转载 [安全技术]如何在防火墙后禁用MSN-www.3safe.net( 二 ) _防火安全知识

HTTP协议登录及禁用
即使你没有明确允许客户端以TCP/1863方式登录，但你会发现客户端仍然能够登录，这是为什么呢？这是因为当客户端不能以MSN协议进行登录时，它会尝试使用是同一台服务器。
图2
很明显，由于这种登录方式客户端也要联系DS 207.46.104.20，所以简单高效的方法仍然是拒绝访问这个IP地址，当然也可以拒绝对域名Gateway.messenger.hotmail.com的访问，不过前者更高效，因为不必进行应用层检查。
HTTP代理登录及禁用
如果局域网内的上网代理服务器本身就支持，所以也会被防火墙禁止。
如果MSN使用的应用层过滤，现在大多数的企业级防火墙都支持这种过滤检查，它的原理就是对应用层数据进行检查以发现其中是否包含某些特征字符串，并采取相应的动作。
根据图2，这里应该检查初始中你可以这样操作以达到目的：
进入防火墙规则窗口，右击相应的访问规则（即要在它上面进行所示。
图3
【转载 [安全技术]如何在防火墙后禁用MSN-www.3safe.net】 当你配置完并应用设置之后，你会发现使用外部80端口代理已经不能登录了，在ISA日志中你可以看到拒绝原因及拒绝记录。
还有一个问题：我们可以对TCP80代理使用应用层检查，对TCP8080进行端口禁用，但对其它端口呢？总不能一个一个地禁用吧？其实，这就要看你创建规则是使用的什么原则了，我们推荐是采用“允许需要的，拒绝所有的”的原则，而不是采用“允许所有的，禁止特定的”原则。因为采用前一种原则，我们就不必特意去禁用某些端口，只要我们不明确开放这些端口就行了。
另外，在ISA2004中，默认情况下ISA只会对内建的所示。
图4
Socks4和Socks5代理登录及禁用
Socks4和Socks5代理登录与上面的等，但对于这些端口之外的就不好办了，在这里也只有再一次提醒大家使用“允许需要的，拒绝所有的”的原则创建防火墙规则。
另类HTTP隧道登陆及禁用
其实还应该有一种比较特殊的登录方式，很多人叫它为应该有自己的心得了吧？
对于其它这类软件，可以采取上面类似的方法。
通过上面的讨论我们可以简单的总结一下，要禁用MSN，可以采用下面的方法：
1. 首先是尽量采取“允许需要的，拒绝所有（其它）的”的原则创建防火墙规则；
2. 拒绝对IP 207.46.104.20的访问；
3. 拒绝对TCP 1863的访问；
4. 对的连接；
5. 拒绝对常用代理端口的访问，比如TCP 8080/1080/3128；
6. 关注常见的HTTP隧道登录，枪打出头鸟，随时拒绝这类服务的登录服务器。
通过以上的规则，相信在防火墙后禁用MSN就再也不是什么难事了！
该文章来源于，要了解更多有关网络安全方面的知识和硬件防火墙资讯，请登陆本公司网站！
dd

转载 [安全技术]如何在防火墙后禁用MSN-www.3safe.net( 二 )

猜你喜欢