当 SKYPE 使用端口 80 和 443 时如何阻止它？

A) 使用黑名单软件或在 AD 中配置策略来阻止 skype 可执行文件。

B) 使用可以进行深度数据包检查并阻止流量的防火墙。

C) 使用您的 DNS 服务器故意毒害对 skype.com 及其关联服务器的请求，以阻止 skype 连接。

D) 使用软件审计程序并定期获取报告，该报告将告诉您谁安装了 Skype，并通过公司政策提醒他们，如果他们反复在公司计算机上安装软件，将会被解雇。

E) 删除无需管理访问权限即可安装软件的用户的权限。

简要总结一下已经奏效和现在可能奏效的方法。所有这些都需要您有某种形式的代理服务器，但可能与透明的 Squid 代理配合使用。它们可能与 ISA 2006 配合使用，但我从未使用过它，所以我不做任何承诺。

• 旧版本使用包含“skype”的 User-Agent 字符串，因此可以阻止该字符串。新版本不包含 User-Agent，因为它被用来阻止。
• 旧版本使用 IP 地址而非名称进行连接。新版本显然使用名称来代替，因为人们阻止了 https 到 IP 地址的连接。

这些方法现在可能有效，但也可能给其他应用程序带来不同严重程度的问题：

• 找出 skype 域名使用的模式并添加阻止这些（或者如果可能的话，只对这些引入 2-5 秒的延迟）。我没有看到任何关于所用域名模式的文档。延迟适用于半公共网络，您希望通过使语音/视频质量完全不可接受来阻止使用，而无需消除对消息传递和网站的访问。
• 继续阻止直接连接到 IP 地址的连接 - 在 HTTP/1.1 时代，这样做几乎没有正当理由。就此而言，也许可以阻止 HTTP/1.0，但我不确定会有什么后果。
• 继续阻止 User-Agent 中含有“skype”的连接
• 添加阻止未指定用户代理的连接（这可能会破坏某些应用程序，具体取决于您的环境）
• 如果可能的话，做一个政策阻止 Skype对其使用进行处罚让您的用户了解并贯彻执行。
  • 如果是公司环境，请将其作为公司政策，并公布违反公司计算机使用准则的人员的记录（不透露姓名）。这将有助于解决安装盗版软件或硬件的人的问题。
  • 如果是非公司环境，请制定一项策略，即违反策略的计算机（有一定的警告余地）将无法访问网络，然后准备进行 MAC 级别的阻止或过滤。

看http://wiki.squid-cache.org/ConfigExamples/Chat/Skype

您要么需要某种可以进行深度数据包检查并识别数据包中的 Skype 流量以用作“阻止”条件的东西，要么需要知道要简单地阻止对哪些外部主机的访问。我不太熟悉 Skype 架构，我不确定它是否必须通过中央服务器才能实现任何目的。如果没有，那么您就无法采用第二种方法。

由于您使用的是 MS ISA Server，我建议在每台机器上安装防火墙客户端（如果可能，通过 AD 部署）。然后，您可以根据每个进程进行阻止。

当然，这只会阻止 Windows 客户端