公司不能上QQ？！公司不能上MSN？！這是很多officer無(wú)奈而又不甘的事情，那么為什么公司不能上QQ？怎么才能在公司上QQ？不知道有多少人會(huì)來(lái)深究這個(gè)問(wèn)題。

原理解析

從公司管理的角度講，公司不能上QQ，是防止員工上班時(shí)間閑聊，浪費(fèi)上班時(shí)間。從技術(shù)的角度講，公司不能上QQ，是因?yàn)榫W(wǎng)管對(duì)公司的網(wǎng)絡(luò)做了“手腳”，限制了員工登錄QQ。

首先我們看一下QQ通常的幾種登錄方法：***種是使用TCP/UDP協(xié)議直接登錄騰訊的服務(wù)器；第二種是使用HTTP代理來(lái)登錄騰訊的服務(wù)器；第三種是使用socks代理來(lái)登錄騰訊的服務(wù)器。

知道了qq的登錄方法，讓我們理順一下，反其道而行之，就可以想出封殺QQ的方法。

思路一：利用上網(wǎng)行為管理軟件或者硬件設(shè)備自帶的封QQ功能，直接將QQ封掉。

思路二：只開(kāi)放企業(yè)業(yè)務(wù)正常應(yīng)用的必須的端口，其他端口全部關(guān)閉。如在一個(gè)企業(yè)中，可能需要瀏覽網(wǎng)頁(yè)，那就開(kāi)放TCP 80端口；可能需要收發(fā)郵件，那就開(kāi)放TCP 25和110端口；可能需要使用網(wǎng)上銀行的業(yè)務(wù)，那就開(kāi)放 TCP 443端口。其他的端口全部關(guān)掉，這樣可以***限度的避免開(kāi)放過(guò)多端口導(dǎo)致封鎖失敗。

同時(shí)考慮到開(kāi)放的端口中，QQ也會(huì)使用 TCP 80端口和TCP 443端口登錄，那么就找到騰訊服務(wù)器的IP地址，并封之，則可以解決此問(wèn)題。***在做策略的時(shí)候遵循一個(gè)“最小需求”的原則，即，需要什么服務(wù)，則設(shè)置到相應(yīng)“目的IP地址”的相應(yīng)“目標(biāo)端口”。

如上班的時(shí)候，公司員工只需要瀏覽“網(wǎng)易”、“搜狐”、“新浪”和“本公司網(wǎng)站”，那么我們就設(shè)置只允許內(nèi)部員工訪問(wèn)目標(biāo)網(wǎng)站IP地址的80端口，其他IP地址的80端口全部關(guān)閉，那么這樣就可以***限度的防止封鎖失敗。成功率 90%。

思路三：對(duì)于某些企業(yè)，由于其特殊的應(yīng)用，可能需要網(wǎng)管不能使用“最小需求”的原則，那么這時(shí)候網(wǎng)管可以結(jié)合封QQ服務(wù)器IP地址+封使用代理服務(wù)器的方式來(lái)進(jìn)行。成功率 80%。#p#

怎么限制QQ登錄

那么網(wǎng)管是怎么限制QQ登錄的，其實(shí)無(wú)外乎這幾種方式。

一、封IP地址的方法

（1）如何找QQ服務(wù)器的IP地址呢？有個(gè)簡(jiǎn)單的方法，就是每次QQ登錄后，在“系統(tǒng)設(shè)置”-“登錄設(shè)置”界面中，有一項(xiàng)“當(dāng)前登錄服務(wù)器”，此處顯示的是當(dāng)前QQ用戶登錄的服務(wù)器的IP地址。網(wǎng)管可以將這些IP地址一一屏蔽掉。

二、封代理服務(wù)器

（1）如何限制內(nèi)部QQ用戶使用HTTP代理服務(wù)器呢。我們來(lái)看一下，如果內(nèi)部用戶使用http代理服務(wù)器登錄QQ會(huì)有怎么樣的交互過(guò)程：在使用HTTP代理登錄的過(guò)程中，會(huì)在三次握手建立后，有一個(gè)使用http協(xié)議請(qǐng)求url地址的過(guò)程，請(qǐng)求的url地址為：tcpconn.tencent.com。那么根據(jù)這一點(diǎn)來(lái)，我們就可以使用url地址過(guò)濾+關(guān)鍵字過(guò)濾的方法來(lái)阻斷這個(gè)請(qǐng)求。

（2）還有一部分人在網(wǎng)上尋找socks代理服務(wù)器，現(xiàn)在用的最多的兩種socks版本是socks 4和socks5，socks4只支持TCP協(xié)議，而socks5支持TCP和UDP兩種協(xié)議，socks代理協(xié)議默認(rèn)使用的端口是1080端口，所以我們封掉1080端口。