如何禁止QQ游戲運行？

很多公司規定在上班時間禁止使用QQ和網絡游戲，可是一直以來只能靠大家的自覺執行，在公司里上班時間用QQ聊天和打網絡游戲之類的現象還是很普遍，那么就需要想辦法從技術角度解決這個問題。

訪問控制列表

對于禁止QQ和網絡游戲，其實可以通過路由器的訪問控制列表(ACL)來實現的。那么什么是訪問控制列表呢？訪問控制列表是思科的IOS提供的一種控制網絡訪問的工具，利用ACL可以在路由器的接口上靈活地控制過濾數據包，從而可以決定在路由器的任意接口上允許或者禁止我們需要控制的數據包。一個IP訪問列表是控制一個或一組IP或其上的端口的一串命令序列。

IP訪問控制列表分為三類，分別為標準訪問控制列表(Standardaccesslists)，擴展訪問控制列表(Extendedaccesslists)和命名訪問控制列表(Namedaccesslists)。

標準訪問控制列表是基于源地址和掩碼，是對整個TCP/IP協議族的過濾，列表的編號是1至99，格式如下：

Router(config)#access-listaccess-lists-number(1~99){deny|permit}souce[wildcard]

Router(config-if)#{protocol}access-groupaccess-list-number{in|out}

擴展訪問列表檢查源地址和目的地址，可以精確地過濾TCP或者UDP的端口。列表的編號是100至199，格式如下：

Router(config)#access-listaccess-list-number(100-199){permit|deny}protocolsourcesource-wildward[operatorport]destiNATiondestinationdestination-wildcard[operatorport][established][log]

Router(config-if)#ipaccess-groupaccess-list-number{in|out}

命名訪問控制列表可以使用一組字母和數字的組合來代替擴展訪問控制列表中的數字，使用它可以用來刪除某一條特定的控制字符串，這樣就可以更方便的精心修改。

具體關于ACL的使用請參閱2003年10月的《網管員世界》或者思科的培訓教材，比如CCNA的培訓教材或相關資料。

禁止QQ和網絡游戲

所有的網絡應用，此處所指的是QQ和基于TCP/IP的網絡游戲，都是通過和遠端的服務器建立TCP或UDP的連接進行通訊的，也就是說，它們是用TCP或UDP端口進行通訊的。我們可以禁止QQ和網絡游戲特定的TCP或UDP端口，但是我們如何才能知道QQ和網絡游戲是通過哪個端口和服務器端口通訊的呢？大家應該都知道，一般的操作系統里有一條“netstat”命令，可以列出詳細的端口列表。但是面對眾多的IP地址和端口號，我們是很難看出哪一個IP地址和端口才是我們需要控制的。

其實，有很多單機版的網絡防火墻軟件，可以讓我們詳細并即時地看到哪一個應用軟件在使用什么端口和遠端通訊。在這里我推薦大家使用天網防火墻個人版。

下面就以我公司禁止QQ的設置為例來演示一下。我公司上網是通過Cisco2611路由器的NAT功能上網的，Web和Mail都是通過NAT的端口映射實現的。

首先，打開QQ以后，在天網防火墻里可以看到QQ正在和服務器UDP8080端口進行通訊，那么我們要做的就是禁止源地址UDP8080端口。

Router(config)#access-list102udpdenyanyanyeq8080

Router(config)#access-list102tcppermitanyany

Router(config)#access-list102udppermitanyany

Router(config)#access-list102ippermitanyany

Router(config-if)#ipaccess-group102in

第一個命令定義了編號為102的ACL，禁止所有源地址和目的地址的UDP8080端口的數據包，最后一個命令是在interface模式下，此處應在靠近局域網的端口應用上面定義的編號為102的ACL。因為ACL默認需要至少有一條規則讓數據可以通過網絡接口，所以第二、三、四行的命令是規定所有的TCP、UDP、IP協議可以通過。

設置完成以后，用天網防火墻可以看到QQ在不停的嘗試和遠端服務器UDP8080端口進行通信，但是過一會兒以后，發現QQ又可以連接上去了。這是因為新版的QQ可以使用TCP80端口進行通信。因為TCP80端口是HTTP專用的，所以如果我們禁用TCP80端口的話，將使整個局域網無法訪問所有的網站，這是絕對不行的。因此，我們只有將所有QQ服務器的都找出來，然后禁止訪問。因為標準ACL是過濾所有源地址的整個協議族的，所以我們可以用標準ACL實現。

Router(config)#access-list2denyhost61.144.238.145

Router(config)#access-list2denyhost61.144.238.146

......

Router(config)#access-list2permitany

Router(config-if)#ipaccess-group2out

前面兩個命令定義了編號2的標準ACL,禁止所有源地址為Host后面的IP的數據包。

對于網絡游戲的禁止方法，是和禁止QQ的方法一樣的，用天網防火墻個人版找出服務器的端口，然后加以禁止。因為游戲服務器一般不會使用HTTP端口來進行通信，所以只要用擴展ACL就可以。如果擴展ACL規則不是很多的話，可以將所有的擴展ACL合并多一起。

管理方法

對于ACL的管理，可以用ACL命令；對于標準和擴展ACL，只能對整條ACL進行管理。如果要刪除一條ACL的話，使用：

noaccess-listnumber

如果要在一整條序列中添加一個規則的話，這樣會相當麻煩。所以，如果使用標準和擴展ACL的話，建議使用思科TFTPServer進行管理。將運行的配置文件拷貝到TFTP：

Router(config)#copyruntftp

然后將拷貝下來的config文件用寫字板打開，就可以進行編輯了。對ACL進行編輯以后，我們需要將原有的運行配置里的需要更改的access-list先刪掉，然后將修改后的文件拷貝到運行配置中，這條規則將立刻生效。

將修改后的文件恢復到路由器的運行配置中：

Router(config)#copytftprun

如果要將此配置文件備份到路由器的Flash中，可以使用“copyrunstart”命令，這樣的話每次路由器啟動的時候都會自動加載此配置文件。

一般的路由器都提供了ACL功能，利用ACL可以實現包過濾防火墻的一些功能，比如限制網絡訪問，限制網絡流量等功能。對于一些網絡流量不是很大的場合，完全可以借助ACL使路由器實現防火墻的部分功能，達到提高網絡安全性和提升網絡管理水平的作用。