问：作为学校的一个安全措施，最近我们禁止全体教职员工和学生使用即时通讯客户端，并且我们是通过封锁端口来实现的。然而，许多教职工需要使用即时通讯软件。请解释一下我们怎样才能使用动态主机配置协议(DHCP)来仅仅允许特定的客户使用即时通讯端口。假如这是不能实现的，我们还有其它什么样的选择呢？

答：作为在因特网上应用最为广泛的应用程序之一，即时通讯（IM，即instant messaging)已经越来越成为攻击者的攻击目标。威胁范围包括即时通讯携带病毒、蠕虫、垃圾邮件（通过IM传送）、恶意程序和“钓鱼”攻击。不幸的是，在一个组织内部控制即时通讯的使用是相当困难的。尽管即时通讯基于TCP在互联网上运行，但是不同的即时通讯服务使用他们自己的私有协议。同样，假如即时通讯客户端被一个防火墙封锁，它也可以自动调整自己的设置并连接到即时通讯服务器。即使直接连接到即时通讯服务器所有端口都被封锁，客户端将能使用一个HTTP代理服务器来穿过防火墙连接到服务器。但完全封锁即时通信的使用，意味着将失去它给我们通讯带来的所有好处。如何才能配置一个即时通信措施以允许特定的教职员来使用IM？

　　遗憾的是，使用DHCP作为控制机制不是有效的。使用DHCP的目的是自动分配IP地址、子网掩码、默认网关和其它IP参数，当计算机通过DHCP接收到IP地址时，控制它们的传输相当困难。因为远程IP地址易于改变，防火墙规则配置方法将非常耗时而且容易出错。基于计算机物理地址来设置防火墙规则也是一种选择，但我们可以想到教职员和学生很可能共用一台计算机。

　　据我们所知，简单的端口封锁不是有效的。即时通讯客户端可以自动配置来使用公用端口，比如HTTP的80端口和FTP的21端口。事实上，可以在HTTP请求内部嵌入许多即时通讯数据，因而可以绕过任何的基于分析协议的防火墙。

　　我强烈建议去安装一个即时通讯防火墙，配置到你们学校传统防火墙的后面。同时你也可以考虑使用一个企业即时通讯服务。比如微软办公系列在线交流2005，不仅拥有IM防火墙技术，而且使用活动目录整合了权限控制。这是我最为推荐的安全配置，因为一个正确的身份和证明管理系统可以阻止特定的用户或特定组的用户使用即时通讯服务。

　　不管你选择了什么方法，你将同时需要一个可以接受的应用规则来管理即时通讯。因为即时通讯跟电子邮件一样有相同的安全和泄密危害，像恶意附件和乱码，许多用于管理电子邮件的方法同样可以用于即时通讯软件。最后，需要告知用户，在使用即时通讯时要对不明来源的东西要有像使用电子邮件一样的警惕度。