用防火墙客户端限制使用 SKYPE：ISA2006系列之七

用防火墙客户端限制使用 SKYPE

 

很多 ISA 管理员都需要对客户机使用的网络应用程序进行限制，有的公司希望限制用户使用 QQ 聊天，有的企业不希望用户使用 BT 下载，还有的单位禁止员工打网络游戏。这些限制如何实现呢？今天我们介绍一种简单易用的方法：利用防火墙客户端限制客户机程序的运行。

防火墙客户端可以根据文件名限制客户机执行的应用程序，虽然根据文件名进行限制不是很保险，但对付一般用户还是有作用的。至于高手 嘛，呵呵，反正俺是绕着走 …..

实验拓扑如下图所示， Denver 是 contoso.com 的域控制器， Perth 是域内工作站， Beijing 是域内的 ISA2006 服务器，此次的实验目的是限制使用即时通讯软件 SKYPE 。

我们的实验思路是：

1  迫使客户机使用防火墙客户端

2  利用防火墙客户端禁止特定程序

 

一 迫使客户机使用防火墙客户端

由于只有防火墙客户端具有限制程序的功能，因此我们必须让客户机使用防火墙客户端。但 ISA 的代理方式有三种， Web 代理，防火墙客户端和 SNAT ，怎么才能让用户放弃其他两种选择呢？

首先我们先要禁止用户使用 Web 代理，想做到这一点很容易，只要在 ISA 上关闭 Web 代理就可以了。在 ISA 服务器上依次点击 开始－程序－ Microsoft ISA Server － ISA 服务器管理，

展开 配置－网络－内部，在内部网络的属性中切换到 “ Web 代理”，如下图所示，取消“为此网络启用 Web 代理客户端连接”，这样 ISA 就不再对内网提供 Web 代理服务了。

 

要禁止客户机使用 SNAT 就要动动脑筋了，我们可以利用 SNAT 不支持用户身份验证的弱点，在访问规则中要求用户必须通过身份验证，这样就可以强迫用户放弃 SNAT 。如下图所示，现在的访问规则中允许所有用户 任意访问，所有用户包括了未经身份验证的用户，因此我们要对规则进行修改。

 

编辑规则属性，切换到用户标签，如下图所示，删除“所有用户”，然后点击“添加”按钮，将用户集“所有 通过身份验证的用户”添加进来。

 

由于修改后的访问规则要求用户提供身份验证，但 SNAT 客户端无法提供，这样客户机就被逼上了只能使用防火墙客户端的华山绝路。

 

二 利用防火墙客户端禁止特定程序

现在客户机只能使用防火墙客户端上网了，我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用 SKYPE ， SKYPE 是一款功能非常强大的通讯软件，它的分布式计 算特点使它获得了非常完美的通话音质，而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制 SKYPE ，在没限制之前，客户机的 SKYPE 可以正常使用，如下图所示。

 

打开 ISA 服务器管理，展开 配置－常规，点击“定义防火墙客户端设置”， 如下图所示。

 

 

在防火墙客户端设置中切换到“应用程序设置”，如下图所示，点击“新建”。

 

Skype 的可执行文件名为 skype.exe 。在新建的应用程序项目中，我们在应用程序中 输入 skype ，不用输入 skype.exe ，键选择“ Disable ”，值选择“ 1 ” 。从字面意义来看是禁止使用 skype 。

 

添加了应用程序设置后，重启客户机，然后启动 skype 进行测试，如下图所示， skype 一直在尝试连接，但始终连接不上，实验成功。

 

但如果用户意识到问题所在，修改了文件名，那防火墙客户端就无能为力了。如下图所示，我们将 skype.exe 修改为 myskype.exe 。

 

修改用户名后，再次启动 skype ，如下图所示， skype 很轻松地突破了防火墙客户端的限制。

 

综上所述，防火墙客户端在限制程序方面能起到一定的作用，可以参考使用，但最好辅助其他技术手段，例如 用组策略禁用软件等，这样效果才能更好。