ISA2004代理在校园网上网控制中应用.docVIP

ISA2004代理在校园网上网控制中应用 　　ISA (Microsoft Internet Security andAcceleration)是微软著名的路由级防火墙，它很重要的一项功能是为内网提供代理，并且比一般的代理软件功能要强大很多。下面就校园网中的实际操作谈一谈ISA2004在校园网上网控制中的应用。 　　ISA (Microsoft lnternet Security and AcCCleration)是微软著名的路由级防火墙，它很 重要的一项功能是为内网提供代理，并且比一般的 代理软件功能要强大很多。下面就校园网中的实际 操作谈一谈谈ISA2004在校园网上网控制中的应用。 　　设学校的网络环境如下：学校主交换机?用神 州数码DCRS―6512，分支交换机?用DCS―3628， 根据瑞口连接情况划分了四个虚拟网： 　　学校的ISA2004代理服务器上需要安装双网 卡，配置情况如下： 　　网卡一：IP：172．20．1．1(县教育局城域网分 配的IP地址)，子网掩码：255．255．0．0，网关：172． 20．255．254，DNS：202．102．128．68。网卡一为城域 网接口，通过光缆连接至县教委信息中心主交换机。 　　网卡二：2 1P：192．168．1．1，子网掩码：255．255． 0．0。网卡二为校园网内部接口。 　　ISA服务器在安装ISA2004寸必须设置好内部 所有子网的IP地址范围，但是由于ISA服务器内部 接口是属于V1anl。为了与其他虚拟网通信，所以 还需要加上Vlanl到其他虚拟网的路由，需要在 ISA服务器的DOS命令提示符下，分别执行以下几 条命令： 　　route add―p 192．168．2．0 mask 255．255．255．O 192．168．1．254 　　route add-p 192．168．3．O mask 255．255．255．O 192．168．1．254 　　route add―p 192．168．4．O mask 255．255．255．O 192．168．1．254 　　1SA2004在校园上网控制中的作用?要表现为下 面几个方面。 　　 　　一、允许校园网内部所有用户上网 　　 　　刚开始安装完毕时，ISA2004默认禁止内部所有 用户上网，要想让内部所有用户上网必须新建一条访 问规则。 　　打开ISA2004，在左边窗口中右键单击“防火墙 策略”，执行“新建-访问规则”，输入规则名称，如 “允许所有用户上网”，单击“下一步”，规则操作选 择“允许”，协议选择“所有出站通汛”，单击“下一 步”。在访问规则源对话框中单击“添加”按钮，在 弹出的添加网络实体对话框中展开“网络”，双击“内 部”，关闭添加网络实体对话框。单击“下一步”，在 访问规则目标对话框中单击”添加”按钮，在弹出的 添加网络实体对话框中展开“网络”，双击“外部”， 单击“下一步”、用户集按默认的所有用户，单击“下 一步”完成此规则的建立，单击“应用”按钮使所建 立的规则生效。此寸我们建立了一条允许内部所有用 户上网的规则。 　　在校园网内部的计算机的IE属性对话框小， 单 击“连接”选项卡，单击“局域网设置”按钮，设置 代理服务器的IP地址为192．168．1．1(ISA服务器 的内部网卡地址)，端口为8080，如果网络连接正常， 我们在校内就能通过ISA代理连接到Internet。 　　 　　二、禁止校园网内部某些用户的上网 　　 　　想禁止校园网内部某些用户上网，如禁止微机 室上网，我们可以进行如下操作。 　　第一步，对禁止上网的内部用户建立一个地址 集或计算机集，在I SA右边窗口的“工具箱”选项 卡中，右键单击“地址范围”，在弹出的快捷菜单中 选择“新建地址范围”。弹出的对话框中输入地址范 围名称，比如“微机室”，指定IP地址范围：192．168． 4．1－192．168．4．253。 　　第二步，建立一条访问规则，如“禁止微机室上 网”，但是这次建立的访问规则和上面的不问，这里 规则操作选择“拒绝”，在访问规则源对话框添加网 络实体时展开“地址范围”，双击“微机室”，其他操 作和“允许所有用户上网”规则相同，单击“应用” 按钮使规则生效，即我们建立了一条拒绝微机室访 问外部的规则。此时微机室子网中所有微机已不能 连接到Internet。 　　 　　三、限制校园网内部某些用户上网的时间 　　 　　如果想限制办公区老师们的上网时间， 如在上 午9：00―11：00间不能上互联网，则可以及进 行如下操作。 　　第一步，建立一个地址集或计算机集，仿照上述 步骤建立一个地址范围，名称为“办公区”，指定IP 地址范围：192