公司出台限制员工使用QQ软件规定

任务引言

即时通信（Instant Messaging，IM）是目前Internet上最为流行的通信方式，各种各样的即时通信软件层出不穷，QQ软件是其中应用最多的软件。这些IM软件在提供通信便利的同时，也分散了员工的注意力及存在病毒传播等安全威胁。限制员工使用IM软件是实现公司网络安全的重要手段。

学习目标

了解QQ软件的安全威胁；

掌握禁用IM软件的配置。

知识引入

限制员工使用QQ软件是通过在防火墙配置策略，对QQ软件的数据包进行限制，使员工登录QQ不成功，如图5-8-1所示。

图5-8-1　限制QQ软件

【工作任务】——限制员工使用QQ软件

1．工作任务背景

千山公司深圳总公司最近对公司网络的测评发现，公司员工有1/4的时间都花在QQ聊天上，这大大妨碍了公司正常工作的进行。公司决定在防火墙进行配置，限制员工使用QQ软件，如图5-8-2所示。

图5-8-2　深圳总公司限制QQ软件

2．工作任务分析

环境设备如表5-8-1和表5-8-2所示。

表5-8-1　深圳总公司部门网络信息

表5-8-2　网络参数设置

通过防火墙IM软件策略限制，PC1和PC2均不能登录QQ聊天软件。

【任务实现】

1．根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置

s1（config）#vlan 80

s1（Config-Vlan80）#switchport interface ethernet 0/0/1-10

s1（Config-Vlan80）#exit

s1（config）#int vlan 1

s1（Config-if-Vlan1）#ip address 192.168.1.1 255.255.255.0

s1（Config-if-Vlan1）#no shutdown

s1（Config-if-Vlan1）#exit

s1（config）#int vlan 80

s1（Config-if-Vlan80）#ip address 192.168.80.1 255.255.255.0

s1（Config-if-Vlan80）#no shutdown

s1（Config-if-Vlan80）#exit

s1（config）#router ospf 1

s1（config-router）#network 192.168.1.0/24 area 0

s1（config-router）#network 192.168.80.0/24 area 0

s1（config-router）#exit

2．根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置

s2（config）#vlan 10

s2（Config-Vlan10）#switchport interface ethernet 0/0/1-4

s2（Config-Vlan10）#exit

s2（config）#vlan 20

s2（Config-Vlan20）#switchport interface ethernet 0/0/5-8

s2（Config-Vlan20）#exit

s2（config）#int vlan 1

s2（Config-if-Vlan1）#ip address 192.168.1.2 255.255.255.0

s2（Config-if-Vlan1）#exit

s2（config）#int vlan 10(www.xing528.com)

s2（Config-if-Vlan10）#ip address 192.168.10.1 255.255.255.0

s2（Config-if-Vlan10）#no shutdown

s2（Config-if-Vlan10）#int vlan 20

s2（Config-if-Vlan20）#ip address 192.168.20.1 255.255.255.0

s2（Config-if-Vlan20）#no shutdown

s2（Config-if-Vlan20）#exit

s2（config）#router ospf 1

s2（config-router）#network 192.168.1.0/24 area 0

s2（config-router）#network 192.168.10.0/24 area 0

s2（config-router）#network 192.168.20.0/24 area 0

s2（config-router）#exit

3．根据所学知识完成防火墙端口与基本策略配置

（1）接口配置，如图5-8-3所示。

图5-8-3　接口配置列表

（2）设置防火墙策略允许trust访问untrust，如图5-8-4所示。

图5-8-4　安全策略配置

4．根据验证环境配置防火墙外网接口IP和策略，使内网用户能访问Internet

（1）添加一条出外网的默认路由，如图5-8-5所示。

图5-8-5　目的路由配置

（2）添加源NAT出外网都转换成接口IP地址，如图5-8-6所示。

图5-8-6　SNAT配置

5．初步测试

初步测试，发现PC1和PC2均能登录QQ，如图5-8-7所示。

图5-8-7　QQ登录界面

6．开启外网口安全域的应用程序识别

（1）选择“网络”，单击“安全域”，选择“untrust域”，在安全域配置界面勾选应用识别为“启用”，如图5-8-8所示。

图5-8-8　开启应用程序识别

（2）创建禁用QQ的安全策略。选择“防火墙”，单击“策略”，在策略列表中单击新建trust到untrust策略，在策略基本配置界面服务簿选择“QQ*”，行为为“拒绝”，单击“确认”，如图5-8-9和图5-8-10所示。

图5-8-9　QQ限制策略

图5-8-10　限制策略列表

7．验证配置

在PC1和PC2分别登录QQ，查看效果，如图5-8-11所示。

图5-8-11　验证效果

【问题探究】

（1）禁用IM软件配置还能实现什么软件的禁用？

（2）安全策略怎样在端口中起作用？

【知识拓展】

如果在设置禁用策略中有permit策略，则一定要将permit策略放置在deny QQ的策略之前。

【任务拓展】

利用所学知识禁止千山公司深圳总公司所有用户MSN软件使用。