fcl 运输术语:用NS-25防火墙封端口

1、阻断QQ的连接

局域网中禁止QQ的问题比较烦琐，传统的解决方法是通过对QQ的端口和服务器地址进行封堵。在阻断8000端口的连接后，发现QQ还会通过UDP的8001和TCP的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用，所以可以基于端口来做阻断规则。在用防火墙阻断以上端口的数据包后，发现QQ还会通过TCP的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的IP地址来做规则。在针对IP作阻断规则后，QQ已基本无法登录。仔细检查后可以发现，QQ安装目录下的Config.db文件记录了QQ服务器的地址。因此，在用防火墙阻止用户使用QQ上网时，除了阻止TCP和UDP的8000、8001端口外，还需阻断与QQ服务器的连接。

实际应用中，由于新版QQ可以采用TCP的80端口和加密代理、HTTP代理等方式进行登录，所以采用传统的方式对局域网内的QQ进行封堵的方法很难达到交果。虽然以上方法可以起到阻断QQ连接的作用，但如果腾讯增加新的QQ服务器，QQ也还是可以登录的。另外，用第三方的代理软件如NEC E-BORDER等，支持Anonymous的Socks5代理还是可能绕过去，登录使用QQ。

2、阻断MSN的连接

阻断MSN连接最简单高效的方法就是直接禁止对Messenger.hotmail.com等服务器的访问，当然还可以禁止对*.msgr.hotmail.com域名集的访问。但不建议禁止对*.Passport.com的访问，因为登录Hotmail.com邮箱等其它的Passport验证服务还需要使用它。另外，MSN的连接在除使用常规的1863端口外，还会使用7001和80端口，因为这两个端口涉及到其他网络服务的应用，所以也只能采用阻断QQ连接的方法，通过阻断与MSN服务器的连接，来达到用户要求。要禁用MSN，可以采用下面的方法:

首先是尽量采取“允许需要的，拒绝所有(其它)的”的原则创建防火墙规则;

拒绝对IP 207.46.104.20的访问;

拒绝对TCP 1863的访问;

对HTTP进行应用层检查，阻止包含Gateway.messenger.hotmail.com的连接;

拒绝对常用代理端口的访问，比如TCP 8080/1080/3128;

关注常见的HTTP隧道登录，枪打出头鸟，随时拒绝这类服务的登录服务器。

同样，如果微软添加新的MSN服务器或者用户使用代理，还是可以登录MSN。