利用ISA控制网络访问.doc

利用ISA控制网络访问 一些单位规定员工工作时间不允许登录某些网站，不允许使用QQ等等，这些工作可忙坏了网络管理员。不过有了ISA Server（Microsoft Internet Security and Acceleration Server 的缩写，即可扩展的企业防火墙和Web缓存服务器）就轻松多了。今天我们就来看看如何利用ISA Server控制网络访问，实现上述单位规定。 一、安装ISA ServerISA Server构建在Windows Server 2003和Windows Server 2000操作系统安全、管理和目录上，以实现基于策略的访问控制、加速和网际管理。由于ISA Server的最新版本2006版为测试版，所以这次我们用成熟的ISA Server 2004来解决问题。 ISA Server 2004对硬件配置的要求目前大多数服务器和PC都能达到，ISA Server 2004必须使用Internet Explorer 6或更高版本的浏览器；由于ISA Server 2004服务器不具备转发DNS请求的功能，所以要使用额外的DNS服务器，内网或外网的都可以；机器上需要安装两块网卡，一个内网的，一个外网的。运行安装光盘中的安装程序，选择典型安装。接下来是设置内部网络，点“添加”进入设置页面可以直接输入IP地址范围，我们点击“选择网卡”按钮来选择与特定的网卡相关联的地址范围。在这里去掉“添加下列专用范围”选项前的钩（图1），在“基于Windows路由表添加地址范围”中选择连接内网的网卡（我这里是做演示的，两块网卡连接的都是内网）。 图1点“确定”后，一路“下一步”即可完成安装。安装完成后选择“在向导关闭时运行ISA服务器管理”，点击“完成”就会出现ISA Server 2004控制台界面（图2）。我们的工作就是在这里进行的。 图2安装完毕了，下面让我们来完成一系列任务。 二、禁止用户访问某些网站利用ISA Server 2004禁止用户是非常简单的事。首先将要禁止上网的用户的IP收集起来放在一起做成计算机集，然后将要禁止访问的站点放在一起做成域名集，最后在防火墙策略里新建一个策略来禁止这些用户访问这些站点。 下面我们一步一步地来设置。1建立计算机集 点击ISA Server控制台界面窗口左边的“防火墙策略”来到设置防火墙策略页面，在右面点击“工具箱”标签，然后点击“网络对象”就可以看到如图3所示的界面。 图3在“计算机集”上点右键，选择“新建计算机集”。点击“添加”会显示一个菜单，在这里可以选择“计算机”、“地址范围”、“子网”，可以根据具体情况选择。我们这里就选择“地址范围”。然后根据要求填入名称“被禁止的计算机”，IP地址范围，点击“确定”回到上一个“新建计算机集规则元素”，填上名称“被禁止的计算机”点击“确定”，在计算机集里就可以看到刚刚添加的计算机集“被禁止的计算机”。这样第一步就完成了。2建立域名集 在刚才我们用的“计算机集”的上面可以看到“域名集”，在上面点右键，选择“新建域名集”打开“新建域名集策略元素”。在“名称”里输入域名集的名称，我们假设那个网站是，我们输入“yule”，然后在下面点击“新建”，再将域名改为“*.”（图4），如果有多个域名，可以新建多个域。我们这里只输入了一个。最后点击“确定”就可以了。我们在“域名集”里可以看到我们新建的“yule”这个域名集。 图43建立访问规则点击ISA Server控制台界面窗口左边的“防火墙策略”，然后在菜单里选择“新建|访问规则”，在弹出的向导页面中输入访问规则名称，我们输入“禁止访问”。点击“下一步”，在规则操作中选择“拒绝”，点击“下一步”。在“协议”一页中选择“所有出站通讯”，也可以根据具体情况选择“所选的协议”，然后选择集体的协议，以禁止某些功能，比如Ping等等。也可以点击“端口”，根据端口设置。这里非常灵活。我们这里选择的是所以的通讯，这样就不能访问该网站了。 点击“下一步”，选择访问规则源，也就是我们刚才建的计算机集，点击“添加”,在计算机集中选择刚才创建的“被禁止的计算机”，然后下一步，添加访问目标，就是我们创建的域名集，点击“添加”在域名集中选择“yule”，下一步是“用户集”，默认的是“所有用户”，这里可以进行编辑，如管理员除外等等。我们这里用默认的，点击下一步就完成了访问规则的创建。点击“完成”，我们即可在“防火墙策略规则”中看到我们创建的规则。在上面点击右键选“属性”可以对它的属性进行设置。比如添加一些被禁止的站点等等，这里还可以设置成按时间执行这个策略，如上班的时候不能访问，下了班可以访问这些站点。在属性里点击“计划”标签（图5），在这里一周七天每天24个小时可以随意编辑。在“计划”中可以选择“总是”、“工作时间”、“周末”。如果感觉默认的时间不合适，可以点击“新建”建立合适的。 图5设置完属性点击“确定”就可以了。这时，在上面有一个黄色的三角图标，里面是感叹号，这里可以选择应用或丢弃刚才编辑的策略。点击应用，稍等一会，我们编辑的策略就生效了。三、禁止用户使用QQ 说到封锁QQ，这的确让不少网络管理员头疼，因为QQ可以使用多种协议通信，如：UDP、TCP、HTTP、HTTPS，而且支持使用代理。只要允许HTTP协议就可以登录，而在网络中又不能禁用所有的协议，怎么办呢？要禁止QQ登录，我们先看一下QQ的登录过程。在默认情况下，QQ是使用UDP协议向服务器发送请求的，也可以使用HTTP代理进行通信。我们不能禁止HTTP协议，所以最好的办法是封锁服务器IP，然后利用ISA Server 2004对HTTP检查机制来禁止QQ使用代理登录。 首先要找到QQ服务器的IP地址，QQ的服务器不止一个，大家可以到网上找一下，这里我暂时用下面这几个：61.144. 238.145、46、54、3。至于通过HTTP代理连接的服务器的URL，可以去找一下，也可以自己抓包看一下。这里我们用这个地址。首先是封锁服务器IP地址。和刚才一样要定义源集、目标集、策略。源集和禁止访问网络的定义一样，内网的全部计算机。在定义目标集时也定义成为计算机集,然后添加访问规则（图6）。 图6接着就要禁止QQ使用HTTP代理登录了。这里使用的是ISA Server的深层过滤机制。在“防火墙策略规则”中“无限制的Internet访问”上面点右键，选择“配置HTTP”，在打开的“为规则配置HTTP策略”上选择“签名”标签。添加一个新的签名。在“签名”中输入“”。这样在使用代理登录时请求连接的URL中发现“”就会阻止（图7）。 图7最后，再调整一下这个策略的属性，点击“应用”就成功地禁止了QQ。 要注意的一点是上面两种策略必须同时使用才能彻底禁止QQ，以后如果