ISA2006系列之08-ISA限制用户上网的技巧.docVIP

很多单位在使用ISA2006时，都希望用ISA对员工上网进行约束，今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同，因此我们将内容分为两部分，一部分介绍在工作组环境下如何操作，另一部分则针对域环境。 我们从工作组开始介绍，在工作组环境下，控制用户上网大多采用两种手段，IP地址或用户身份验证，多数管理员会倾向于利用IP控制。 工作组环境的实验拓扑如下图所示，Beijing是ISA2006服务器，Perth和Istanbul是工作组内的两台计算机。 ? 一? 利用IP+Arp静态绑定 工作组环境下进行身份验证并不方便，因此管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能，从技术上看实现起来很简单。如果我们希望只有Perth能上网，那我们就可以创建一个允许上网的计算机集合，然后将Perth加入此集合即可。 在ISA服务器上打开ISA服务器管理，在防火墙策略工具箱中选择新建“计算机集”，如下图所示。 ? 为计算机集取名为“允许上网的计算机”，点击添加计算机，准备把Perth加进来。 ? 输入Perth的名称和IP地址，点击“确定“，这样我们就创建了一个计算机集合，集合内包括Perth。 ? 创建了计算机集合后，我们来修改一下访问规则，现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签，如下图所示，选择“内部”，点击“删除”，然后把刚创建的计算机集合添加进来。 ? 修改后的规则如下图所示。 ? 在Perth上访问百度，一切正常，如下图所示。 ? 换到Istanbul上访问，如下图所示，Istanbul无法访问Internet。 ? 看起来我们达到了用IP控制用户上网的目的，问题已经解决，其实不然。由于目前ISA只是依靠IP地址进行访问控制，过不了多久，ISA管理员就会发现有“聪明”人开始盗用IP，冒充合法用户访问外网。为了应对这种情况，我们可以考虑使用ARP静态绑定来解决这个问题，即在ISA服务器上记录合法客户机的MAC地址。在本例中，我们让ISA记录Perth的MAC地址。如下图所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s进行静态绑定，这样就不用担心用户盗用IP了。 ? 二 用户身份验证 工作组环境下进行用户身份验证并不方便，但不等于无法进行用户身份验证，在工作组中进行身份验证可以使用镜像账号的方式，即在ISA服务器和客户机上创建用户名和口令都完全一致的用户账号。例如我们允许员工张强访问外网，张强使用的计算机是Istanbul，那我们可以进行如下操作。 A 在ISA服务器上为张强创建用户账号 在ISA的计算机管理中，定位本地用户和组，如下图所示，选择创建新用户。 ? 用户名为zhangqiang，口令为Itet2008。 ? B 在ISA服务器上创建允许上网的用户集 在防火墙策略工具箱中，展开用户，如下图所示，点击新建。 ? 为新建用户集取名为“允许上网用户”。 ? 在新创建的用户集中添加“Windows用户和组”，如下图所示。 ? 在用户集中添加beijing\zhangqiang，如下图所示。 ? 创建完用户集，点击完成。 ? 接下来我们要修改访问规则，只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改，这次不修改访问的源网络了，如下图所示，我们对源网络不进行任何限制。 ? 这次限制的重点放在了用户上，在规则属性中切换到用户标签，将“所有用户”删除。 ? 将“允许上网用户”添加进来，如下图所示。 ? D 在Istanbul上创建张强的镜像账号 现在内网的访问用户必须向ISA证明自己是ISA服务器上的用户张强才能被允许访问外网，那怎么才能证明呢？其实很简单，只要客户机上的某个用户账号，其用户名和口令和ISA服务器上张强的用户名和口令完全一致，ISA就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM原理，以后我会写篇博文发出来，现在大家只要知道如何操作就可以了。 在Istanbul上创建用户账号张强，如下图所示，用户名为zhangqiang，口令为Itet2008。 ? 做完上述工作后，我们就可以在Istanbul来试验一下了。首先，我们需要以张强的身份登录，其次，由于SNAT不支持用户验证，因此我们测试时需使用Web代理或防火墙客户端。如下图所示，我们在客户机上使用Web代理。 ? 在Istanbul上访问百度，如下图所示，访问成功！ ? 在ISA上打开实时日志，如下图所示，ISA认为是本机的张强用户在访问，镜像账号起作用了！ ? 三 Web代理与基本身份验证 在上面的镜像账号例子中，访问者利用了集成验证证明了自己的身份，其实ISA也支持基本