ISA限制用户上网的技巧:ISA2006系列之八

  • 时间:
  • 浏览:0

完成用户集的创建。

在访问规则属性中切换到“用户”标签,如下图所示,删除“所有用户”集合。

我们都我们都我们都我们都应该在ISA上创建一条访问规则,允许DNS服务器任意访问,所以将这条规则装入去 第一位,如下图所示。

ISA服务器上为张强创建用户账号

Istanbul上访问百度,如下图所示,访问成功!

在新创建的用户集中加在“Windows用户和组”,如下图所示。

ISA的计算机管理中,定位本地用户和组,如下图所示,选着创建新用户。

用户名为zhangqiang,口令为Itet5008

我们都我们都我们都我们都将查找位置设为“整个目录”,对象名称输入“Internet Access”,如下图所示。

为新建用户集取名为“允许上网用户”。

本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/86120 ,如需转载请自行联系原作者

修改后的规则如下图所示。

ISA访问控制技巧

创建了计算机集合后,我们都我们都我们都我们都来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选着“内部”,点击“删除”,所以把刚创建的计算机集合加在进来。

ISA服务器上打开ISA服务器管理,在防火墙策略工具箱中选着新建“计算机集”,如下图所示。

做完上述工作后,我们都我们都我们都我们都就可不也能在Istanbul来试验一下了。首先,我们都我们都我们都我们都只有以张强的身份登录,其次,机会SNAT不支持用户验证,所以我们都我们都我们都我们都测试只有使用Web代理或防火墙客户端。如下图所示,我们都我们都我们都我们都在客户机上使用Web代理。

修改访问规则

我们都我们都我们都我们都只需将允许访问互联网的用户加入Internet Access即可,如下图所示。

启动用户集创建向导,为用户集取个名字。

在用户集中加在beijing\zhangqiang,如下图所示。

Web代理使用的身份验证法律妙招从“集成”改为“基本”,如下图所示。

创建完用户集,点击完成。

 Web代理与基一种份验证

工作组环境的实验拓扑如下图所示,BeijingISA5006服务器,PerthIstanbul是工作组内的两台计算机。

输入Perth的名称和IP地址,点击“选着“,原先我们都我们都我们都我们都就创建了有兩个 计算机集合,集合内包括Perth

在属性中切换到“转发器”,在转发器IP地址处填写电信DNS服务器的IP,填写完毕后点击加在,如下图所示。原先我们都我们都我们都我们都就设置好了转发器,前一天Denver解析不了的域名将转发给202.106.46.151,利用电信DNS的缓存来加快解析强度。

工作组环境下进行身份验证无须方便,所以管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。机会我们都我们都我们都我们都希望只有Perth能上网,原先们就可不也能创建有兩个 允许上网的计算机集合,所以将Perth加入此集合即可。

Perth上访问百度,一切正常,如下图所示。

总结:限制用户访问外网是ISA管理员一个劲遇到的管理需求,一般情况报告下总要用IP就是我靠身份验证,身份验证在域中实现易如反掌,在工作组中实现就要靠镜像账号了。

Istanbul上创建张强的镜像账号

看起来我们都我们都我们都我们都达到了用IP控制用户上网的目的,问题报告 机会解决,觉得不然。机会目前ISA就是我依靠IP地址进行访问控制,过不了多久,ISA管理员就会发现有“聪明”人始于英文盗用IP,冒充合法用户访问外网。为了应对这种情况报告,我们都我们都我们都我们都可不也能考虑使用ARP静态绑定来解决这种问题报告 ,即在ISA服务器上记录合法客户机的MAC地址。在本例中,我们都我们都我们都我们都让ISA记录PerthMAC地址。如下图所示,ISAping Perth,所以用Arp –a查出PerthMAC地址,最后用Arp –s进行静态绑定,原先就无需担心用户盗用IP了。

ISA服务器上创建允许上网的用户集

换到Istanbul上访问,如下图所示,Istanbul无法访问Internet



接下来我们都我们都我们都我们都要修改访问规则,只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改,这次不修改访问的源网络了,如下图所示,我们都我们都我们都我们都对源网络不进行任何限制。

 DNS设置问题报告

组的名称为Internet Access,组的类型为全局组。

ISA有两块网卡,两块网卡上究竟应该为甚设置TCP/IP参数,尤其是DNS应该为甚设置?这是个容易被忽略但又有点痛 要的问题报告 ,机会DNS既负责定位内网的域控制器,也要负责解析互联网上的域名,设置不好轻则影响内网登录,重则严重影响我们都我们都我们都我们都上网的强度。我们都我们都我们都我们都推荐的设置法律妙招是只在内网网卡设置DNS,外网网卡不设置DNS服务器。

防火墙策略生效后,在客户机上测试一下,如下图所示,客户机访问互联网时,ISA弹出对话框要求输入用户名和口令进行身份验证,我们都我们都我们都我们都输入了张强的用户名和口令。

现在内网的访问用户只有向ISA证明此人 是ISA服务器上的用户张强也能被允许访问外网,那为甚也能证明呢?觉得很简单,只要客户机上的某个用户账号,其用户名和口令和ISA服务器上张强的用户名和口令完正一致,ISA就会认为这有兩个 账号是同一用户。这上面涉及到集成验证中的NTLM原理,前一天我会写篇博文发出来,现在我们都我们都我们都我们都只要知道如保操作就可不也能了。

ISA服务器中查看内部网络属性,如下图所示,切换到Web代理标签,点击“身份验证”。

在用户集中选着加在“Windows用户和组”,如下图所示。

转发器的设置如下,在Denver上打开DNS管理器,右键点击服务器,选着“属性”,如下图所示。

在防火墙策略工具箱中,展开用户,如下图所示,点击新建。

有我们都我们都我们都我们都认为只有电信提供的DNS服务器也能解析互联网上的域名,这种看法是不对的。我们都我们都我们都我们都在内网中搭建的DNS服务器只也能访问互联网,它就可不也能解析互联网上的所有域名。根据DNS原理分析,机会DNS服务器遇到有兩个 域名此人 无法解析,它就会把这种解析请求送到根服务器,根服务器采用迭代法律妙招指导DNS服务器解蒸发掉目标域名。所以,你要内网的DNS服务器能解蒸发掉互联网上的域名,只要允许内网DNS服务器能访问互联网即可。

工作组环境下进行用户身份验证无须方便,但不等于无法进行用户身份验证,在工作组中进行身份验证可不也能使用镜像账号的法律妙招,即在ISA服务器和客户机上创建用户名和口令都完正一致的用户账号。类似于于我们都我们都我们都我们都允许员工张强访问外网,张强使用的计算机是Istanbul,原先们可不也能进行如下操作。

在上面的镜像账号例子中,访问者利用了集成验证证明了此人 的身份,觉得ISA也支持基一种份验证。原先有我们都我们都我们都我们都问过这种问题报告 ,ISA可不也能在用户使用浏览器上网时弹出有兩个 窗口,访问者只有答对用户名和口令才可不也能上网?这种需求是可不也能满足的,只要访问者使用Web代理以及我们都我们都我们都我们都将Web代理的身份验证法律妙招改为基一种份验证即可。

所以有单位在使用ISA5006时,都希望用ISA对员工上网进行约束,今天我们都我们都我们都我们都就为我们都我们都我们都我们都介绍所以限制用户上网的技巧。机会在域和工作组环境下使用的法律妙招有所不同,所以我们都我们都我们都我们都将内容分为两每段,一每段介绍在工作组环境下如保操作,另一每段则针对域环境。

为计算机集取名为“允许上网的计算机”,点击加在计算机,准备把Perth加在来。

为了提高DNS的解析强度,可不也能考虑在DNS服务器上设置转发器,将用户发来的DNS解析请求转发到电信的DNS服务器上。

以上我们都我们都我们都我们都简单介绍了如保在工作组环境下控制用户上网,接下来我们都我们都我们都我们都要考虑在域环境下如保操作。相比较工作组而言,域环境下控制用户上网是很容易做到的,既然有域控制器负责集中的用户身份验证,既方便又安全,机会不加以利用岂不太过可惜。在域环境下控制用户上网基本总要依靠用户身份验证,除了有极个别的SNAT用户我们都我们都我们都我们都只有用IP控制。具体的解决思路也很简单,在域中创建有兩个 全局组,类似于于取名为Internet Access。所以将允许上网的域用户加入此全局组,最后在ISA中创建有兩个 允许访问互联网的用户集,把全局组Internet Access加入允许访问互联网的用户集即可。

创建允许访问互联网的用户集

这次限制的重点装入去 了用户上,在规则属性中切换到用户标签,将“所有用户”删除。

  利用IP+Arp静态绑定

如下图所示,点击完成始于英文组的创建。

在域控制器上打开“Active Directory用户和计算机”,如下图所示,在Users容器中选着新建组。

 依靠身份验证限制用户

将“允许上网用户”加在进来,如下图所示。

 用户身份验证

ISA服务器防火墙策略的工具箱中展开用户,如下图所示,选着“新建”。

创建完用户集后,我们都我们都我们都我们都修改访问规则,ISA原先有一条访问规则允许内网用户任意访问,我们都我们都我们都我们都对规则进行修改,限制只有特定用户集的成员才可不也能访问外网。

ISA上打开实时日志,如下图所示,ISA认为是本机的张强用户在访问,镜像账号起作用了!

域环境拓扑如下图所示,Denver是域控制器和DNS服务器,Perth是域内工作站,Beijing是加入域的ISA5006服务器。

原先就共要ISA服务器将访问互联网的权限赋予了Internet Access组,凡是加入组的用户都将继承到这种权限,我们都我们都我们都我们都通过ISA访问互联网时将无需遇到任何障碍,就是我会被提示输入口令进行身份验证,您看,在域环境下用户的透明验证是总要真的很方便呢?

选着将Contoso.com域中的Internet Access组加入新创建的用户集。

解决了DNS的问题报告 后,我们都我们都我们都我们都就可不也能利用身份验证来限制用户访问了。

创建允许访问互联网的全局组

在本例中,ISA服务器的内网网卡的TCP/IP参数是 IP10.1.1.254 ,子网掩码为255.255.255.0DNS10.1.1.5;外网网卡的TCP/IP参数是IP192.168.1.254,子网掩码为255.255.255.0,网关为192.168.1.1。原先一来,内网的DNS既负责为AD提供SRV记录,也负责解析互联网上的域名,价值形式简单,易于纠错。

我们都我们都我们都我们都从工作组始于英文介绍,在工作组环境下,控制用户上网大多采用一种手段,IP地址或用户身份验证,多数管理员会倾向于利用IP控制。

点击加在,将“允许访问互联网的用户”加在来,如下图所示。

身份验证通过,用户可不也能访问互联网了!

Istanbul上创建用户账号张强,如下图所示,用户名为zhangqiang,口令为Itet5008