来源:安全中国

上次我们介绍了通过“Easy网管”软件限制IP的方法管理局域网的方法，今天我们来测试如何通过限制端口的方式来管理局域网的方法。

　　方案描述：为了限制员工使用QQ/MSN聊天、玩网络游戏、进行BT下载，可以通过网络管理软件对相应的网络软件、服务通信端口进行限制，可以手动添加限制的端口。该方案同样以Easy网管为例进行评测。

　　操作实例：运行Easy网管（http://www.mydown.com/soft/120/120349.html），打开网络管理窗口，切换到“系统设置”标签页，选中“通信端口限制”项，通过右键菜单可以新建端口限制规则，也可以对已有的“QQ与MSN端口”规则进行编辑，添加其他的端口，比如QQ的4000端口等。

　　切换到“用户控制”标签页，右键单击某个电脑IP地址，选择“编辑用户”，点击“查询编辑权限”按钮来设置采用的通信端口限制规则。

　　突破测试

　　为了测试Easy网管的端口限制效果，我们选择了Socks2HTTP+SocksCap32的经典方法进行突破测试。从实际的限制效果来看，对于一般的网络管理软件都可以进行突破，不过突破后访问速度一般不太理想，还与选择的代理服务器有关。

　　要通过限制端口来完全限制应用程序的运行是比较困难的，因为如今很多的网络软件、P2P软件都支持端口自动转换，建议在限制端口的基础上，限制网络软件服务器的IP地址。

　　限制效果：★★★

　　技术分析：网络管理软件可以对特定网络程序的端口进行监控，限制软件运行，使用Socks2HTTP+SocksCap32等软件可以将限制的端口转换为其他端口，突破局域网防火墙，绕开监控，突破限制。

　　方案总结：该方案一般用于对网络软件、网络服务的限制，比如QQ、MSN、QQ游戏、联众、股票软件等等，网管可以在网络管理软件中手工添加这些网络软件和服务的通信端口，进行限制。为了防止Socks2HTTP+SocksCap32的突破、对端口自动转换的P2P软件的失效。建议网管在采用端口限制方案的同时，结合网络软件、服务的IP地址限制。