网管实战：为网络系统构建ISA防火墙

　　作为网管员，保护计算机的安全，让局域网内的计算机在规定权限内安全访问Internet，是我们的重要职责。经笔者实践，ISA Server 2004就是一个能帮我们顺利完成这一任务的软件工具。Microsoft Internet Security Acceleration(ISA)是一个基于Windows网络的，将计算机连接到Internet的有效防火墙安全服务工具。使用ISA Server 2004来管理局域网有很多方便之处，特别是对网内计算机访问Internet的权限做一些特定的限制，及Internet对网内计算机的攻击防护都有很好的控制作用。下面笔者就谈一下安装ISA Server 2004以后，是如何根据局域网内情况进行配置的。

　　一、创建一个内部对Internet访问的规则

　　当我们安装好ISA 2004后，默认的配置是禁止所有的协议通过ISA Server ，也就是局域网内的所有机器都不能通过ISA Server上网，要让局域网内的计算机访问Internet，必须配置一个能允许内网计算机通过的访问规则，也就是让内部客户端计算机在允许的协议内访问Internet。方法是通过“防火墙策略”中的“任务”，创建一个新的访问规则。当选择“创建新的访问规则”时(图1)，打开了“新建访问规则向导”，为访问规则起一个容易识别的名称，如“允许内网对外的访问规则”。选择[下一步]，在“符合规则条件时要执行的操作”中选择“允许”。在“此规则应用到”中，选择“所选的协议”，然后为其添加FTP、HTTP、HTTPS、DNS等我们需要网络通过的协议(图2)。选择[下一步]，在“访问规则源”中，添加“网络→内部”。在“访问规则目标”中，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。这时我们的计算机在“所选的协议”范围内就可以访问Internet了。当然，如果需要，我们可以增加协议。右键选择刚创建的规则，选择“属性”，打开“允许内网对外的访问规则”属性对话框，选择协议选项卡，添加允许通过的协议。如果不想对内网访问外网做任何的限制，可以选择“所有出站通讯”，这样校内的计算机就可以无限制地访问Internet。如果想对时间做限制，可以在“计划”选项卡中对内部客户端计算机访问Internet的时间进行控制(图3)。

　　图1

　　图2

　　图3

　　二、限制终端计算机对Internet的访问

　　对于有些计算机，由于应用的需要我们可能需要其访问个别网站，但打开网络后，使用者就会无节制地上网，无法控制。这时可以利用ISA Server 2004阻止这些计算机访问Internet，让这些计算机只能打开我们允许访问的网站。方法是创建一个“被限制的对外访问规则”。选择“创建新的访问规则”，打开“新建访问规则向导”，为访问规则起一个名称，如“被限制的对外访问规则”。选择[下一步]，在“符合规则条件时要执行的操作”中选择“拒绝”，在“此规则应用到”中选择“所有出站通讯”。选择[下一步]，在“访问规则源”中，选择添加“新建→地址范围”，把终端计算机的IP地址范围填在上面，例如:192.168.0.101～192.168.0.250(这要求在局域网内固定IP地址)(图 4)，并命名为“用户计算机”，把其添加进“访问规则源”中。在“访问规则目标”，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。这时终端计算机就不能访问Internet了。右键选择刚创建的规则，选择属性，打开“有限制的访问外网的规则”属性对话框，选择“到”选项卡，在“例外”中“添加→新建→URL集”，创建允许学生计算机访问网站的域名地址集，然后把新建的“URL集”添加到“例外”中(图5)。在“操作选项卡”，可以在“将HTTP请求重定向到此Web页”选项中，填上自己单位网站的域名。这样，终端计算机在打开IE时，只要选择我们非在“例外”中添加的网站，就会定向到我们指定的网站上来(图6)。

　　图4

　　图5

　　图6

　　三、限制内部计算机的QQ聊天和联众游戏

　　单位的计算机上网后，QQ聊天、联众游戏一直影响着正常的工作。利用ISA可以很好地对其进行控制。

　　对QQ聊天的限制:我们可以创建一个拒绝QQ访问的规则。QQ使用UDP8000-8001端口、UDP4000-4001端口、TCP433等端口。通过“防火墙策略→工具箱”，新建三个“QQ协议”，分别是:

　　1. 协议“UDP”、方向“发送接收”、端口“8000—8001”。

　　2. 协议“UDP”、方向“发送接收”、端口“4000—4001” 。

　　3. 协议“TCP”、方向“出站”、端口“433”。

　　然后创建一个新的访问规则，起名为“禁用项目的规则” ，在“符合规则条件时要执行的操作”中选择“拒绝”。在“此规则应用到”，选择“所选的协议”，然后为其添加“用户定义的几个QQ协议”(图7)。选择[下一步]，在“访问规则源”中，选择添加“网络→内部”。在“访问规则目标”，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。

　　图7

　　对联众的限制:方法与限制QQ聊天相同，创建一个拒绝联众协议访问的规则。联众使用的是1080端口，我们只要创建一个“联众协议”，协议“TCP”、方向“出站”、端口“1080”，然后把该协议添加到“禁用的项目规则”中即可。

原文出自【比特网】，转载请保留原文链接：http://www.chinabyte.com/biz/cbfwq/300/2681800.shtml

网管实战：为网络系统构建ISA防火墙相关推荐

ISA防火墙之利用WINS服务器实现WPAD
上篇我们介绍了如何利用ISA服务器和DHCP服务器实现WPAD.实现WPAD一般都是用DHCP,但是也可以用DNS和WINS服务器来实现,今天我们就来用ISA服务器和WINS服务器实现它 < ...
允许外部客户使用ISA防火墙的Web代理服务2
现在,我们需要创建允许此外部网络客户访问位于默认的外部网络的Web服务器23.1.1.8的访问规则,右击防火墙策略,指向新建,选择访问规则: 在弹出的欢迎使用新建访问规则向导页,输入名字为Allow ...
ISA防火墙策略配置/服务器发布
本文主要讲解了,ISA防火墙策略配置,发布内部Web/mail服务器,发布Exchange SSL OWA网站. 防火墙策略策略元素策略元素:每条防火墙策略都是由一些"零件"组 ...
深入剖析ISA防火墙策略执行过程
深入剖析ISA防火墙策略执行过程很多初次接触ISA的管理员,经常会发现自己的管理意图没有得到贯彻.自己明明禁止用户使用QQ聊天,可你看这个老兄正在和多个MM聊得热火朝天;早就禁止在上班时间访问游戏网 ...
鲜花网项目实战（一）
鲜花网项目实战(一) 1.开发环境和技术栈 2.安装NodeJS环境一.环境的作用二.下载地址三.查看安装 3.安装Vue-CLI 一.脚手架工具介绍二.安装命令三.查看安装 4.创建前端项 ...
简单校园网络系统构建
简单校园网络系统构建前言实验案例网络节点分析网络地址(IP地址)的划分简单的网络拓扑图部署实施(基础的配置命令) 思科拓扑简单记录一下碰到的问题: 前言这篇文章记录的是我在大三上学 ...
牛客网数据开发题库_练习SQL利器，牛客网SQL实战题库
牛客网SQL实战网址:https://www.nowcoder.com/ta/sql 持续更新--记录自己在牛客网SQL的做题过程更新进度:61题,2019-4-3,更完了 1.查找最晚入职员工的所 ...
C实战：项目构建Make,Automake,CMake
C实战:项目构建Make,Automake,CMake 在本系列文章<C实战:强大的程序调试工具GDB>中我们简要学习了流行的调试工具GDB的使用方法.本文继续"C实战" ...
Remoting系列专题－－－构建Remoting“防火墙”
做项目不得不考虑安全问题,但是在Remoting应用中我似乎没有找到象WebService那样现成可用的防止非授权人员随意调用的方法和验证安全机制.当然,简单一点的可以通过Remoting客户端传输一 ...
防火墙配置十大任务之十，构建虚拟防火墙
防火墙配置任务十构建虚拟防火墙任务拓扑图10.1 1.inside区域的交换机的基本配置,在交换机上开启vlan2,vlan3,vlan4.三个vlan. 图10.2 2.outside区域的In ...

网管实战：为网络系统构建ISA防火墙

网管实战：为网络系统构建ISA防火墙相关推荐

最新文章

热门文章