很多單位在使用ISA2006時(shí)，都希望用ISA對(duì)員工上網(wǎng)進(jìn)行約束，今天我們就為大家介紹一些限制用戶上網(wǎng)的技巧。由于在域和工作組環(huán)境下使用的方法有所不同，因此我們將內(nèi)容分為兩部分，一部分介紹在工作組環(huán)境下如何操作，另一部分則針對(duì)域環(huán)境。

　　我們從工作組開始介紹，在工作組環(huán)境下，控制用戶上網(wǎng)大多采用兩種手段，IP地址或用戶身份驗(yàn)證，多數(shù)管理員會(huì)傾向于利用IP控制。

　　一 利用IP+Arp靜態(tài)綁定

　　工作組環(huán)境下進(jìn)行身份驗(yàn)證并不方便，因此管理員一般會(huì)采用IP地址進(jìn)行訪問控制。根據(jù)源IP限制訪問者是包過濾防火墻的基本功能，從技術(shù)上看實(shí)現(xiàn)起來很簡(jiǎn)單。如果我們希望只有Perth能上網(wǎng)，那我們就可以創(chuàng)建一個(gè)允許上網(wǎng)的計(jì)算機(jī)集合，然后將Perth加入此集合即可。

　　在ISA服務(wù)器上打開ISA服務(wù)器管理，在防火墻策略工具箱中選擇新建“計(jì)算機(jī)集”，如下圖所示。

　　為計(jì)算機(jī)集取名為“允許上網(wǎng)的計(jì)算機(jī)”，點(diǎn)擊添加計(jì)算機(jī)，準(zhǔn)備把Perth加進(jìn)來。

　　輸入Perth的名稱和IP地址，點(diǎn)擊“確定“，這樣我們就創(chuàng)建了一個(gè)計(jì)算機(jī)集合，集合內(nèi)包括Perth。

　　創(chuàng)建了計(jì)算機(jī)集合后，我們來修改一下訪問規(guī)則，現(xiàn)有的訪問規(guī)則是允許內(nèi)網(wǎng)和本地主機(jī)可任意訪問。在訪問規(guī)則屬性中切換到“從”標(biāo)簽，如下圖所示，選擇“內(nèi)部”，點(diǎn)擊“刪除”，然后把剛創(chuàng)建的計(jì)算機(jī)集合添加進(jìn)來。

　　修改后的規(guī)則如下圖所示。

　　在Perth上訪問百度，一切正常，如下圖所示。

　　換到Istanbul上訪問，如下圖所示，Istanbul無法訪問Internet。

　　看起來我們達(dá)到了用IP控制用戶上網(wǎng)的目的，問題已經(jīng)解決，其實(shí)不然。由于目前ISA只是依靠IP地址進(jìn)行訪問控制，過不了多久，ISA管理員就會(huì)發(fā)現(xiàn)有“聰明”人開始盜用IP，冒充合法用戶-。為了應(yīng)對(duì)這種情況，我們可以考慮使用ARP靜態(tài)綁定來解決這個(gè)問題，即在ISA服務(wù)器上記錄合法客戶機(jī)的MAC地址。在本例中，我們讓ISA記錄Perth的MAC地址。如下圖所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s進(jìn)行靜態(tài)綁定，這樣就不用擔(dān)心用戶盜用IP了。

　　二 用戶身份驗(yàn)證

　　工作組環(huán)境下進(jìn)行用戶身份驗(yàn)證并不方便，但不等于無法進(jìn)行用戶身份驗(yàn)證，在工作組中進(jìn)行身份驗(yàn)證可以使用鏡像賬號(hào)的方式，即在ISA服務(wù)器和客戶機(jī)上創(chuàng)建用戶名和口令都完全一致的用戶賬號(hào)。例如我們?cè)试S員工張強(qiáng)-，張強(qiáng)使用的計(jì)算機(jī)是Istanbul，那我們可以進(jìn)行如下操作。

　　A 在ISA服務(wù)器上為張強(qiáng)創(chuàng)建用戶賬號(hào)

　　在ISA的計(jì)算機(jī)管理中，定位本地用戶和組，如下圖所示，選擇創(chuàng)建新用戶。

　　用戶名為zhangqiang，口令為Itet2008。

　　B 在ISA服務(wù)器上創(chuàng)建允許上網(wǎng)的用戶集

　　在防火墻策略工具箱中，展開用戶，如下圖所示，點(diǎn)擊新建。

　　為新建用戶集取名為“允許上網(wǎng)用戶”。

　　在新創(chuàng)建的用戶集中添加“Windows用戶和組”，如下圖所示。

　　在用戶集中添加beijing\zhangqiang，如下圖所示。

　　創(chuàng)建完用戶集，點(diǎn)擊完成。

　　接下來我們要修改訪問規(guī)則，只允許指定用戶集-。還是對(duì)那條允許內(nèi)網(wǎng)用戶任意訪問的訪問規(guī)則進(jìn)行修改，這次不修改訪問的源網(wǎng)絡(luò)了，如下圖所示，我們對(duì)源網(wǎng)絡(luò)不進(jìn)行任何限制。

　　這次限制的重點(diǎn)放在了用戶上，在規(guī)則屬性中切換到用戶標(biāo)簽，將“所有用戶”刪除。

　　將“允許上網(wǎng)用戶”添加進(jìn)來，如下圖所示。

　　D 在Istanbul上創(chuàng)建張強(qiáng)的鏡像賬號(hào)

　　現(xiàn)在內(nèi)網(wǎng)的訪問用戶必須向ISA證明自己是ISA服務(wù)器上的用戶張強(qiáng)才能被允許-，那怎么才能證明呢?其實(shí)很簡(jiǎn)單，只要客戶機(jī)上的某個(gè)用戶賬號(hào)，其用戶名和口令和ISA服務(wù)器上張強(qiáng)的用戶名和口令完全一致，ISA就會(huì)認(rèn)為這兩個(gè)賬號(hào)是同一用戶。這里面涉及到集成驗(yàn)證中的NTLM原理，以后我會(huì)寫篇博文發(fā)出來，現(xiàn)在大家只要知道如何操作就可以了。

　　在Istanbul上創(chuàng)建用戶賬號(hào)張強(qiáng)，如下圖所示，用戶名為zhangqiang，口令為Itet2008。

　　做完上述工作后，我們就可以在Istanbul來試驗(yàn)一下了。首先，我們需要以張強(qiáng)的身份登錄，其次，由于SNAT不支持用戶驗(yàn)證，因此我們測(cè)試時(shí)需使用Web代理或防火墻客戶端。如下圖所示，我們?cè)诳蛻魴C(jī)上使用Web代理。

　　在Istanbul上訪問百度，如下圖所示，訪問成功!

　　在ISA上打開實(shí)時(shí)日志，如下圖所示，ISA認(rèn)為是本機(jī)的張強(qiáng)用戶在訪問，鏡像賬號(hào)起作用了!

　　三 Web代理與基本身份驗(yàn)證

　　在上面的鏡像賬號(hào)例子中，訪問者利用了集成驗(yàn)證證明了自己的身份，其實(shí)ISA也支持基本身份驗(yàn)證。曾經(jīng)有朋友問過這個(gè)問題，ISA能否在用戶使用瀏覽器上網(wǎng)時(shí)彈出一個(gè)窗口，訪問者必須答對(duì)用戶名和口令才可以上網(wǎng)?這個(gè)需求是可以滿足的，只要訪問者使用Web代理以及我們將Web代理的身份驗(yàn)證方法改為基本身份驗(yàn)證即可。

　　在ISA服務(wù)器中查看內(nèi)部網(wǎng)絡(luò)屬性，如下圖所示，切換到Web代理標(biāo)簽，點(diǎn)擊“身份驗(yàn)證”。

　　將Web代理使用的身份驗(yàn)證方式從“集成”改為“基本”，如下圖所示。

　　防火墻策略生效后，在客戶機(jī)上測(cè)試一下，如下圖所示，客戶機(jī)訪問互聯(lián)網(wǎng)時(shí)，ISA彈出對(duì)話框要求輸入用戶名和口令進(jìn)行身份驗(yàn)證，我們輸入了張強(qiáng)的用戶名和口令。

　　身份驗(yàn)證通過，用戶可以訪問互聯(lián)網(wǎng)了!

　　以上我們簡(jiǎn)單介紹了如何在工作組環(huán)境下控制用戶上網(wǎng)，接下來我們要考慮在域環(huán)境下如何操作。相比較工作組而言，域環(huán)境下控制用戶上網(wǎng)是很容易做到的，既然有域控制器負(fù)責(zé)集中的用戶身份驗(yàn)證，既方便又安全，如果不加以利用豈不太過可惜。在域環(huán)境下控制用戶上網(wǎng)基本都是依靠用戶身份驗(yàn)證，除了有極個(gè)別的SNAT用戶我們需要用IP控制。具體的處理思路也很簡(jiǎn)單，在域中創(chuàng)建一個(gè)全局組，例如取名為Internet Access。然后將允許上網(wǎng)的域用戶加入此全局組，最后在ISA中創(chuàng)建一個(gè)允許訪問互聯(lián)網(wǎng)的用戶集，把全局組Internet Access加入允許訪問互聯(lián)網(wǎng)的用戶集即可。

　　域環(huán)境拓?fù)淙缦聢D所示，Denver是域控制器和DNS服務(wù)器，Perth是域內(nèi)工作站，Beijing是加入域的ISA2006服務(wù)器。

　　一 DNS設(shè)置問題

　　ISA有兩塊網(wǎng)卡，兩塊網(wǎng)卡上究竟應(yīng)該怎么設(shè)置TCP/IP參數(shù)，尤其是DNS應(yīng)該怎么設(shè)置?這是個(gè)容易被忽略但又很重要的問題，因?yàn)镈NS既負(fù)責(zé)定位內(nèi)網(wǎng)的域控制器，也要負(fù)責(zé)解析互聯(lián)網(wǎng)上的域名，設(shè)置不好輕則影響內(nèi)網(wǎng)登錄，重則嚴(yán)重影響大家上網(wǎng)的速度。我們推薦的設(shè)置方式是只在內(nèi)網(wǎng)網(wǎng)卡設(shè)置DNS，外網(wǎng)網(wǎng)卡不設(shè)置DNS服務(wù)器。

　　在本例中，ISA服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是 IP為10.1.1.254 ，子網(wǎng)掩碼為255.255.255.0，DNS為10.1.1.5;外網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是IP為192.168.1.254，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。這樣一來，內(nèi)網(wǎng)的DNS既負(fù)責(zé)為AD提供SRV記錄，也負(fù)責(zé)解析互聯(lián)網(wǎng)上的域名，結(jié)構(gòu)簡(jiǎn)單，易于糾錯(cuò)。

　　有朋友認(rèn)為只有電信提供的DNS服務(wù)器才能解析互聯(lián)網(wǎng)上的域名，這種看法是不對(duì)的。我們?cè)趦?nèi)網(wǎng)中搭建的DNS服務(wù)器只要能訪問互聯(lián)網(wǎng)，它就可以解析互聯(lián)網(wǎng)上的所有域名。根據(jù)DNS原理分析，如果DNS服務(wù)器遇到一個(gè)域名自己無法解析，它就會(huì)把這個(gè)解析請(qǐng)求送到根服務(wù)器，根服務(wù)器采用迭代方式指導(dǎo)DNS服務(wù)器解析出目標(biāo)域名。因此，想要內(nèi)網(wǎng)的DNS服務(wù)器能解析出互聯(lián)網(wǎng)上的域名，只要允許內(nèi)網(wǎng)DNS服務(wù)器能訪問互聯(lián)網(wǎng)即可。

　　A 我們應(yīng)該在ISA上創(chuàng)建一條訪問規(guī)則，允許DNS服務(wù)器任意訪問，并且將這條規(guī)則放到第一位，如下圖所示。

　　B 為了提高DNS的解析速度，可以考慮在DNS服務(wù)器上設(shè)置轉(zhuǎn)發(fā)器，將用戶發(fā)來的DNS解析請(qǐng)求轉(zhuǎn)發(fā)到電信的DNS服務(wù)器上。

　　轉(zhuǎn)發(fā)器的設(shè)置如下，在Denver上打開DNS管理器，右鍵點(diǎn)擊服務(wù)器，選擇“屬性”，如下圖所示。

　　在屬性中切換到“轉(zhuǎn)發(fā)器”，在轉(zhuǎn)發(fā)器IP地址處填寫電信DNS服務(wù)器的IP，填寫完畢后點(diǎn)擊添加，如下圖所示。這樣我們就設(shè)置好了轉(zhuǎn)發(fā)器，以后Denver解析不了的域名將轉(zhuǎn)發(fā)給202.106.46.151，利用電信DNS的緩存來加快解析速度。

　　二 依靠身份驗(yàn)證限制用戶

　　解決了DNS的問題后，我們就可以利用身份驗(yàn)證來限制用戶訪問了。

　　A 創(chuàng)建允許訪問互聯(lián)網(wǎng)的全局組

　　在域控制器上打開“Active Directory用戶和計(jì)算機(jī)”，如下圖所示，在Users容器中選擇新建組。

　　組的名稱為Internet Access，組的類型為全局組。

　　如下圖所示，點(diǎn)擊完成結(jié)束組的創(chuàng)建。

　　我們只需將允許訪問互聯(lián)網(wǎng)的用戶加入Internet Access即可，如下圖所示。

　　B 創(chuàng)建允許訪問互聯(lián)網(wǎng)的用戶集

　　在ISA服務(wù)器防火墻策略的工具箱中展開用戶，如下圖所示，選擇“新建”。

　　啟動(dòng)用戶集創(chuàng)建向?qū)В瑸橛脩艏€(gè)名字。

　　在用戶集中選擇添加“Windows用戶和組”，如下圖所示。

　　我們將查找位置設(shè)為“整個(gè)目錄”，對(duì)象名稱輸入“Internet Access”，如下圖所示。

　　確定將Contoso.com域中的Internet Access組加入新創(chuàng)建的用戶集。

　　完成用戶集的創(chuàng)建。

　　C 修改訪問規(guī)則

　　創(chuàng)建完用戶集后，我們修改訪問規(guī)則，ISA原先有一條訪問規(guī)則允許內(nèi)網(wǎng)用戶任意訪問，我們對(duì)規(guī)則進(jìn)行修改，限制只有特定用戶集的成員才可以

　　在訪問規(guī)則屬性中切換到“用戶”標(biāo)簽，如下圖所示，刪除“所有用戶”集合。

　　點(diǎn)擊添加，將“允許訪問互聯(lián)網(wǎng)的用戶”加進(jìn)來，如下圖所示。

　　這樣就相當(dāng)于ISA服務(wù)器將訪問互聯(lián)網(wǎng)的權(quán)限賦予了Internet Access組，凡是加入組的用戶都將繼承到這個(gè)權(quán)限，他們通過ISA訪問互聯(lián)網(wǎng)時(shí)將不會(huì)遇到任何障礙，也不會(huì)被提示輸入口令進(jìn)行身份驗(yàn)證，您看，在域環(huán)境下用戶的透明驗(yàn)證是不是真的很方便呢?

　　總結(jié)：限制用戶-是ISA管理員經(jīng)常遇到的管理需求，一般情況下不是用IP就是靠身份驗(yàn)證，身份驗(yàn)證在域中實(shí)現(xiàn)易如反掌，在工作組中實(shí)現(xiàn)就要靠鏡像賬號(hào)了。