您当前位置:首页 > 资讯中心 > 公司新闻

局域网较有效控制QQ游戏的方法

现在企事业单位局域网用户使用QQ、联众等聊天和网游软件的逐渐增多,尤其是QQ游戏等各种网络游戏更是泛滥成灾;一方面这些游戏占用大量的带宽,影响局域网的网络正常访问;另一方面,员工玩游戏的同时浪费了大量的工作时间,导致工作效率低下。所以企事业单位如何有效地封堵各种网络游戏尤其是QQ游戏就是网络管理的重中之重。
目前市场上局域网管理软件也很多,但是真正能够有效封堵各种QQ游戏的网络管理软件还很少。国际上诸如websense等网络管理软件报价太高,不是国内企业能够承受的;国内也有诸如聚生网管(www.grablan.com)等较为知名的网络管理软件,基于协议控制QQ游戏,效果不错,而且报价也不贵,企事业单位也可以考虑采用。
不过,如果你的单位预算较少,或者有较高水平的网络管理技术人员,也可以通过一些网络方面的设置达到封堵QQ游戏的目的,不过,可能操作可能稍微复杂一点。以下是本人多年网络管理经验总结的一些方法,供大家参考。
方法一

  一、 阻断QQ的连接,这种方法可能是较笨拙的方法,呵呵。

  新版QQ不仅仅通过UDP方式登录服务器,还能够以TCP方式登录。QQ在连接时首先向以下七个服务器的8000端口发送udp包。

  sz.tencent.com 61.144.238.145
  sz2.tencent.com 61.144.238.146
  sz3.tencent.com 202.104.129.251
  sz4.tencent.com 202.104.129.254
  sz5.tencent.com 61.141.194.203
  sz6.tencent.com 202.104.129.252
  sz7.tencent.com 202.104.129.253

  在阻断8000端口的连接后,发现QQ还会通过udp的8001和tcp的8000、8001端口进行连接。鉴于这些端口目前只有QQ使用,所以可以基于端口来作阻断规则。

  在用防火墙阻断以上端口的数据包后,发现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则,会影响用户的正常上网,所以只能对服务器的ip地址来作规则。通过试验发现了以下可通过80和443端口建立连接的QQ服务器:

  218.17.217.106
  219.133.40.95
  219.133.40.97,
  219.133.40.157,
  219.133.40.177,
  219.133.40.73,
  219.133.40.189
  218.18.95.153
  218.17.209.23
  202.104.129.253
  218.17.209.42

  在针对这些IP作阻断规则后,QQ已基本无法登录。

  在试验中还发现,QQ安装目录下的Config.db文件,其中记录了QQ服务器的地址,与我们上面找到的完全符合。

  因此,在用防火墙阻止用户使用QQ上网时,除了阻止tcp和udp的8000、8001端口外,还需阻断与QQ服务器的连接。下面列举了在试验中找到的和在网上查到的QQ服务器IP:

  61.141.194.203
  61.144.238.145/146/149/155
  61.172.249.135
  65.54.229.253
  202.96.170.164
  202.104.129.151/251/252/253/254
  211.157.38.38
  218.17.209.23/42
  218.17.217.106
  218.18.95.153/165
  219.133.40. 21/73/89/90/92/95/97/157/177/189(这个网段的服务器地址较多,可以考虑阻断整个网段)

  虽然以上方法可以起到阻断QQ连接的作用,但如果腾讯增加新的QQ服务器,QQ也还是可以登录的。另外,用第三方的代理软件如NEC E-BORDER等,支持Anonymous的Socks5代理还是可能绕过去,登陆使用QQ。
方法二
腾迅QQ游戏的端口都是统一的443 而且是HTTPS 。所以只要在路由器上封堵443端口和对应的被控电脑的IP,就可以封堵几乎所有的QQ游戏。
封堵端口的方法:

1.在电脑上封端口的具体办法是:进入控制面板,打开WINDOWS防火墙,选择例外,选中Internet Explorer,不要点勾,再点击编辑,更改范围,然后再选中自定义列表,输入主机的IP地址,比如192.168.0.1。确定,就OK了!
2.在路由器上封端口是很简单的,首先进入路由器设置里面,应该有个数据包过滤或则相似的选项,在里面可以设置过滤的IP地址和端口范围,你想封80端口,直接在过滤的端口范围里面输入80就行了,比如80--80。
方法三――有两种方法
两种方法:使用软件限制策略,或者使用NTFS权限

NTFS权限:如果你的机器是2000/XP Pro/2003,而且硬盘分区是NTFS,而且别的帐户都没有管理员权限,那么可以这样操作:假设每个使用你电脑的人都有一个单独的用户帐户,而且这些帐户除了你的之外都是一般的Users组成员(也就是说,没有管理员权限)对于XP Pro,首先在文件夹选项中禁用简单文件共享。然后在QQ游戏安装目录上点击鼠标右键,选择属性,打开安全选项卡,点击添加按钮,输入Users并回车。在随后的权限列表中选中Users组,选中“完全控制”移行右侧的禁止复选框。

这样其他用户因为没有相应的权限而无法运行QQ游戏,而且因为权限不够,也无法安装新的QQ游戏到其他目录。但是有一点,QQ游戏基本上算是绿色软件,因此只要他们从其他电脑上复制QQ游戏的文件到硬盘上其他位置,照样可以使用。你可以考虑使用软件限制策略

软件限制策略:同样需要你的系统是2000/XP Pro/2003,运行gpedit.msc打开组策略编辑器,定位到计算机配置-Windows设置-安全设置-软件限制策略,在软件限制策略节点上点击鼠标右键,选择“创建新的策略”,然后双击右侧的“强制”策略,在将软件限制策略应用到下列用户选项中选择“除本地管理员以外的所有用户”,点击“其他规则”节点,这里默认情况下已经有了一些规则,你不要动这些规则,在右侧的空白处点击鼠标右键,选择“新散列规则”,点击浏览按钮,找到QQ游戏的可执行文件“qqgame.exe”,然后给该文件的安全级别设置为“不允许的”,然后应用。

这种方法的好处是比较严格,不管用户是否从其他地方将QQ游戏的所有文件复制过来,还是重新安装,只要他的帐户属于我们之前设置过的“除本地管理员以外的所有帐户”,那么他就无法运行QQ游戏,因为QQ游戏主文件qqgame.exe的Hash已经被标记为禁止这些用户运行了,无论游戏文件位于何处,只要是Hash相符就不能运行。

但是也有一点问题,那就是不同版本的QQ游戏主文件的Hash是不同的,因此你可能要辛苦一点,把能找到的每个版本的qqgame.exe都添加到软件限制策略中来
总之,有效控制QQ游戏,必须时常关注QQ游戏的网络传输方式,腾迅公司也时常变换自己的QQ游戏的协议、端口、服务器等信息,可能也是基于逃避各种网络监控的目的。所以对腾迅QQ游戏的封堵是一个长期的、实时的网络管理工作,企图一劳永逸地封堵腾迅游戏是不现实的。

作者:Admin - 发布时间:2006-03-27 - 点击量:6116
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们