Juniper netscreen防火墻禁止QQ和MSN

Juniper netscreen防火墻禁止QQ和MSN

目前很多公司都不允許用qq和msn，如果有一臺AOS設備那就簡單多了，直接把qq和msn的程序禁用就行了，但是aos設備價格都比較昂貴，小公司用的話相當于用大炮打蚊子，大才小用了。使用netscreen的防火墻通過一些配置也可以實現qq和msn的程序禁用的功能。

禁用qq的端口

udp src-port 0-65535 dst-port 8000-8001 
src-port 0-65535 dst-port 8000-8001 
tcp src-port 0-65535 dst-port 1863-1863 
udp src-port 0-65535 dst-port 1863-1863 
tcp src-port 0-65535 dst-port 2000-2000 
udp src-port 0-65535 dst-port 2000-2000

禁用qq的服務器地址

sz.tencent.com
sz2.tencent.com
sz3.tencent.com
sz4.tencent.com
sz5.tencent.com
sz6.tencent.com
sz7.tencent.com
sz8.tencent.com
sz9.tencent.com
tcpconn.tencent.com
tcpconn2.tencent.com
tcpconn3.tencent.com
tcpconn4.tencent.com
tcpconn5.tencent.com
tcpconn6.tencent.com

qq登陸方式有三種，tcp登陸，udp登陸，vip登陸(在qq登陸設置可查)

應該說用任何方式登陸都要經過一定的ip和端口進行的，我發現tcp方式登陸的一般都是用以下幾個地址和端口:219.133.60.173, 219.133.49.206,218.18.95.153:80,218.17.209.23:80，可能還有很多ip可以登陸，但我想應該都是通過tcp的80端口登陸的，只要禁止了tcp的80端口就可以禁止tcp方式的登陸了，但大家要注意一個事實，tcp的80端口也是瀏覽網站的默認端口啊，屏蔽了它是不能上網瀏覽網頁啊，所以只能封登陸的ip地址了。

udp登陸有:219.133.49.171,61.144.238.145:8000,202.104.129.254(253):8000，可能還有很多ip可以登陸，但我想應該都是通過udp的8000端口登陸的，只要禁止了udp的8000端口就可以禁止udp方式的登陸了。

vip登陸有(會員登陸用):58.60.9.58,21817.209.42:443(ssl的端口)，這個也是使用tcp方式登陸了，可能還有很多ip可以登陸，但我想應該都是通過tcp的443端口登陸的，只要禁止了tcp的443端口就可以禁止會員的tcp方式的登陸了。

禁用msn的端口

netscreen防火墻預定義有msn的服務端口 TCP src port 0-65535, dst port:1863

禁用msn的服務器地址:

Messenger.hotmail.com
Gateway.messenger.hotmail.com
207.46.107.113
207.46.113.221
65.54.239.211
65.54.239.80
65.54.225.254 
65.54.226.254 
65.54.228.244 
65.54.228.253 
65.54.229.248 
65.54.229.253 
65.54.225.241 
65.54.226.247

將以上的端口和服務器地址在策略（policy）禁用（deny）掉，基本上可以緊張使用qq和msn了，但是qq和msn的服務器地址會發生變化，只能不斷的增加禁用的ip地址，發現一個封一個，另外如果用戶通過代理上qq或msn的話，目前netscreen防火墻還是沒辦法的，只能拒絕對常用代理端口的訪問，比如TCP 8080/1080/3128。

如果禁掉了以上的ip和端口發現還是能登陸qq或msn可以在dos界面下用netstat -an命令來查看當前的連接狀態，找到qq或msn的ip地址加入到防火墻的禁止訪問列表中，基本就沒問題了。

以上的方法在netscreen 5gt-108上經過測試，確定是有效的。