)有禁止P2P軟件傳送文件，又不能影響消息通訊的需求。 在此我給大家介紹一下如何禁止MSN傳送文件。
　　
　　如果只允許用戶使用Windows Messenger，而不使用MSN Messenger，可以實現(xiàn)封堵MSN傳文件的問題。
　　
　　經過我對這兩個軟件的分析之后發(fā)現(xiàn)：Windows Messenger和MSN Messenger登錄 .net帳號時都是使用TCP的1863端口的，但是傳輸文件的時候使用的端口就不同。
　　
　　Windows Messenger使用的是TCP 的6891 ～ 6900端口，語音視頻傳輸用的是UDP的5004 ～ 65535端口。而MSN Messenger傳輸文件仍然是TCP的1863端口。這樣我就想到了只讓用戶使用Windows Messenger，然后把TCP的6891 ～ 6900端口端口封掉不就可以啦！
　　
　　不過，不讓用戶使用MSN Messenger有點困難，但是還是有辦法實現(xiàn)的。
　　
　　下面做個實驗看看具體是怎么配置的！
　　
　　一、 網絡結構
　　
　　二、 實驗步驟
　　
　　第一步： 架設DNS Server；
　　
　　第二步： 提升DC，建立活動目錄環(huán)境 ；
　　
　　第三步： 建立域用戶和組；
　　
　　第四步：將ISA Server和Client加入到域中；
　　
　　第五步：安裝ISA Server 2004 標準版，在安裝完成后安裝Service Pack 1補丁包；
　　
　　第六步：配置ISA Server；
　　
　　第七步：配置防火墻策略；
　　
　　第八步：測試；
　　
　　三、封掉MSN Messenger；
　　
　　1. 配置步驟；
　　
　　2. 測試：；
　　
　　3. 進一步測試.；
　　
　　4. 監(jiān)視客戶端是否使用了MSN Messenger；
　　
　　總結
　　
　　一、 網絡結構
　　
　　1. 網絡結構圖
　　
　　 　
　　
　　2. 結構描述
　　
　　（1）DC、DNS
　　
　　操作系統(tǒng)：Windows Server 2003 SP1
　　
　　IP：192.168.6.11/24
　　
　　網關：192.168.6.16
　　
　　DNS：192.168.6.11
　　
　　域名：test.net
　　
　?。?）ISA Server
　　
　　操作系統(tǒng)：Windows Server 2003 SP1
　　
　　內網網卡IP ：192.168.6.16/24
　　
　　內網網關：無
　　
　　DNS：192.168.6.11
　　
　　（3）Client
　　
　　操作系統(tǒng)：Windows 2000 Professionnal SP4
　　
　　IP：192.168.6.21/24
　　
　　網關：192.168.6.16
　　
　　DNS：192.168.6.11
　　
　　客戶配置為防火墻客戶。
　　
　　二、 實驗步驟
　　
　　本文中涉及到了一些DNS Server和AD（活動目錄）中的一些配置和內容，具體方法 忽略。在此域環(huán)境只是我的企業(yè)網絡的需要，不是必須的。
　　
　　第一步： 架設DNS Server。
　　
　　第二步： 提升DC，建立活動目錄環(huán)境。
　　
　　第三步： 建立域用戶和組。
　　
　　1. 建立測試用域用戶組:
　　
　?。?） 瀏覽網頁組
　　
　　（2） MSN組
　　
　?。?） 郵件組
　　
　　2. 建立測試用域用戶帳號：
　　
　?。?）test1：加入到瀏覽網頁組、MSN組和郵件組。
　　
　?。?）test2：加入到無限上網組。
　　
　　第四步：將ISA Server和Client加入到域中。
　　
　　第五步：安裝ISA Server 2004 標準版，在安裝完成后安裝Service Pack 1補丁包。
　　
　　第六步：配置ISA Server。
　　
　　1. ISA Server使用默認的邊緣防火墻模版。
　　
　　2. 新建四個用戶集，并于AD中的用戶組對應。
　　
　?。?）現(xiàn)在我們建立第一個用戶集，在防火墻策略右邊的工具箱中，點擊“用戶”，然后點擊“新建”
　　
　　 　
　　
　　打開新建用戶集向導：
　　
　　 　
　　
　　在“用戶集名稱”中，輸入新建的用戶集的名字“瀏覽網頁組”，然后點擊“下一步”，來到“用戶”頁。
　　
　　 　
　　
　　在“用戶”頁，單擊“添加”，并選擇“Windows 用戶和組”
　　
　　 　
　　
　　在這里點擊“位置”，選擇“整個目錄”，后點擊“確定”
　　
　　 　
　　
　　在“輸入對象名稱來選擇”欄里面輸入“瀏覽網頁組”，然后點擊“檢查名稱”。
　　
　　 　
　　
　　檢查成功后，點擊確定回到“用戶”頁，如下圖所示，點擊“下一步”，按照提示完成用戶集的建立。
　　
　　 　
　　
　　剛建立好的用戶集會在“用戶”中顯示出來
　　
　　 　
　　
　?。?）然后，按照同樣的方法，建立其他四個用戶集。
　　
　　全部建立好的用戶集如下圖：
　　
　　 　
　　
　?。?）點擊“應用”，應用剛才配置的用戶集設置。
　　
　　 　
　　
　　3. 自定義協(xié)議，使用TCP 的6891 ～ 6900端口,包括出站和入站
　　
　　（1）新建協(xié)議：TCP出站6891 ～ 6900端口
　　
　　在防火墻策略右邊的工具箱中，點擊“新建”，然后點擊“協(xié)議”
　　
　　 　
　　
　　選擇“協(xié)議”后出現(xiàn)“歡迎使用新建協(xié)議定義向導”對話框：
　　
　　 　
　　
　　輸入?yún)f(xié)議定義名稱：TCP 出6891-6900 ，并點擊“下一步”，進入“首要連接信息”對話框
　　
　　 　

最新評論