基于ISA Server的上网行为管理机制.docVIP

基于ISA Server的上网行为管理机制 　　摘要:阐述了Microsoft ISA Server在上网行为管理中的应用。Microsoft ISA Server可以保护企业网络免受黑客入侵和攻击,提高网络性能和安全。 　　关键词:Microsoft Internet Security Acceleration;上网行为 　　中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)35-9940-03 　　ISA Server Access to the Internet-Based Behavior Management System 　　ZHANG Chun-sheng1, LAN Ping2 　　(1.Quzhou Municipal Public Security Bureau,Quzhou 324000,China;2. Zhejiang Transportation Vocational and Technical College of Information Science,Hangzhou 311112,China) 　　Abstract: How to manager on-line behaviors by using Microsoft ISA Server are explained. ISA can protect organizations of all sizes from external and internal threats and attack, improve network security and performance. 　　Key words: Microsoft Internet Security Acceleration Server; online behaviors 　　随着计算机和宽带的普及,互联网已经成为企业工作中便捷高效、不可缺少的现代办公工具,也极大地降低了企业运营和沟通成本。同时,由于网络资源丰富多彩,部分员工在办公时间内浏览与工作无关的娱乐新闻网站、观看流媒体或者玩游戏、使用IM软件聊天、使用P2P软件下载大容量的文件,以及其它非工作用途的计算机应用。这就很容易导致公司网络资源耗尽,同时又会影响到公司其它员工的工作。 　　上网行为管理可以帮助用户对以上这些上网行为进行有效的管制,改善内网环境,提升带宽资源使用效率。具体包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。 　　ISA(Internet Security and Acceleration) 是微软推出的网络安全产品,作为世界领先的企业级应用层防火墙,ISA Server 已经在不同行业、不同规模的企业中得到了广泛的使用。ISA Server 2006具有强大的应用层过滤功能,能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制。ISA Server 2006还可以使用应用程序、命令和数据层筛选器控制应用程序特定通信。通过对 VPN、HTTP、文件传输协议 (FTP)、简单邮件传输协议 (SMTP)、邮局协议3 (POP3)、域名系统 (DNS)、流媒体和远程过程调用 (RPC) 通信进行智能筛选,ISA Server 可以根据通信的内容来接受、拒绝、重定向和修改通信,从而实现对上网行为的管理。 　　1 网页过滤 　　ISA Server能够控制局域网内用户对特定网站的访问权限。本文以使用IP地址来禁止客户端访问特定网站为例,对需要禁止的客户端建立一个地址范围或者计算机集;为禁止这些用户访问的那些站点建立一个地址范围或域名集;然后在防火墙策略中新建一个访问规则,阻止内部的这些计算机访问定义的外部站点地址范围或域名集。 　　1) 新建网络对象 　　首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”,如图1所示。 　　2) 然后在“新建计算机集规则元素”对话框上点击“添加”,然后选择“地址范围”,如图2所示。 　　建立好计算机集后,我们还需要为禁止用户访问的视频网站建立一个URL集。在“网络对象”中,右击“URL集”,选择“新建URL集”; 然后在“新建URL集规则元素”对话框中,多次点击“新建”按钮,将需要屏蔽的视频网站添加到URL集中,最后点击“确定”,如图3所示。 　　3) 建立访问规则 　　右键点击防火墙策略,选择新建“访问规则”,在向导页输入规则的名字“禁止访问视频网站”; 在规则操作页,选择“拒绝”; 在协议页,选择“所有出站通讯”;在访问规则源页,点击“添加”,然后在“添加网络实体”对话框中展开计算机集,双击“禁止访问视频网站”,然后点击“