很多單位在使用ISA2006時(shí)，都希望用ISA對(duì)員工上網(wǎng)進(jìn)行約束，今天我們就為大家介紹一些限制用戶(hù)上網(wǎng)的技巧。由于在域和工作組環(huán)境下使用的方法有所不同，因此我們將內(nèi)容分為兩部分，一部分介紹在工作組環(huán)境下如何操作，另一部分則針對(duì)域環(huán)境。

　　我們從工作組開(kāi)始介紹，在工作組環(huán)境下，控制用戶(hù)上網(wǎng)大多采用兩種手段，IP地址或用戶(hù)身份驗(yàn)證，多數(shù)管理員會(huì)傾向于利用IP控制。

　　一 利用IP+Arp靜態(tài)綁定

　　工作組環(huán)境下進(jìn)行身份驗(yàn)證并不方便，因此管理員一般會(huì)采用IP地址進(jìn)行訪(fǎng)問(wèn)控制。根據(jù)源IP限制訪(fǎng)問(wèn)者是包過(guò)濾防火墻的基本功能，從技術(shù)上看實(shí)現(xiàn)起來(lái)很簡(jiǎn)單。如果我們希望只有Perth能上網(wǎng)，那我們就可以創(chuàng)建一個(gè)允許上網(wǎng)的計(jì)算機(jī)集合，然后將Perth加入此集合即可。

　　在ISA服務(wù)器上打開(kāi)ISA服務(wù)器管理，在防火墻策略工具箱中選擇新建“計(jì)算機(jī)集”，如下圖所示。

　　為計(jì)算機(jī)集取名為“允許上網(wǎng)的計(jì)算機(jī)”，點(diǎn)擊添加計(jì)算機(jī)，準(zhǔn)備把Perth加進(jìn)來(lái)。

　　輸入Perth的名稱(chēng)和IP地址，點(diǎn)擊“確定“，這樣我們就創(chuàng)建了一個(gè)計(jì)算機(jī)集合，集合內(nèi)包括Perth。

　　創(chuàng)建了計(jì)算機(jī)集合后，我們來(lái)修改一下訪(fǎng)問(wèn)規(guī)則，現(xiàn)有的訪(fǎng)問(wèn)規(guī)則是允許內(nèi)網(wǎng)和本地主機(jī)可任意訪(fǎng)問(wèn)。在訪(fǎng)問(wèn)規(guī)則屬性中切換到“從”標(biāo)簽，如下圖所示，選擇“內(nèi)部”，點(diǎn)擊“刪除”，然后把剛創(chuàng)建的計(jì)算機(jī)集合添加進(jìn)來(lái)。

　　修改后的規(guī)則如下圖所示。

　　在Perth上訪(fǎng)問(wèn)百度，一切正常，如下圖所示。

　　換到Istanbul上訪(fǎng)問(wèn)，如下圖所示，Istanbul無(wú)法訪(fǎng)問(wèn)Internet。

　　看起來(lái)我們達(dá)到了用IP控制用戶(hù)上網(wǎng)的目的，問(wèn)題已經(jīng)解決，其實(shí)不然。由于目前ISA只是依靠IP地址進(jìn)行訪(fǎng)問(wèn)控制，過(guò)不了多久，ISA管理員就會(huì)發(fā)現(xiàn)有“聰明”人開(kāi)始盜用IP，冒充合法用戶(hù)-。為了應(yīng)對(duì)這種情況，我們可以考慮使用ARP靜態(tài)綁定來(lái)解決這個(gè)問(wèn)題，即在ISA服務(wù)器上記錄合法客戶(hù)機(jī)的MAC地址。在本例中，我們讓ISA記錄Perth的MAC地址。如下圖所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s進(jìn)行靜態(tài)綁定，這樣就不用擔(dān)心用戶(hù)盜用IP了。

　　二 用戶(hù)身份驗(yàn)證

　　工作組環(huán)境下進(jìn)行用戶(hù)身份驗(yàn)證并不方便，但不等于無(wú)法進(jìn)行用戶(hù)身份驗(yàn)證，在工作組中進(jìn)行身份驗(yàn)證可以使用鏡像賬號(hào)的方式，即在ISA服務(wù)器和客戶(hù)機(jī)上創(chuàng)建用戶(hù)名和口令都完全一致的用戶(hù)賬號(hào)。例如我們?cè)试S員工張強(qiáng)-，張強(qiáng)使用的計(jì)算機(jī)是Istanbul，那我們可以進(jìn)行如下操作。

　　A 在ISA服務(wù)器上為張強(qiáng)創(chuàng)建用戶(hù)賬號(hào)

　　在ISA的計(jì)算機(jī)管理中，定位本地用戶(hù)和組，如下圖所示，選擇創(chuàng)建新用戶(hù)。

　　用戶(hù)名為zhangqiang，口令為Itet2008。

　　B 在ISA服務(wù)器上創(chuàng)建允許上網(wǎng)的用戶(hù)集

　　在防火墻策略工具箱中，展開(kāi)用戶(hù)，如下圖所示，點(diǎn)擊新建。

　　為新建用戶(hù)集取名為“允許上網(wǎng)用戶(hù)”。

　　在新創(chuàng)建的用戶(hù)集中添加“Windows用戶(hù)和組”，如下圖所示。

　　在用戶(hù)集中添加beijing\zhangqiang，如下圖所示。

　　創(chuàng)建完用戶(hù)集，點(diǎn)擊完成。

　　接下來(lái)我們要修改訪(fǎng)問(wèn)規(guī)則，只允許指定用戶(hù)集-。還是對(duì)那條允許內(nèi)網(wǎng)用戶(hù)任意訪(fǎng)問(wèn)的訪(fǎng)問(wèn)規(guī)則進(jìn)行修改，這次不修改訪(fǎng)問(wèn)的源網(wǎng)絡(luò)了，如下圖所示，我們對(duì)源網(wǎng)絡(luò)不進(jìn)行任何限制。

　　這次限制的重點(diǎn)放在了用戶(hù)上，在規(guī)則屬性中切換到用戶(hù)標(biāo)簽，將“所有用戶(hù)”刪除。

　　將“允許上網(wǎng)用戶(hù)”添加進(jìn)來(lái)，如下圖所示。

　　D 在Istanbul上創(chuàng)建張強(qiáng)的鏡像賬號(hào)

　　現(xiàn)在內(nèi)網(wǎng)的訪(fǎng)問(wèn)用戶(hù)必須向ISA證明自己是ISA服務(wù)器上的用戶(hù)張強(qiáng)才能被允許-，那怎么才能證明呢?其實(shí)很簡(jiǎn)單，只要客戶(hù)機(jī)上的某個(gè)用戶(hù)賬號(hào)，其用戶(hù)名和口令和ISA服務(wù)器上張強(qiáng)的用戶(hù)名和口令完全一致，ISA就會(huì)認(rèn)為這兩個(gè)賬號(hào)是同一用戶(hù)。這里面涉及到集成驗(yàn)證中的NTLM原理，以后我會(huì)寫(xiě)篇博文發(fā)出來(lái)，現(xiàn)在大家只要知道如何操作就可以了。

　　在Istanbul上創(chuàng)建用戶(hù)賬號(hào)張強(qiáng)，如下圖所示，用戶(hù)名為zhangqiang，口令為Itet2008。

　　做完上述工作后，我們就可以在Istanbul來(lái)試驗(yàn)一下了。首先，我們需要以張強(qiáng)的身份登錄，其次，由于SNAT不支持用戶(hù)驗(yàn)證，因此我們測(cè)試時(shí)需使用Web代理或防火墻客戶(hù)端。如下圖所示，我們?cè)诳蛻?hù)機(jī)上使用Web代理。

　　在Istanbul上訪(fǎng)問(wèn)百度，如下圖所示，訪(fǎng)問(wèn)成功!

　　在ISA上打開(kāi)實(shí)時(shí)日志，如下圖所示，ISA認(rèn)為是本機(jī)的張強(qiáng)用戶(hù)在訪(fǎng)問(wèn)，鏡像賬號(hào)起作用了!

　　三 Web代理與基本身份驗(yàn)證

　　在上面的鏡像賬號(hào)例子中，訪(fǎng)問(wèn)者利用了集成驗(yàn)證證明了自己的身份，其實(shí)ISA也支持基本身份驗(yàn)證。曾經(jīng)有朋友問(wèn)過(guò)這個(gè)問(wèn)題，ISA能否在用戶(hù)使用瀏覽器上網(wǎng)時(shí)彈出一個(gè)窗口，訪(fǎng)問(wèn)者必須答對(duì)用戶(hù)名和口令才可以上網(wǎng)?這個(gè)需求是可以滿(mǎn)足的，只要訪(fǎng)問(wèn)者使用Web代理以及我們將Web代理的身份驗(yàn)證方法改為基本身份驗(yàn)證即可。

　　在ISA服務(wù)器中查看內(nèi)部網(wǎng)絡(luò)屬性，如下圖所示，切換到Web代理標(biāo)簽，點(diǎn)擊“身份驗(yàn)證”。

　　將Web代理使用的身份驗(yàn)證方式從“集成”改為“基本”，如下圖所示。

　　防火墻策略生效后，在客戶(hù)機(jī)上測(cè)試一下，如下圖所示，客戶(hù)機(jī)訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)，ISA彈出對(duì)話(huà)框要求輸入用戶(hù)名和口令進(jìn)行身份驗(yàn)證，我們輸入了張強(qiáng)的用戶(hù)名和口令。

　　身份驗(yàn)證通過(guò)，用戶(hù)可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)了!

　　以上我們簡(jiǎn)單介紹了如何在工作組環(huán)境下控制用戶(hù)上網(wǎng)，接下來(lái)我們要考慮在域環(huán)境下如何操作。相比較工作組而言，域環(huán)境下控制用戶(hù)上網(wǎng)是很容易做到的，既然有域控制器負(fù)責(zé)集中的用戶(hù)身份驗(yàn)證，既方便又安全，如果不加以利用豈不太過(guò)可惜。在域環(huán)境下控制用戶(hù)上網(wǎng)基本都是依靠用戶(hù)身份驗(yàn)證，除了有極個(gè)別的SNAT用戶(hù)我們需要用IP控制。具體的處理思路也很簡(jiǎn)單，在域中創(chuàng)建一個(gè)全局組，例如取名為Internet Access。然后將允許上網(wǎng)的域用戶(hù)加入此全局組，最后在ISA中創(chuàng)建一個(gè)允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)集，把全局組Internet Access加入允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)集即可。

　　域環(huán)境拓?fù)淙缦聢D所示，Denver是域控制器和DNS服務(wù)器，Perth是域內(nèi)工作站，Beijing是加入域的ISA2006服務(wù)器。

　　一 DNS設(shè)置問(wèn)題

　　ISA有兩塊網(wǎng)卡，兩塊網(wǎng)卡上究竟應(yīng)該怎么設(shè)置TCP/IP參數(shù)，尤其是DNS應(yīng)該怎么設(shè)置?這是個(gè)容易被忽略但又很重要的問(wèn)題，因?yàn)镈NS既負(fù)責(zé)定位內(nèi)網(wǎng)的域控制器，也要負(fù)責(zé)解析互聯(lián)網(wǎng)上的域名，設(shè)置不好輕則影響內(nèi)網(wǎng)登錄，重則嚴(yán)重影響大家上網(wǎng)的速度。我們推薦的設(shè)置方式是只在內(nèi)網(wǎng)網(wǎng)卡設(shè)置DNS，外網(wǎng)網(wǎng)卡不設(shè)置DNS服務(wù)器。

　　在本例中，ISA服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是 IP為10.1.1.254 ，子網(wǎng)掩碼為255.255.255.0，DNS為10.1.1.5;外網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是IP為192.168.1.254，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)為192.168.1.1。這樣一來(lái)，內(nèi)網(wǎng)的DNS既負(fù)責(zé)為AD提供SRV記錄，也負(fù)責(zé)解析互聯(lián)網(wǎng)上的域名，結(jié)構(gòu)簡(jiǎn)單，易于糾錯(cuò)。

　　有朋友認(rèn)為只有電信提供的DNS服務(wù)器才能解析互聯(lián)網(wǎng)上的域名，這種看法是不對(duì)的。我們?cè)趦?nèi)網(wǎng)中搭建的DNS服務(wù)器只要能訪(fǎng)問(wèn)互聯(lián)網(wǎng)，它就可以解析互聯(lián)網(wǎng)上的所有域名。根據(jù)DNS原理分析，如果DNS服務(wù)器遇到一個(gè)域名自己無(wú)法解析，它就會(huì)把這個(gè)解析請(qǐng)求送到根服務(wù)器，根服務(wù)器采用迭代方式指導(dǎo)DNS服務(wù)器解析出目標(biāo)域名。因此，想要內(nèi)網(wǎng)的DNS服務(wù)器能解析出互聯(lián)網(wǎng)上的域名，只要允許內(nèi)網(wǎng)DNS服務(wù)器能訪(fǎng)問(wèn)互聯(lián)網(wǎng)即可。

　　A 我們應(yīng)該在ISA上創(chuàng)建一條訪(fǎng)問(wèn)規(guī)則，允許DNS服務(wù)器任意訪(fǎng)問(wèn)，并且將這條規(guī)則放到第一位，如下圖所示。

　　B 為了提高DNS的解析速度，可以考慮在DNS服務(wù)器上設(shè)置轉(zhuǎn)發(fā)器，將用戶(hù)發(fā)來(lái)的DNS解析請(qǐng)求轉(zhuǎn)發(fā)到電信的DNS服務(wù)器上。

　　轉(zhuǎn)發(fā)器的設(shè)置如下，在Denver上打開(kāi)DNS管理器，右鍵點(diǎn)擊服務(wù)器，選擇“屬性”，如下圖所示。

　　在屬性中切換到“轉(zhuǎn)發(fā)器”，在轉(zhuǎn)發(fā)器IP地址處填寫(xiě)電信DNS服務(wù)器的IP，填寫(xiě)完畢后點(diǎn)擊添加，如下圖所示。這樣我們就設(shè)置好了轉(zhuǎn)發(fā)器，以后Denver解析不了的域名將轉(zhuǎn)發(fā)給202.106.46.151，利用電信DNS的緩存來(lái)加快解析速度。

　　二 依靠身份驗(yàn)證限制用戶(hù)

　　解決了DNS的問(wèn)題后，我們就可以利用身份驗(yàn)證來(lái)限制用戶(hù)訪(fǎng)問(wèn)了。

　　A 創(chuàng)建允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的全局組

　　在域控制器上打開(kāi)“Active Directory用戶(hù)和計(jì)算機(jī)”，如下圖所示，在Users容器中選擇新建組。

　　組的名稱(chēng)為Internet Access，組的類(lèi)型為全局組。

　　如下圖所示，點(diǎn)擊完成結(jié)束組的創(chuàng)建。

　　我們只需將允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)加入Internet Access即可，如下圖所示。

　　B 創(chuàng)建允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)集

　　在ISA服務(wù)器防火墻策略的工具箱中展開(kāi)用戶(hù)，如下圖所示，選擇“新建”。

　　啟動(dòng)用戶(hù)集創(chuàng)建向?qū)?，為用?hù)集取個(gè)名字。

　　在用戶(hù)集中選擇添加“Windows用戶(hù)和組”，如下圖所示。

　　我們將查找位置設(shè)為“整個(gè)目錄”，對(duì)象名稱(chēng)輸入“Internet Access”，如下圖所示。

　　確定將Contoso.com域中的Internet Access組加入新創(chuàng)建的用戶(hù)集。

　　完成用戶(hù)集的創(chuàng)建。

　　C 修改訪(fǎng)問(wèn)規(guī)則

　　創(chuàng)建完用戶(hù)集后，我們修改訪(fǎng)問(wèn)規(guī)則，ISA原先有一條訪(fǎng)問(wèn)規(guī)則允許內(nèi)網(wǎng)用戶(hù)任意訪(fǎng)問(wèn)，我們對(duì)規(guī)則進(jìn)行修改，限制只有特定用戶(hù)集的成員才可以

　　在訪(fǎng)問(wèn)規(guī)則屬性中切換到“用戶(hù)”標(biāo)簽，如下圖所示，刪除“所有用戶(hù)”集合。

　　點(diǎn)擊添加，將“允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)”加進(jìn)來(lái)，如下圖所示。

　　這樣就相當(dāng)于ISA服務(wù)器將訪(fǎng)問(wèn)互聯(lián)網(wǎng)的權(quán)限賦予了Internet Access組，凡是加入組的用戶(hù)都將繼承到這個(gè)權(quán)限，他們通過(guò)ISA訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)將不會(huì)遇到任何障礙，也不會(huì)被提示輸入口令進(jìn)行身份驗(yàn)證，您看，在域環(huán)境下用戶(hù)的透明驗(yàn)證是不是真的很方便呢?

　　總結(jié)：限制用戶(hù)-是ISA管理員經(jīng)常遇到的管理需求，一般情況下不是用IP就是靠身份驗(yàn)證，身份驗(yàn)證在域中實(shí)現(xiàn)易如反掌，在工作組中實(shí)現(xiàn)就要靠鏡像賬號(hào)了。