很多单位在使用 ISA2006时,都希望用 ISA对员工上网进行约束,今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同,因此我们将内容分为两部分,一部分介绍在工作组环境下如何操作,另一部分则针对域环境。 我们从工作组开始介绍,在工作组环境下,控制用户上网大多采用两种手段,IP地址或用户身份验证,多数管理员会倾向于利用 IP控制。 工作组环境的实验拓扑如下图所示,Beijing是 ISA2006服务器,Perth和 Istanbul是工作组内的两台计算机。 一 利用 IP+Arp静态绑定 工作组环境下进行身份验证并不方便,因此管理员一般会采用 IP地址进行访问控制。根据源 IP限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。如果我们希望只有 Perth能上网,那我们就可以创建一个允许上网的计算机集合,然后将 Perth加入此集合即可。 在 ISA服务器上打开 ISA服务器管理,在防火墙策略工具箱中选择新建“计算机集”,如下图所示。 为计算机集取名为“允许上网的计算机”,点击添加计算机,准备把 Perth加进来。 输入 Perth的名称和 IP地址,点击“确定“,这样我们就创建了一个计算机集合,集合内包括 Perth。 创建了计算机集合后,我们来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选择“内部”,点击“删除”,然后把刚创建的计算机集合添加进来。 修改后的规则如下图所示。 在Perth上访问百度,一切正常,如下图所示。 换到 Istanbul上访问,如下图所示,Istanbul无法访问Internet。 看起来我们达到了用IP控制用户上网的目的,问题已经解决,其实不然。由于目前ISA只是依靠IP地址进行访问控制,过不了多久,ISA管理员就会发现有“聪明”人开始盗用IP,冒充合法用户访问外网。为了应对这种情况,我们可以考虑使用ARP静态绑定来解决这个问题,即在ISA服务器上记录合法客户机的MAC地址。在本例中,我们让ISA记录Perth的MAC地址。如下图所示,ISA先ping Perth,然后用Arp –a查出 Perth的MAC地址,最后用Arp –s进行静态绑定,这样就不用担心用户盗用IP了。 二 用户身份验证 工作组环境下进行用户身份验证并不方便,但不等于无法进行用户身份验证,在工作组中进行身份验证可以使用镜像账号的方式,即在ISA服务器和客户机上创建用户名和口令都完全一致的用户账号。例如我们允许员工张强访问外网,张...
