公司不能上QQ？！公司不能上MSN？！這是很多officer無奈而又不甘的事情，那么為什么公司不能上QQ？怎么才能在公司上QQ？不知道有多少人會來深究這個問題。

原理解析

從公司管理的角度講，公司不能上QQ，是防止員工上班時間閑聊，浪費上班時間。從技術的角度講，公司不能上QQ，是因為網(wǎng)管對公司的網(wǎng)絡做了“手腳”，限制了員工登錄QQ。

首先我們看一下QQ通常的幾種登錄方法：***種是使用TCP/UDP協(xié)議直接登錄騰訊的服務器；第二種是使用HTTP代理來登錄騰訊的服務器；第三種是使用socks代理來登錄騰訊的服務器。

知道了qq的登錄方法，讓我們理順一下，反其道而行之，就可以想出封殺QQ的方法。

思路一：利用上網(wǎng)行為管理軟件或者硬件設備自帶的封QQ功能，直接將QQ封掉。

思路二：只開放企業(yè)業(yè)務正常應用的必須的端口，其他端口全部關閉。如在一個企業(yè)中，可能需要瀏覽網(wǎng)頁，那就開放TCP 80端口；可能需要收發(fā)郵件，那就開放TCP 25和110端口；可能需要使用網(wǎng)上銀行的業(yè)務，那就開放 TCP 443端口。其他的端口全部關掉，這樣可以***限度的避免開放過多端口導致封鎖失敗。

同時考慮到開放的端口中，QQ也會使用 TCP 80端口和TCP 443端口登錄，那么就找到騰訊服務器的IP地址，并封之，則可以解決此問題。***在做策略的時候遵循一個“最小需求”的原則，即，需要什么服務，則設置到相應“目的IP地址”的相應“目標端口”。

如上班的時候，公司員工只需要瀏覽“網(wǎng)易”、“搜狐”、“新浪”和“本公司網(wǎng)站”，那么我們就設置只允許內部員工訪問目標網(wǎng)站IP地址的80端口，其他IP地址的80端口全部關閉，那么這樣就可以***限度的防止封鎖失敗。成功率 90%。

思路三：對于某些企業(yè)，由于其特殊的應用，可能需要網(wǎng)管不能使用“最小需求”的原則，那么這時候網(wǎng)管可以結合封QQ服務器IP地址+封使用代理服務器的方式來進行。成功率 80%。#p#

怎么限制QQ登錄

那么網(wǎng)管是怎么限制QQ登錄的，其實無外乎這幾種方式。

一、封IP地址的方法

（1）如何找QQ服務器的IP地址呢？有個簡單的方法，就是每次QQ登錄后，在“系統(tǒng)設置”-“登錄設置”界面中，有一項“當前登錄服務器”，此處顯示的是當前QQ用戶登錄的服務器的IP地址。網(wǎng)管可以將這些IP地址一一屏蔽掉。

二、封代理服務器

（1）如何限制內部QQ用戶使用HTTP代理服務器呢。我們來看一下，如果內部用戶使用http代理服務器登錄QQ會有怎么樣的交互過程：在使用HTTP代理登錄的過程中，會在三次握手建立后，有一個使用http協(xié)議請求url地址的過程，請求的url地址為：tcpconn.tencent.com。那么根據(jù)這一點來，我們就可以使用url地址過濾+關鍵字過濾的方法來阻斷這個請求。

（2）還有一部分人在網(wǎng)上尋找socks代理服務器，現(xiàn)在用的最多的兩種socks版本是socks 4和socks5，socks4只支持TCP協(xié)議，而socks5支持TCP和UDP兩種協(xié)議，socks代理協(xié)議默認使用的端口是1080端口，所以我們封掉1080端口。