限製（zhì）QQ、MSN其實是有很多方法的，如（rú）利用（yòng）限製名稱限製QQ、利用ISA的HTTP的過濾功能（néng）、利用組策（cè）略等等下麵我們來展示幾種簡單的限（xiàn）製MSN的方法
環境：beijing是ISA服務器，Denver是域contoso.com的域控製器（qì），firence是域內（nèi）的客戶機並裝有MSN
我們先用最簡單的限製名稱來限製一下
這種方法beijing應該是域（yù）的成員，或者域內有Radius服務器以便後（hòu）來做身份驗（yàn）證
這種方法前提是客戶機必須使用防火牆客戶端代理上網
首（shǒu）先要讓客戶機不能利用web代理和SNAT代理，操作是
在（zài）beijing上依（yī）次點擊 開始（shǐ）－程序－Microsoft ISA Server－ISA服務器管理，在配置—網絡中右擊（jī）內部屬性，勾掉web代理
 
這（zhè）樣客戶（hù）機不能（néng）使用web代理了，我們再利用SNAT不能進行（háng）身（shēn）份驗證的弱點（diǎn）不讓用戶使用SNAT
在設置的策略（luè）中關於允許上網的策（cè）略的用戶標簽下更改成通（tōng）過身份驗證的用戶
 
然後在配置—常規下點擊“定義防火牆客戶端配置”
切（qiē）換到應用程序標簽下點擊新建將應用程序禁止應用程序寫msnmsgr注意不要加.exe,鍵是disable值是1這（zhè）樣就禁止了應用程序名為msnmsgr的程序
這樣做顯然（rán）有很大的缺點隻要（yào）客戶機firence將msn的（de）應用（yòng）程序名稱一改這種方法就不靈了
下麵我們來利用防火牆策略來限製msn
這（zhè）樣做的前提是知道msn服務器的ip地址,最簡單的方法是上（shàng）網查一（yī）查,不放心的話也可以自己用抓包器來抓一下,抓包器（qì）用windows自帶的管理工具下的網絡監視器也行,推薦使用Ethereal我們也可以用網絡監視器抓用Ethereal來分析（xī）
方法是先禁（jìn）用網卡----開始（shǐ）抓包----登陸msn
為方便（biàn）起見本人在網上查了一下msn服務器的ip是65.54.225.254
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
65.54.225.241
65.54.226.247
QQ服務器的ip是
202.104.128.233
202.104.129.242
202.104.129.251
202.104.129.252
202.104.129.253
202.104.129.254
202.104.193.18
202.104.193.30
202.96.140.119
202.96.140.12
202.96.140.18
202.96.140.8
202.96.170.163
202.96.170.164
202.96.170.166
210.22.12.126
211.248.99.252
218.17.209.23
218.17.209.42
218.17.217.103
218.17.217.66
218.18.95.153
218.18.95.165
218.18.95.171
218.18.95.209
218.18.95.220
218.18.95.221
218.18.95.236
218.66.59.233
218.85.138.74
219.133.38.133
219.133.38.135
219.133.38.136
219.133.38.230
219.133.38.43
219.133.38.5
219.133.38.66
219.133.40.113
219.133.40.114
219.133.40.115
219.133.40.118
219.133.40.119
219.133.40.15
219.133.40.173
219.133.40.201
219.133.40.216
219.133.40.73
219.133.40.89
219.133.40.90
219.133.40.91
219.133.40.95
61.141.194.200
61.141.194.203
61.141.194.207
61.141.194.223
61.141.194.224
61.141.194.227
61.144.238.145
61.144.238.146
61.144.238.150
61.144.238.156
61.172.249.135
用這種方法限製QQ比較麻煩ip那（nà）麽多好在隻是時間問題
我們在（zài）ISA的工具（jù）箱中找到網絡對象新建一（yī）個計算機集
 
點擊添加選計算機將剛剛查（chá）到的ip全部寫入
 
這時，再新建一（yī）條訪問規則
 
先取個名字
 
規則是拒絕
 
協議選所有（yǒu）出站協議
規（guī）則源是內部
 
目標是剛剛寫入的MSN服務器的計算機集
 
用戶選所有（yǒu）用戶
 
檢查一下完（wán）成創建
 
應（yīng）用後計算機就不能訪問（wèn）msn的服務器了
但是這種方法也不能從根本上解（jiě）決問題，因為客戶機登陸msn服務器時除（chú）了直接（jiē）登陸外還可以用代理服務器登錄，這時（shí）我（wǒ）們就要用HTTP的過濾功能中的簽（qiān）名來限製了簽名是HTTP我們要找出MSN服務器時（shí）的特征數據，依靠這個來（lái）封掉MSN
在允許上網的用戶策略上右擊選擇配置HTTP
 
切換到“頭”標簽下添加查找範圍請求頭值為User-Agent這樣就可以阻止這（zhè）個請求頭
 
在簽名的標簽下點擊添加輸入如圖的數據頭是“User-Agent”。
 
查找簽名可以在微軟網站上也可以通過抓包工具來（lái）獲取
這是利用簽名來限（xiàn）製MSN這種方法也並不是萬無（wú）一失的如果客戶機（jī）把請求加了密或者封裝成了ftp的格式（shì）這種方法也是無能（néng）為力的
我們（men）也可（kě）以在域控製器上利用組策略來限製做法是（shì）
在域（yù）控製（zhì）器Denver上開始—程序—管理工（gōng）具—AD站點和服務在站點上右擊屬性
 
 
在組策略標簽下新建個策略然後在windows設（shè）置（zhì）下的安（ān）全設置下找到軟件限製策略,打開後在其（qí）他（tā）規則上（shàng）右擊選擇新建哈希規則計算機基礎知（zhī）識（shí）,點擊瀏覽查（chá）找msn對應的程（chéng）序打（dǎ）開,這時（shí）會出現如圖所示的（de）內容確定之後就可以了,用了這個方法後本版本（běn）的msn一定會不能（néng）用了介紹的,這幾種（zhǒng）方（fāng）法基本上可以限製一般的用戶了.