如何禁止QQ游戲運(yùn)行?
很多公司規(guī)定在上班時(shí)間禁止使用QQ和網(wǎng)絡(luò)游戲,可是一直以來(lái)只能靠大家的自覺(jué)執(zhí)行,在公司里上班時(shí)間用QQ聊天和打網(wǎng)絡(luò)游戲之類的現(xiàn)象還是很普遍,那么就需要想辦法從技術(shù)角度解決這個(gè)問(wèn)題。
訪問(wèn)控制列表
對(duì)于禁止QQ和網(wǎng)絡(luò)游戲,其實(shí)可以通過(guò)路由器的訪問(wèn)控制列表(ACL)來(lái)實(shí)現(xiàn)的。那么什么是訪問(wèn)控制列表呢?訪問(wèn)控制列表是思科的IOS提供的一種控制網(wǎng)絡(luò)訪問(wèn)的工具,利用ACL可以在路由器的接口上靈活地控制過(guò)濾數(shù)據(jù)包,從而可以決定在路由器的任意接口上允許或者禁止我們需要控制的數(shù)據(jù)包。一個(gè)IP訪問(wèn)列表是控制一個(gè)或一組IP或其上的端口的一串命令序列。
IP訪問(wèn)控制列表分為三類,分別為標(biāo)準(zhǔn)訪問(wèn)控制列表(Standardaccesslists),擴(kuò)展訪問(wèn)控制列表(Extendedaccesslists)和命名訪問(wèn)控制列表(Namedaccesslists)。
標(biāo)準(zhǔn)訪問(wèn)控制列表是基于源地址和掩碼,是對(duì)整個(gè)TCP/IP協(xié)議族的過(guò)濾,列表的編號(hào)是1至99,格式如下:
Router(config)#access-listaccess-lists-number(1~99){deny|permit}souce[wildcard]
Router(config-if)#{protocol}access-groupaccess-list-number{in|out}
擴(kuò)展訪問(wèn)列表檢查源地址和目的地址,可以精確地過(guò)濾TCP或者UDP的端口。列表的編號(hào)是100至199,格式如下:
Router(config)#access-listaccess-list-number(100-199){permit|deny}protocolsourcesource-wildward[operatorport]destiNATiondestinationdestination-wildcard[operatorport][established][log]
Router(config-if)#ipaccess-groupaccess-list-number{in|out}
命名訪問(wèn)控制列表可以使用一組字母和數(shù)字的組合來(lái)代替擴(kuò)展訪問(wèn)控制列表中的數(shù)字,使用它可以用來(lái)刪除某一條特定的控制字符串,這樣就可以更方便的精心修改。
具體關(guān)于ACL的使用請(qǐng)參閱2003年10月的《網(wǎng)管員世界》或者思科的培訓(xùn)教材,比如CCNA的培訓(xùn)教材或相關(guān)資料。
禁止QQ和網(wǎng)絡(luò)游戲
所有的網(wǎng)絡(luò)應(yīng)用,此處所指的是QQ和基于TCP/IP的網(wǎng)絡(luò)游戲,都是通過(guò)和遠(yuǎn)端的服務(wù)器建立TCP或UDP的連接進(jìn)行通訊的,也就是說(shuō),它們是用TCP或UDP端口進(jìn)行通訊的。我們可以禁止QQ和網(wǎng)絡(luò)游戲特定的TCP或UDP端口,但是我們?nèi)绾尾拍苤繯Q和網(wǎng)絡(luò)游戲是通過(guò)哪個(gè)端口和服務(wù)器端口通訊的呢?大家應(yīng)該都知道,一般的操作系統(tǒng)里有一條“netstat”命令,可以列出詳細(xì)的端口列表。但是面對(duì)眾多的IP地址和端口號(hào),我們是很難看出哪一個(gè)IP地址和端口才是我們需要控制的。
其實(shí),有很多單機(jī)版的網(wǎng)絡(luò)防火墻軟件,可以讓我們?cè)敿?xì)并即時(shí)地看到哪一個(gè)應(yīng)用軟件在使用什么端口和遠(yuǎn)端通訊。在這里我推薦大家使用天網(wǎng)防火墻個(gè)人版。
下面就以我公司禁止QQ的設(shè)置為例來(lái)演示一下。我公司上網(wǎng)是通過(guò)Cisco2611路由器的NAT功能上網(wǎng)的,Web和Mail都是通過(guò)NAT的端口映射實(shí)現(xiàn)的。
首先,打開(kāi)QQ以后,在天網(wǎng)防火墻里可以看到QQ正在和服務(wù)器UDP8080端口進(jìn)行通訊,那么我們要做的就是禁止源地址UDP8080端口。
Router(config)#access-list102udpdenyanyanyeq8080
Router(config)#access-list102tcppermitanyany
Router(config)#access-list102udppermitanyany
Router(config)#access-list102ippermitanyany
Router(config-if)#ipaccess-group102in
第一個(gè)命令定義了編號(hào)為102的ACL,禁止所有源地址和目的地址的UDP8080端口的數(shù)據(jù)包,最后一個(gè)命令是在interface模式下,此處應(yīng)在靠近局域網(wǎng)的端口應(yīng)用上面定義的編號(hào)為102的ACL。因?yàn)锳CL默認(rèn)需要至少有一條規(guī)則讓數(shù)據(jù)可以通過(guò)網(wǎng)絡(luò)接口,所以第二、三、四行的命令是規(guī)定所有的TCP、UDP、IP協(xié)議可以通過(guò)。
設(shè)置完成以后,用天網(wǎng)防火墻可以看到QQ在不停的嘗試和遠(yuǎn)端服務(wù)器UDP8080端口進(jìn)行通信,但是過(guò)一會(huì)兒以后,發(fā)現(xiàn)QQ又可以連接上去了。這是因?yàn)樾掳娴腝Q可以使用TCP80端口進(jìn)行通信。因?yàn)門CP80端口是HTTP專用的,所以如果我們禁用TCP80端口的話,將使整個(gè)局域網(wǎng)無(wú)法訪問(wèn)所有的網(wǎng)站,這是絕對(duì)不行的。因此,我們只有將所有QQ服務(wù)器的都找出來(lái),然后禁止訪問(wèn)。因?yàn)闃?biāo)準(zhǔn)ACL是過(guò)濾所有源地址的整個(gè)協(xié)議族的,所以我們可以用標(biāo)準(zhǔn)ACL實(shí)現(xiàn)。
Router(config)#access-list2denyhost61.144.238.145
Router(config)#access-list2denyhost61.144.238.146
......
Router(config)#access-list2permitany
Router(config-if)#ipaccess-group2out
前面兩個(gè)命令定義了編號(hào)2的標(biāo)準(zhǔn)ACL,禁止所有源地址為Host后面的IP的數(shù)據(jù)包。
對(duì)于網(wǎng)絡(luò)游戲的禁止方法,是和禁止QQ的方法一樣的,用天網(wǎng)防火墻個(gè)人版找出服務(wù)器的端口,然后加以禁止。因?yàn)橛螒蚍?wù)器一般不會(huì)使用HTTP端口來(lái)進(jìn)行通信,所以只要用擴(kuò)展ACL就可以。如果擴(kuò)展ACL規(guī)則不是很多的話,可以將所有的擴(kuò)展ACL合并多一起。
管理方法
對(duì)于ACL的管理,可以用ACL命令;對(duì)于標(biāo)準(zhǔn)和擴(kuò)展ACL,只能對(duì)整條ACL進(jìn)行管理。如果要?jiǎng)h除一條ACL的話,使用:
noaccess-listnumber
如果要在一整條序列中添加一個(gè)規(guī)則的話,這樣會(huì)相當(dāng)麻煩。所以,如果使用標(biāo)準(zhǔn)和擴(kuò)展ACL的話,建議使用思科TFTPServer進(jìn)行管理。將運(yùn)行的配置文件拷貝到TFTP:
Router(config)#copyruntftp
然后將拷貝下來(lái)的config文件用寫(xiě)字板打開(kāi),就可以進(jìn)行編輯了。對(duì)ACL進(jìn)行編輯以后,我們需要將原有的運(yùn)行配置里的需要更改的access-list先刪掉,然后將修改后的文件拷貝到運(yùn)行配置中,這條規(guī)則將立刻生效。
將修改后的文件恢復(fù)到路由器的運(yùn)行配置中:
Router(config)#copytftprun
如果要將此配置文件備份到路由器的Flash中,可以使用“copyrunstart”命令,這樣的話每次路由器啟動(dòng)的時(shí)候都會(huì)自動(dòng)加載此配置文件。
一般的路由器都提供了ACL功能,利用ACL可以實(shí)現(xiàn)包過(guò)濾防火墻的一些功能,比如限制網(wǎng)絡(luò)訪問(wèn),限制網(wǎng)絡(luò)流量等功能。對(duì)于一些網(wǎng)絡(luò)流量不是很大的場(chǎng)合,完全可以借助ACL使路由器實(shí)現(xiàn)防火墻的部分功能,達(dá)到提高網(wǎng)絡(luò)安全性和提升網(wǎng)絡(luò)管理水平的作用。