ISAServer防火墙客户端经过身份认证上网教程.docx

ISA Server防火墙客户端实现只有经过身份认证的才允许上网 在奥运期间，一些政府加强了上网行为监控，但传统的防火墙，只能通过IP地址进行限制。而用户很容易修改IP地址，事后也不能查找、定位用户。基于此，我采用Windows Server 2003的Active Directory、DHCP、ISA Server，将计算机加入到域、让只有加入到域的用户（每人一个用户名、密码并登录计算机）才能上网，其他用户不能上网。这样就做到了经过认证的用户才能上网，并且出了事情，可以追察到人。同时，在奥运期间，由于许多用户在线看比赛，经过实际测量，新华网的 视频，每个视频需要占用1M以上的带宽，如果一个网络中， 有20个人观看视频，会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。在整个奥运期间，这个方案经受住了考验。 在大多数单位，都是通过限制工作站的IP地址，控制其上网行为，例如，根据部门、人员的不同，为其分配不同的地址或者地址段，在防火墙（或代理服务器）中设置上网策略。但这样的设置，存在一些问题： （1）因为知道网管对IP地址进行了限制，所以一些员工会将自己的IP地址改成不受限制的IP地址，以避开限制。这样，经常造成网络地址的冲突。 （2）为了解决员工随意修改IP地址的问题，需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试，这样会增加网管的负担。另外，现在修改网卡的MAC地址也是非常容易的，这也不是解决问题的最终方法。 （3）如果只是通过IP地址限制上网，由于现在的笔记本电脑很多。如果外来人员，将随身携带的笔记本接入网络，设置一个IP地址，就可以访问外网，这样可能引发问题。 （4）当网络出现问题时，如果只是基于IP地址进行排查，不容易定位故障源：因为IP地址是可以随意设置的。 基于此，这种传统的、基于IP地址进行限制的上网行为，需要做出改进。 内容来自 为了解决上述问题，本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案，达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络，本方案对用户身份进行验证，不对IP进行限制。即使用户修改IP地址，也不会避开限制。本方案网络拓扑如图1所示。图1 网络拓扑 解决思路如下： （1）在网络中需要有一台Windows Server 2003的服务器，升级到Active Directory（域），用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。 copyright （2）网络中提供一台DHCP服务器，为工作站自动分配TCP/IP地址（可选）。 （3）在ISA Server中，创建访问策略时，采用“身份验证”方式，没有经过身份验证的计算机不能访问指定的网络（一般是访问Internet）。 （4）因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能，可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件，提供流量限制功能。 （5）所有的工作站，在访问Internet时，需要采用“Web代理方式”或“ISA Server的防火墙客户端”，否则不能通过“身份验证”，也就不能访问外网。 为了统一起见，网络中重要服务器的参数如下： Active Directory服务器的IP地址为，ISA Server服务器的“内网”地址为（三层交换机的默认路由所指定的地址），外网地址为61.182.x.y；DHCP服务器的地址为（三层交换机中设置“DHCP中继代理的”地址）。所有的工作站采用/24～/24的网段，DNS地址设置为。 菜鸟网 在ISA Server中，使用“Web代理客户端”与“防火墙客户端”，可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。 1 使用Web代理客户端上网 （1）在网络中一台Windows Server 2003的服务器上，将DNS地址设置成，运行dcpromo，将计算机升级到Active Directory。在本例中，DNS域名为jz.local。升级到域之后，按照单位的组织机构创建OU、子OU（与部门名称相同），并在子OU中创建用户，如图2所示。图2 根据组织结构创建OU与用户 copyright （2）将ISA Server计算机加入到域。说明，不需要将计算机成为“额外的域控制器”，只要加入域，作“成员服务器”即可。然后按照传统的方式，设置访问策略，例如“允许内网访问外网”，即在创建规则时，允许“内部”用户访问“外部”，但在设置“用