浙江超盛电力:禁止局域网QQ聊天

禁止QQ和网络游戏，其实可以通过路由器的访问控制列表(ACL)来实现的。那么什么是访问控制列表呢？访问控制列表是思科的IOS提供的一种控制网络访问的工具，利用ACL可以在路由器的接口上灵活地控制过滤数据包，从而可以决定在路由器的任意接口上允许或者禁止我们需要控制的数据包。一个IP访问列表是控制一个或一组IP或其上的端口的一串命令序列。
IP访问控制列表分为三类，分别为标准访问控制列表(Standard access lists)，扩展访问控制列表(Extended access lists)和命名访问控制列表(Named access lists)。
标准访问控制列表是基于源地址和掩码，是对整个TCP/IP协议族的过滤，列表的编号是1至99，格式如下：
Router(config)#access-list access-lists-number(1~99) {deny|permit} souce [wildcard]
Router(config-if)#{protocol} access-group access-list-number {in|out}
扩展访问列表检查源地址和目的地址，可以精确地过滤TCP或者UDP的端口。列表的编号是100至199，格式如下：

Router(config)#access-list access-list-number(100-199) {permit|deny} protocol source source-wildward [operator port] destination destination destination-wildcard [operator port] [established] [log]
Router(config-if)#ip access-group access-list-number {in|out}
命名访问控制列表可以使用一组字母和数字的组合来代替扩展访问控制列表中的数字，使用它可以用来删除某一条特定的控制字符串，这样就可以更方便的精心修改。
具体关于ACL的使用请参阅2003年10月的《网管员世界》或者思科的培训教材，比如CCNA的培训教材或相关资料。
禁止QQ和网络游戏所有的网络应用，此处所指的是QQ和基于TCP/IP的网络游戏，都是通过和远端的服务器建立TCP或UDP的连接进行通讯的，也就是说，它们是用TCP或UDP端口进行通讯的。我们可以禁止QQ和网络游戏特定的TCP或UDP端口，但是我们如何才能知道QQ和网络游戏是通过哪个端口和服务器端口通讯的呢？大家应该都知道，一般的操作系统里有一条“netstat”命令，可以列出详细的端口列表。但是面对众多的IP地址和端口号，我们是很难看出哪一个IP地址和端口才是我们需要控制的。
其实，有很多单机版的网络防火墙软件，可以让我们详细并即时地看到哪一个应用软件在使用什么端口和远端通讯。在这里我推荐大家使用天网防火墙个人版。
下面就以我公司禁止QQ的设置为例来演示一下。我公司上网是通过Cisco 2611路由器的NAT功能上网的，Web和Mail都是通过NAT的端口映射实现的。
首先，打开QQ以后，在天网防火墙里可以看到QQ正在和服务器UDP 8080端口进行通讯，那么我们要做的就是禁止源地址UDP 8080端口。
当然也可以采用在每台计算机安装后台程序,禁止QQ程序运行,但这种方法很有可能被反木马软件查杀掉进程