很多ISA管理员都需要对客户机使用的网络应用程序进行限制,有的公司希望限制用户使用QQ聊天,有的企业不希望用户使用BT下载,还有的单位禁止员工打网络游戏。这些限制如何实现呢?今天我们介绍一种简单易用的方法:利用防火墙客户端限制客户机程序的运行。
防火墙客户端可以根据文件名限制客户机执行的应用程序,虽然根据文件名进行限制不是很保险,但对付一般用户还是有作用的。至于高手嘛,呵呵,反正俺是绕着走…
实验拓扑如下图所示,Denver是contoso.com的域控制器,Perth是域内工作站,Beijing是域内的ISA2006服务器,此次的实验目的是限制使用即时通讯软件SKYPE。
我们的实验思路是:
1 迫使客户机使用防火墙客户端
2 利用防火墙客户端禁止特定程序
一 迫使客户机使用防火墙客户端
由于只有防火墙客户端具有限制程序的功能,因此我们必须让客户机使用防火墙客户端。但ISA的代理方式有三种,Web代理,防火墙客户端和SNAT,怎么才能让用户放弃其他两种选择呢?
首先我们先要禁止用户使用Web代理,想做到这一点很容易,只要在ISA上关闭Web代理就可以了。在ISA服务器上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理, 展开 配置-网络-内部,在内部网络的属性中切换到“Web代理”,如下图所示,取消“为此网络启用Web代理客户端连接”,这样ISA就不再对内网提供Web代理服务了。
要禁止客户机使用SNAT就要动动脑筋了,我们可以利用SNAT不支持用户身份验证的弱点,在访问规则中要求用户必须通过身份验证,这样就可以强迫用户放弃SNAT。如下图所示,现在的访问规则中允许所有用户任意访问,所有用户包括了未经身份验证的用户,因此我们要对规则进行修改。
编辑规则属性,切换到用户标签,如下图所示,删除“所有用户”,然后点击“添加”按钮,将用户集“所有通过身份验证的用户”添加进来。
由于修改后的访问规则要求用户提供身份验证,但SNAT客户端无法提供,这样客户机就被逼上了只能使用防火墙客户端的华山绝路。
二 利用防火墙客户端禁止特定程序
现在客户机只能使用防火墙客户端上网了,我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用SKYPE,SKYPE是一款功能非常强大的通讯软件,它的分布式计算特点使它获得了非常完美的通话音质,而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制SKYPE,在没限制之前,客户机的SKYPE可以正常使用,如下图所示。
打开ISA服务器管理,展开 配置-常规,点击“定义防火墙客户端设置”,如下图所示。
在防火墙客户端设置中切换到“应用程序设置”,如下图所示,点击“新建”。
Skype的可执行文件名为skype.exe。在新建的应用程序项目中,我们在应用程序中输入skype,不用输入skype.exe,键选择“Disable”,值选择“1”。从字面意义来看是禁止使用skype。
添加了应用程序设置后,重启客户机,然后启动skype进行测试,如下图所示,skype一直在尝试连接,但始终连接不上,实验成功。
但如果用户意识到问题所在,修改了文件名,那防火墙客户端就无能为力了。如下图所示,我们将skype.exe修改为myskype.exe。
修改用户名后,再次启动skype,如下图所示,skype很轻松地突破了防火墙客户端的限制。
综上所述,防火墙客户端在限制程序方面能起到一定的作用,可以参考使用,但较好辅助其他技术手段,例如用组策略禁用软件等,这样效果才能更好。
其实,无论是通过防火墙Skype聊天,防火墙限制Skype聊天,防火墙过滤Skype聊天,防火墙监控Skype聊天,防火墙控制Skype聊天;还是通过路由器禁止Skype聊天,路由器限制Skype聊天,路由器过滤Skype聊天,路由器监控Skype聊天,路由器控制Skype聊天,都变得不太现实,同时操作也极为复杂。
总之,禁止Skype聊天,限制Skype聊天,监控Skype聊天,过滤Skype聊天,控制Skype聊天,屏蔽Skype聊天,阻断Skype聊天,拦截Skype聊天,封堵Skype聊天,禁用Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,禁Skype聊天,限Skype聊天,封Skype聊天,Skype聊天端口,Skype聊天协议,Skype聊天服务器IP,如何控制Skype聊天,如何Skype聊天,如何限制Skype聊天,如何封堵Skype聊天,如何监控Skype聊天,如何管理Skype聊天等等这些功能,聚生上网管局域网流量控制软件可以实现!
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...