溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Juniper netscreen防火墻禁止QQ和MSN

發(fā)布時(shí)間:2020-07-17 09:50:12 來源:網(wǎng)絡(luò) 閱讀:700 作者:msft 欄目:安全技術(shù)

Juniper netscreen防火墻禁止QQ和MSN

目前很多公司都不允許用qq和msn,如果有一臺(tái)AOS設(shè)備那就簡單多了,直接把qq和msn的程序禁用就行了,但是aos設(shè)備價(jià)格都比較昂貴,小公司用的話相當(dāng)于用大炮打蚊子,大才小用了。使用netscreen的防火墻通過一些配置也可以實(shí)現(xiàn)qq和msn的程序禁用的功能。

禁用qq的端口

udp src-port 0-65535 dst-port 8000-8001 
src-port 0-65535 dst-port 8000-8001 
tcp src-port 0-65535 dst-port 1863-1863 
udp src-port 0-65535 dst-port 1863-1863 
tcp src-port 0-65535 dst-port 2000-2000 
udp src-port 0-65535 dst-port 2000-2000

禁用qq的服務(wù)器地址

sz.tencent.com
sz2.tencent.com
sz3.tencent.com
sz4.tencent.com
sz5.tencent.com
sz6.tencent.com
sz7.tencent.com
sz8.tencent.com
sz9.tencent.com
tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
tcpconn5.tencent.com
tcpconn6.tencent.com

qq登陸方式有三種,tcp登陸,udp登陸,vip登陸(在qq登陸設(shè)置可查)

應(yīng)該說用任何方式登陸都要經(jīng)過一定的ip和端口進(jìn)行的,我發(fā)現(xiàn)tcp方式登陸的一般都是用以下幾個(gè)地址和端口:219.133.60.173, 219.133.49.206,218.18.95.153:80,218.17.209.23:80,可能還有很多ip可以登陸,但我想應(yīng)該都是通過tcp的80端口登陸的,只要禁止了tcp的80端口就可以禁止tcp方式的登陸了,但大家要注意一個(gè)事實(shí),tcp的80端口也是瀏覽網(wǎng)站的默認(rèn)端口啊,屏蔽了它是不能上網(wǎng)瀏覽網(wǎng)頁啊,所以只能封登陸的ip地址了。

udp登陸有:219.133.49.171,61.144.238.145:8000,202.104.129.254(253):8000,可能還有很多ip可以登陸,但我想應(yīng)該都是通過udp的8000端口登陸的,只要禁止了udp的8000端口就可以禁止udp方式的登陸了。

vip登陸有(會(huì)員登陸用):58.60.9.58,21817.209.42:443(ssl的端口),這個(gè)也是使用tcp方式登陸了,可能還有很多ip可以登陸,但我想應(yīng)該都是通過tcp的443端口登陸的,只要禁止了tcp的443端口就可以禁止會(huì)員的tcp方式的登陸了。

禁用msn的端口

netscreen防火墻預(yù)定義有msn的服務(wù)端口 TCP src port 0-65535, dst port:1863

禁用msn的服務(wù)器地址:

Messenger.hotmail.com
Gateway.messenger.hotmail.com
207.46.107.113
207.46.113.221
65.54.239.211
65.54.239.80
65.54.225.254 
65.54.226.254 
65.54.228.244 
65.54.228.253 
65.54.229.248 
65.54.229.253 
65.54.225.241 
65.54.226.247

將以上的端口和服務(wù)器地址在策略(policy)禁用(deny)掉,基本上可以緊張使用qq和msn了,但是qq和msn的服務(wù)器地址會(huì)發(fā)生變化,只能不斷的增加禁用的ip地址,發(fā)現(xiàn)一個(gè)封一個(gè),另外如果用戶通過代理上qq或msn的話,目前netscreen防火墻還是沒辦法的,只能拒絕對(duì)常用代理端口的訪問,比如TCP 8080/1080/3128。

如果禁掉了以上的ip和端口發(fā)現(xiàn)還是能登陸qq或msn可以在dos界面下用netstat -an命令來查看當(dāng)前的連接狀態(tài),找到qq或msn的ip地址加入到防火墻的禁止訪問列表中,基本就沒問題了。

以上的方法在netscreen 5gt-108上經(jīng)過測(cè)試,確定是有效的。


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI