[转载]通过ISA2004禁止使用POPO
<P>信息来源:windows 中文站</P><P><SPAN class=postbody>POPO登陆服务器时所使用的协议 <BR>通过测试分析,可知POPO使用HTTP、HTTPS两种方式登陆服务器 <BR><BR>考虑禁止方法 <BR>1.禁止访问POPO服务器 <BR>2.使用HTTP筛选,禁止通过HTTP代理使用POPO <BR><BR>测试步骤: <BR>1.查找POPO 服务器的IP地址 <BR>建立一条访问策略“Allow Internal”允许All Users访问外部,仅允许协议DNS外出访问,此时,将测试机MyComputer设为SecureNAT客户端,在ISA管理控制台中启用Logging筛选来自Mycomputer的信息,在MyComputer上登陆POPO,失败; <BR>在Logging中查看POPO 服务器的IP地址并记录 <BR><BR>通过实验得到的POPO IP集合如下: <BR>POPO服务器地址 <BR></SPAN>
<TABLE cellSpacing=1 cellPadding=3 width="90%" align=center border=0>
<TBODY>
<TR>
<TD><SPAN class=genmed><B>引用:</B></SPAN></TD></TR>
<TR>
<TD class=quote>220.181.28.217 <BR>220.181.28.219 <BR>220.181.28.224 <BR>220.181.28.228 <BR>220.181.28.230 <BR>220.181.28.231 <BR>220.181.28.232 <BR>220.181.28.238</TD></TR></TBODY></TABLE><SPAN class=postbody><BR><BR>2.禁止Popo Server Set的情况下,测试登陆情况; <BR><BR>(1)修改策略“Allow Interal”,在其中添加HTTP、HTTPS协议; <BR><BR>(2)新建计算机集”POPO Server”,将帖子POPO Server的IP地址添加进去;新建一条访问策略“Deny Popo Server”,禁止All Users访问POPO Server,协议All Outbound Traffic,并放在上一条策略“Allow Internal”之前 <BR><BR>在测试机MyComputer上登陆POPO,如果登陆仍能登录成功,在Logging中查看POPO 服务器的IP并添加到POPO Server中,直至完全无法登录。 <BR><BR>3.测试使用Http代理服务器登陆 <BR><BR>在公网上查找一台可用的匿名HTTP的代理服务器(80端口),在MyComputer上设置POPO通过此HTTP代理服务器登陆,成功登录 <BR><BR>此时,用Sniffer分析数据包,发现POPO登陆使用了CONNECT方法,以及签名中包含202.181.28.*的URL Request <BR><BR>4.在HTTP筛选中禁止CONNECT方法,或在签名中禁止URL Request 202.181.28,再次登陆,失败 <BR><BR>至此,在相对严格的条件限制下(只开放常用的HTTP、HTTPS以及DNS),POPO 已经无法登陆</SPAN></P>
页:
[1]