|
|
用多款防火墙(包括pix,checkpoint,netscreen,安达通,蓝盾,华盾)路由器(cisco 2600)测试.成功封堵了qq、迅雷、BT.
思路很简单"开放需要的,其余的都阻断."
因为策略都是自上而下一条一条匹配的,所以先开放any到any的tcp80(web)、tcp和udp的53(域名解析)、tcp和udp的20、21(ftp)端口.然后在策略的最后添加一条any到any阻断的策略.并将策略应用在内网口的in方向.
这样做就能够保障正常的上网,同时能够封堵一些特殊的应用程序.
但应该注意的是有时候qq登陆是通过某些服务器的80端口来实现的.所以要想彻底的封堵qq还要屏蔽掉以下服务器的80端口(58.60.15.0/24,219.133.40.0/24,219.133.48.0/24,219.133.49.0/24) .
迅雷的很多资源也是通过tcp的20、21这两个端口来连接的.可以在命令行下的"netstat -an"查看本地的监听端口来封堵相应服务器的20、21端口来实现封堵迅雷.
(注意针对这些特殊服务器的拒绝策略的位置)
这样做的效果虽然在一定时期内很有效但随着qq、迅雷服务器的增加我们的策略也要相应增加.
对于迅雷、BT的封堵本人认为最有效的方法是通过QOS来实现的,保证关键业务的足够带宽,其他流量都做限制.
[ 本帖最后由 justsoso 于 2007-4-22 15:32 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-4-22 13:48:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡