Как заблокировать SKYPE при использовании портов 80 и 443?

Краткое описание того, что сработало и, вероятно, сработает сейчас. Все это потребует наличия прокси-сервера в той или иной форме, но, вероятно, будет работать с прозрачным прокси-сервером Squid. Они могут работать с ISA 2006, но я никогда не использовал его, поэтому не даю никаких обещаний.

• В более старых версиях использовалась строка User-Agent, включая "skype", поэтому блокировка на этом могла бы сработать. Более новые версии не включают User-Agent, потому что он использовался для блокировки.
• Старые версии подключались с использованием IP-адресов, а не имен. Более новые версии, по-видимому, используют имена вместо этого, потому что люди блокировали по https IP-адресам.

Подходы, которые, вероятно, будут работать сейчас, но которые могут вызвать проблемы различной степени серьезности и для других приложений:

• Найдите шаблон, используемый для доменных имен скайпа, и добавьте их блокировку (или, если возможно, добавьте задержку в 2-5 секунд только для них). Я не видел никакой документации используемых шаблонов доменных имен. Задержки относятся к полуобщественным сетям, где вы хотите препятствовать использованию, делая качество голоса / видео совершенно неприемлемым, не исключая доступ к обмену сообщениями и веб-сайту.
• Продолжайте блокировать соединения, идущие напрямую по IP-адресам - в наши дни в HTTP/1.1 нет веских причин делать это. В этом отношении может быть возможно заблокировать HTTP/1.0, но я не уверен в последствиях.
• Продолжайте блокировать соединения с помощью "Skype" в User-Agent
• Добавить блокировку соединений без указания User-Agent (это может привести к поломке некоторых приложений в зависимости от вашей среды)
• Если возможно, создайте политику блокировки Skype со штрафами за ее использование, известную вашим пользователям, и выполните это.
  • Если это корпоративная среда, сделайте ее корпоративной политикой и опубликуйте несколько статей о нарушении правил использования корпоративного компьютера (без имен). Это поможет обратиться к людям, которые устанавливают программное обеспечение или аппаратные средства бутлега.
  • Если это не корпоративная среда, сделайте это политикой, чтобы компьютеры, нарушившие политику (с некоторой задержкой для предупреждений), потеряли доступ к сети, а затем будьте готовы к блокировке или фильтрации на уровне MAC.

См. http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

Вам либо нужно что-то, что может выполнять глубокую проверку пакетов и определять трафик Skype внутри пакета для использования в качестве критериев "блокировки", либо вам необходимо знать, к каким внешним хостам нужно просто заблокировать доступ. Я не очень знаком с архитектурой Skype, я не уверен, должен ли он проходить через центральный сервер для каких-либо целей. Если этого не произойдет, то вы не можете сделать это вторым способом.

Поскольку вы используете MS ISA Server, я бы порекомендовал установить клиент брандмауэра на каждую машину (если возможно, разверните через AD). Затем вы можете заблокировать для каждого процесса.

Конечно, это будет блокировать только клиенты Windows, хотя