现在企事业单位局域网用户使用QQ、联众等聊天和网游软件的逐渐增多,尤其是QQ游戏等各种网络游戏更是泛滥成灾;一方面这些游戏占用大量的带宽,影响局域网的网络正常访问;另一方面,员工玩游戏的同时浪费了大量的工作时间,导致工作效率低下。所以企事业单位如何有效地封堵各种网络游戏尤其是QQ游戏就是网络管理的重中之重。
目前市场上局域网管理软件也很多,但是真正能够有效封堵各种QQ游戏的网络管理软件还很少。国际上诸如websense等网络管理软件报价太高,不是国内企业能够承受的;国内也有诸如聚生网管(www.grablan.com)等较为知名的网络管理软件,基于协议控制QQ游戏,效果不错,而且报价也不贵,企事业单位也可以考虑采用。
不过,如果你的单位预算较少,或者有较高水平的网络管理技术人员,也可以通过一些网络方面的设置达到封堵QQ游戏的目的,不过,可能操作可能稍微复杂一点。以下是本人多年网络管理经验总结的一些方法,供大家参考。
方法一
一、 阻断QQ的连接,这种方法可能是较笨拙的方法,呵呵。
新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。
sz.tencent.com 61.144.238.145
sz2.tencent.com 61.144.238.146
sz3.tencent.com 202.104.129.251
sz4.tencent.com 202.104.129.254
sz5.tencent.com 61.141.194.203
sz6.tencent.com 202.104.129.252
sz7.tencent.com 202.104.129.253
在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来作阻断规则。
在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器:
218.17.217.106
219.133.40.95
219.133.40.97,
219.133.40.157,
219.133.40.177,
219.133.40.73,
219.133.40.189
218.18.95.153
218.17.209.23
202.104.129.253
218.17.209.42
在针对这些IP作阻断规则后,QQ已基本无法登录。
在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。
因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP:
61.141.194.203
61.144.238.145/146/149/155
61.172.249.135
65.54.229.253
202.96.170.164
202.104.129.151/251/252/253/254
211.157.38.38
218.17.209.23/42
218.17.217.106
218.18.95.153/165
219.133.40. 21/73/89/90/92/95/97/157/177/189(这个网段的服务器地址较多,可以考虑阻断整个网段)
虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。
方法二
腾迅QQ游戏的端口都是统一的443 而且是HTTPS 。所以只要在路由器上封堵443端口和对应的被控电脑的IP,就可以封堵几乎所有的QQ游戏。
封堵端口的方法:
1.在电脑上封端口的具体办法是:进入控制面板,打开WINDOWS防火墙,选择例外,选中Internet Explorer,不要点勾,再点击编辑,更改范围,然后再选中自定义列表,输入主机的IP地址,比如192.168.0.1。确定,就OK了!
2.在路由器上封端口是很简单的,首先进入路由器设置里面,应该有个数据包过滤或则相似的选项,在里面可以设置过滤的IP地址和端口范围,你想封80端口,直接在过滤的端口范围里面输入80就行了,比如80--80。
方法三――有两种方法
两种方法:使用软件限制策略,或者使用NTFS权限
NTFS权限:如果你的机器是2000/XP Pro/2003,而且硬盘分区是NTFS,而且别的帐户都没有管理员权限,那么可以这样操作:假设每个使用你电脑的人都有一个单独的用户帐户,而且这些帐户除了你的之外都是一般的Users组成员(也就是说,没有管理员权限)对于XP Pro,首先在文件夹选项中禁用简单文件共享。然后在QQ游戏安装目录上点击鼠标右键,选择属性,打开安全选项卡,点击添加按钮,输入Users并回车。在随后的权限列表中选中Users组,选中“完全控制”移行右侧的禁止复选框。
这样其他用户因为没有相应的权限而无法运行QQ游戏,而且因为权限不够,也无法安装新的QQ游戏到其他目录。但是有一点,QQ游戏基本上算是绿色软件,因此只要他们从其他电脑上复制QQ游戏的文件到硬盘上其他位置,照样可以使用。你可以考虑使用软件限制策略
软件限制策略:同样需要你的系统是2000/XP Pro/2003,运行gpedit.msc打开组策略编辑器,定位到计算机配置-Windows设置-安全设置-软件限制策略,在软件限制策略节点上点击鼠标右键,选择“创建新的策略”,然后双击右侧的“强制”策略,在将软件限制策略应用到下列用户选项中选择“除本地管理员以外的所有用户”,点击“其他规则”节点,这里默认情况下已经有了一些规则,你不要动这些规则,在右侧的空白处点击鼠标右键,选择“新散列规则”,点击浏览按钮,找到QQ游戏的可执行文件“qqgame.exe”,然后给该文件的安全级别设置为“不允许的”,然后应用。
这种方法的好处是比较严格,不管用户是否从其他地方将QQ游戏的所有文件复制过来,还是重新安装,只要他的帐户属于我们之前设置过的“除本地管理员以外的所有帐户”,那么他就无法运行QQ游戏,因为QQ游戏主文件qqgame.exe的Hash已经被标记为禁止这些用户运行了,无论游戏文件位于何处,只要是Hash相符就不能运行。
但是也有一点问题,那就是不同版本的QQ游戏主文件的Hash是不同的,因此你可能要辛苦一点,把能找到的每个版本的qqgame.exe都添加到软件限制策略中来
总之,有效控制QQ游戏,必须时常关注QQ游戏的网络传输方式,腾迅公司也时常变换自己的QQ游戏的协议、端口、服务器等信息,可能也是基于逃避各种网络监控的目的。所以对腾迅QQ游戏的封堵是一个长期的、实时的网络管理工作,企图一劳永逸地封堵腾迅游戏是不现实的。