[发明专利]一种限制即时通信应用的方法、系统和装置

说明书

技术领域

本发明涉及网络通信技术领域，特别是涉及一种限制即时通信应用的方法、系统和装置。

背景技术

即时通讯(Instant Messaging，简称IM)软件是通过即时通讯技术来实现在线聊天、交流的软件，目前中国最流行的有淘宝旺旺、QQ、MSN、POPO和UC等。透过即时通讯功能，能够知道亲友是否正在线上，并及时与他们即时通讯。即时通讯比传送电子邮件所需时间更短，而且比拨电话更方便，无疑是网络年代最方便的通讯方式。即时通讯是一个终端服务，能够允许两人或多人使用网路即时的传递文字讯息、档案、语音与视频交流。即时通讯是一种可以让使用者在网络上建立某种私人聊天室(chatroom)的实时通讯服务。随着网络化趋势的增强，各种IM软件成为许多人生活中保持人际关系的重要工具，以至于有很多人已经开始把自己的QQ号、MSN号印在名片上，成为与通讯地址、电话、电子邮件并列的另一重要联络方式。

但是即时通讯软件对病毒或网络蠕虫等网络威胁的防护能力较差，很容易对内部网络造成损害。因此目前许多机构，公司处于安全等因素的考虑，禁止在公司内部使用QQ等即时通信(IM)软件。为了达到这个目的，用户一般希望网关设备能够提供屏蔽QQ，MSN等应用的功能，从而控制整个企业内部网络即时通信(IM)的应用。

现有技术中通过设置网关设备(如路由器或者防火墙)中ACL(accesscontrol list，访问控制表)实现对IM应用的过滤。具体的实现方案是通过对IM需要使用的IP地址和端口号进行限制，也就是说是利用ACL禁止IM需要使用的IP地址和端口号。例如，当用户需要屏蔽MSN时，由于已知MSN的常用端口是1863，常用的server端IP地址有207.46.104.20等，用户只需要在网关设备上进行ACL配置，禁止内部网络对外部1863端口和207.46.104.20等IP的访问，就可达到屏蔽MSN的目的。

还有些网关设备在内部对于各种限制IM应用需要的ACL配置进行了包装，对于用户来说只需要在web页面上选择需要屏蔽哪个IM应用就行了，而不需要用户用手工配置ACL。但与直接配置ACL的方式相比，这种方法虽然对用户要方便一些，但同上述直接配置的方式一样也存在一些问题。

这些问题具体为：由于各种IM软件为了绕开网络的屏蔽，经常更新应用使用的端口号和server IP地址，因此对于手工配置ACL的方案，就需要重新配置增加对某些新的端口号和IP地址的限制。当然，用户首先必须要去了解各种IM软件又增加了对什么端口和IP地址的支持，然而这对一般的用户来说是非常困难的。而对于使用web进行配置的方案，则也需要更新相应的软件版本。因此现有技术的缺点是对于用户来说屏蔽过程是比较繁琐的，增加了很大的维护成本；并且，由于IM软件对新端口和IP的支持与网关设备的配置更新之间有一个时间差，如IM软件更新了相应的IP地址或端口号，而未在网关设备上及时更新，那么网关设备对于通过新的IP地址或端口号的即时通讯就无法进行屏蔽，从而引发了一定的防护漏洞。

发明内容

本发明实施例要解决的问题是提供一种限制即时通信应用的方法、系统和装置，解决现有技术中因为需要用户配置ACL，从而导致使用及维护过程繁琐的技术缺陷。

为达到上述目的，本发明实施例一方面提出一种限制即时通信应用的方法，用于自动对私网中客户端的即时通信进行限制，分别包括至少一个探针机、用户终端以及网关设备，其中网关设备接收用户报文，包括以下步骤：所述探针机上运行所有需要屏蔽的即时通信IM应用软件；所述网关设备根据所述用户报文的源地址判断所述用户报文是否来自于探针机还是用户终端；如果所述用户报文来自于所述探针机，则所述网关设备将所述用户报文的目的地址和目的端口号禁止，并将所述用户报文丢弃；如果所述用户报文不是来自于所述探针机，则进行正常发送。

其中，在所述网关设备将所述用户报文的目的地址和目的端口号禁止之前，还包括：所述网关设备进一步判断来自所述探针机的用户报文的目的端口号是否为53；如果所述目的端口号为53，则丢弃所述用户报文；如果所述目的端口号不为53，则将所述用户报文的目的地址和目的端口号禁止。

其中，将所述用户报文的目的地址和目的端口号禁止具体为：将需要禁止的目的地址和目的端口号加入隔离访问控制表ACL。

其中，还包括，通过命令停止对即时通信应用的限制或暂停对所述探针机发送的用户报文的监测。