iT邦幫忙

0

如何在防火牆設定封鎖MSN及其他即時軟體

我們公司是用
netscreen
我想知道封鎖MSN
條件要如何設定

魯大 iT邦高手 1 級 ‧ 2009-03-23 23:17:10 檢舉
直接把MSN給移除就好啦..
幹嘛想這麼多...
cooch iT邦研究生 3 級 ‧ 2010-08-17 09:49:56 檢舉
單位使用 DNS 管制方式,
完全不用動到防火牆.

以下是管制清單:
ebuddy.com
e-messenger.net
goowy.biz 
goowy.com 
goowy.info
goowy.us
iloveim.com
imhaha.com
imhaha.net
imunitive.co.uk 
imunitive.com
jmsn.net
koolim.com
mabber.com
mabber.us 
meebo.biz
meebo.com
meebo.us
messengeradictos.com
messengerfx.com
msn.audiowatcher.com
msn2go.com
msnger.com
wablet.com
wablet.us 
webmessenger.msn.com
chatenabled.mail.google.com
48
門神JanusLin
iT邦超人 1 級 ‧ 2009-03-23 08:37:40
最佳解答

擋TCP 443 Port跟TCP 1863 Port
有需要的人再開放給他就可以了 !!

建議善用TCP View或是CurrPorts或是Wireshark.....等等工具

看更多先前的回應...收起先前的回應...
vamos168 iT邦新手 4 級 ‧ 2009-03-23 09:59:59 檢舉

我封鎖了這兩個PORT
還是可以用
一定還要加入目的端207.46.0.0/255.255.0.0
但這樣設定
一些微軟的網站又不能上
不知怎麼辦

魯大 iT邦高手 1 級 ‧ 2009-03-23 10:13:52 檢舉

現在的MSN是可以透過80 port連線的

vamos168 iT邦新手 4 級 ‧ 2009-03-23 10:30:59 檢舉

我要MSN不能用
但可以上微軟的網站
要怎麼設定條件

^^
要完全封住的話是需要UTM的設備
比如NUS-MH或是VigorPro的設備

如果有開Port 80的話
一堆Web MSN都可以使用
甚至架設Http Tunnel都可以過
所以如果人多
還是建議用第三方的設備做阻擋

cheng iT邦好手 1 級 ‧ 2009-03-24 08:20:43 檢舉

我的作法有幾種搭配方式....沒有經費買新設備使用方式
第一就是更新防火牆韌體,更新防火牆特徵碼,可以阻擋更多新軟體(當然這是要防火牆本身就有此功能,以市面上賣的設備應該都有)
第二就是WEBMSN較為麻煩,先查看網路上封鎖那些URL,最就是透過網路間聽部分與上網LOG紀錄來處理了,基本上會用MSN就只有那些人(這樣應該說的很明白了吧!)

36
michaelwan
iT邦高手 1 級 ‧ 2009-03-23 12:01:02

除非是擋下80PORT, 不然光用防火牆是阻擋不完全的.
我們目前的做法是, 擋下MSN的一些特定SERVER IP, 不敢說100%, 但應該有明顯的效果.

32
blue383891
iT邦新手 4 級 ‧ 2009-03-23 22:46:37

以我在SI的經驗
建議直接換防火牆比較快
現在的通訊軟體
幾乎都鎖80 PORT
你換防火牆會比你想破頭來的快
ABCOM SV3500 你可以試用看看
深植你心

34
zeonfrankcha
iT邦新手 4 級 ‧ 2009-03-24 08:18:28

其實可以考慮用這種方法去處理這個問題
關閉所有人直接連接Internet Acess
只針對必要開放 Internet 服務的PC or Server 做設定開放
其他人要上網要看網頁,可以啊,公司架構 Proxy 提供存取
在 Proxy Server 上還可以做網頁管控和病毒/木馬防護
為公司防毒做第一道防線
這樣不是更好嗎?

34
jachin
iT邦新手 4 級 ‧ 2009-03-24 11:08:17

一般新的防火牆都有直接封鎖及時通訊軟體的功能,
如果是舊的防火牆基本都是靠設定443和1863port來封鎖,
然而如樓上所說,那是封不住web msn和會自動找跳port的skype的,
在防火牆設定是比較消極的做法,
提供你一個比較可怕的做法,
就是在你的電腦安裝類似"Msn Chat Monitor & Sniffer"
的監控軟體(不花錢)
或是建議老闆購買一套IMEYE之類的監控(可以監控特定電腦的所有進出封包做的詳細事情)
當然...監控就好,然後口頭去勸說~
切記不要把監控內容公佈,否則還是會觸犯隱私權的唷^O^/

要鎖不確定會使用哪一個port出去最有效的方法本來就是出去的服務全關,
再依使用者進行服務的開啟,這才是務實的作法
依你說要裝 Msn Chat Monitor & Sniffer
除非公司的switch有支援Port Mirror或找個hub放在firewall & core switch中間,
不然一樣看不到東西
買IMEYE又不一定看得到SKYPE的內容,你不知道SKYPE文字內容會用AES加密嗎?
與其要抓內容倒不如直接擋他們要用的服務
設個PROXY 在PROXY上開放允許瀏覽的網站就好
這樣不是更方便嗎?

24
assaxc
iT邦新手 5 級 ‧ 2009-03-24 11:08:57

網頁MSN擋得住嗎?

UTM設備可以

kcneeds iT邦新手 4 級 ‧ 2009-04-02 14:40:21 檢舉

deny tcp any 207.46.106.0 255.255.255.0 eq 1863
deny tcp any 207.46.107.0 255.255.255.0 eq 1863
deny tcp any 207.46.110.0 255.255.255.0 eq www
阻擋這些網段應就可以了.

我要發表回答

立即登入回答