Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1237281
  • 博文数量: 190
  • 博客积分: 4090
  • 博客等级: 上校
  • 技术积分: 3878
  • 用 户 组: 普通用户
  • 注册时间: 2010-05-22 15:52
文章分类

全部博文(190)

文章存档

2013年(30)

2012年(160)

分类: 网络与安全

2012-04-21 22:29:56

用防火墙客户端限制使用SKYPE

很多ISA管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用QQ聊天,有的企业不希望用户使用BT下载,还有的单位禁止员工打网络游戏。这些对客户机的限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。

防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手嘛,呵呵,反正俺是绕着走…..

实验拓扑如下图所示,Denvercontoso.com的域控制器,Perth是域内工作站,Beijing是域内的ISA2006服务器,此次的实验目的是限制使用即时通讯软件SKYPE

我们的实验思路是:

1  迫使客户机使用防火墙客户端

2  利用防火墙客户端禁止特定程序

 

 迫使客户机使用防火墙客户端

由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但ISA的代理方式有三种,Web代理,防火墙客户端和SNAT,怎么才能让用户放弃其他两种选择呢?

首先我们先要禁止用户使用Web代理,想做到这一点很容易,只要在ISA上关闭Web代理就可以了。在ISA服务器上依次点击 开始-程序-Microsoft ISA ServerISA服务器管理,展开 配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。

 

要禁止客户机使用SNAT就要动动脑筋了,我们可以利用SNAT不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃SNAT。如下图所示,现在的访问规则中允许所有用户任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。

 

编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有通过身份验证的用户”添加进来。

 

由于修改后的访问规则要求用户提供身份验证,但SNAT客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。

 利用防火墙客户端禁止特定程序

现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用SKYPESKYPE是一款功能非常强大的通讯软件,它的分布式计算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员也是一筹莫展。今天我们要试试用简单的方法来限制SKYPE,在没限制之前,客户机的SKYPE可以正常使用,如下图所示。

 

打开ISA服务器管理,展开 配置-常规,点击“定义防火墙客户端设置”,如下图所示。

 

在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。

 

Skype的可执行文件名为skype.exe。在新建的应用程序项目中,我们在应用程序中输入skype,不用输入skype.exe,键选择“Disable”,值选择“1。从字面意义来看是禁止使用skype

 

添加了应用程序设置后,重启客户机,然后启动skype进行测试,如下图所示,skype一直在尝试连接,但始终连接不上,实验成功。

 

但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将skype.exe修改为myskype.exe

 

修改用户名后,再次启动skype,如下图所示,skype很轻松地突破了防火墙客户端的限制。

 

综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但最好辅助其他技术手段,例如用组策略禁用软件等,这样效果才能更好。

阅读(2487) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~