ISA限制用户上网的技巧:ISA2006系列之八

  • 时间:
  • 浏览:1

将“允许上网用户”加进进来,如下图所示。

Perth上访问百度,一切正常,如下图所示。

创建了计算机集合后,让我们歌词 歌词 歌词 来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选取“内部内部结构”,点击“删除”,为什么会么会让把刚创建的计算机集合加进进来。

输入Perth的名称和IP地址,点击“选取“,原来让我们歌词 歌词 歌词 就创建了有一个 多 计算机集合,集合内包括Perth

ISA访问控制技巧

创建完用户集,点击完成。

本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/86120 ,如需转载请自行联系原作者

Istanbul上访问百度,如下图所示,访问成功!

让我们歌词 歌词 歌词 应该在ISA上创建根小访问规则,允许DNS服务器任意访问,为什么会么会让将这条规则倒入第一位,如下图所示。

总结:限制用户访问外网是ISA管理员总是 遇到的管理需求,一般情形下也有用IP就说 我靠身份验证,身份验证在域中实现易如反掌,在工作组中实现就要靠镜像账号了。

组的名称为Internet Access,组的类型为全局组。

工作组环境下进行身份验证我不多 说方便,为什么会么会让管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。机会让我们歌词 歌词 歌词 希望非要Perth能上网,原来们就都也能 创建有一个 多 允许上网的计算机集合,为什么会么会让将Perth加入此集合即可。

在新创建的用户集中加进“Windows用户和组”,如下图所示。

用户名为zhangqiang,口令为Itet5008

原来就大慨 ISA服务器将访问互联网的权限赋予了Internet Access组,凡是加入组的用户都将继承到你這個权限,让我们歌词 歌词 歌词 通过ISA访问互联网时将我不多 遇到任何障碍,就说 我会被提示输入口令进行身份验证,您看,在域环境下用户的透明验证是也有真的很方便呢?

换到Istanbul上访问,如下图所示,Istanbul无法访问Internet

点击加进,将“允许访问互联网的用户”加进来,如下图所示。

ISA服务器中查看内部内部结构网络属性,如下图所示,切换到Web代理标签,点击“身份验证”。

  利用IP+Arp静态绑定

身份验证通过,用户都也能 访问互联网了!

域环境拓扑如下图所示,Denver是域控制器和DNS服务器,Perth是域内工作站,Beijing是加入域的ISA5006服务器。

以上让我们歌词 歌词 歌词 简单介绍了如保在工作组环境下控制用户上网,接下来让我们歌词 歌词 歌词 要考虑在域环境下如保操作。相比较工作组而言,域环境下控制用户上网是很容易做到的,既然有域控制器负责集中的用户身份验证,既方便又安全,机会不加以利用岂不太过可惜。在域环境下控制用户上网基本也有依靠用户身份验证,除了有极个别的SNAT用户让我们歌词 歌词 歌词 都要用IP控制。具体的正确处理思路也很简单,在域中创建有一个 多 全局组,例如取名为Internet Access。为什么会么会让将允许上网的域用户加入此全局组,最后在ISA中创建有一个 多 允许访问互联网的用户集,把全局组Internet Access加入允许访问互联网的用户集即可。

选取将Contoso.com域中的Internet Access组加入新创建的用户集。

工作组环境下进行用户身份验证我不多 说方便,但不等于无法进行用户身份验证,在工作组中进行身份验证都也能 使用镜像账号的土方法 ,即在ISA服务器和客户机上创建用户名和口令都删剪一致的用户账号。例如让我们歌词 歌词 歌词 允许员工张强访问外网,张强使用的计算机是Istanbul,原来们都也能 进行如下操作。

在本例中,ISA服务器的内网网卡的TCP/IP参数是 IP10.1.1.254 ,子网掩码为255.255.255.0DNS10.1.1.5;外网网卡的TCP/IP参数是IP192.168.1.254,子网掩码为255.255.255.0,网关为192.168.1.1。原来一来,内网的DNS既负责为AD提供SRV记录,也负责解析互联网上的域名,形状简单,易于纠错。

现在内网的访问用户都要向ISA证明自己是ISA服务器上的用户张强也能被允许访问外网,那为什么会也能证明呢?我我其实很简单,倘若客户机上的某个用户账号,其用户名和口令和ISA服务器上张强的用户名和口令删剪一致,ISA就会认为你這個个多 账号是同一用户。这上端涉及到集成验证中的NTLM原理,完后 我会写篇博文发出来,现在让我们歌词 歌词 歌词 倘若知道如保操作就都也能 了。

 DNS设置大问题

启动用户集创建向导,为用户集取个名字。

 依靠身份验证限制用户

创建完用户集后,让我们歌词 歌词 歌词 修改访问规则,ISA原来有根小访问规则允许内网用户任意访问,让我们歌词 歌词 歌词 对规则进行修改,限制非要特定用户集的成员才都也能 访问外网。

 用户身份验证

如下图所示,点击完成完后 然后然后开始组的创建。

让我们歌词 歌词 歌词 只需将允许访问互联网的用户加入Internet Access即可,如下图所示。

在属性中切换到“转发器”,在转发器IP地址处填写电信DNS服务器的IP,填写完毕后点击加进,如下图所示。原来让我们歌词 歌词 歌词 就设置好了转发器,完后 Denver解析不了的域名将转发给202.106.46.151,利用电信DNS的缓存来加快解析传输速率。

 Web代理与基你這個份验证

Istanbul上创建用户账号张强,如下图所示,用户名为zhangqiang,口令为Itet5008

完成用户集的创建。

让我们歌词 歌词 歌词 从工作组完后 然后然后开始介绍,在工作组环境下,控制用户上网大多采用你這個手段,IP地址或用户身份验证,多数管理员会倾向于利用IP控制。

修改后的规则如下图所示。

ISA上打开实时日志,如下图所示,ISA认为是本机的张强用户在访问,镜像账号起作用了!

修改访问规则

转发器的设置如下,在Denver上打开DNS管理器,右键点击服务器,选取“属性”,如下图所示。



接下来让我们歌词 歌词 歌词 要修改访问规则,只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改,这次不修改访问的源网络了,如下图所示,让我们歌词 歌词 歌词 对源网络不进行任何限制。

ISA服务器上创建允许上网的用户集

在防火墙策略工具箱中,展开用户,如下图所示,点击新建。

ISA服务器上打开ISA服务器管理,在防火墙策略工具箱中选取新建“计算机集”,如下图所示。

在用户集中加进beijing\zhangqiang,如下图所示。

创建允许访问互联网的用户集

这次限制的重点倒入了用户上,在规则属性中切换到用户标签,将“所有用户”删除。

为新建用户集取名为“允许上网用户”。

在访问规则属性中切换到“用户”标签,如下图所示,删除“所有用户”集合。

Istanbul上创建张强的镜像账号

正确处理了DNS的大问题后,让我们歌词 歌词 歌词 就都也能 利用身份验证来限制用户访问了。

在域控制器上打开“Active Directory用户和计算机”,如下图所示,在Users容器中选取新建组。

防火墙策略生效后,在客户机上测试一下,如下图所示,客户机访问互联网时,ISA弹出对话框要求输入用户名和口令进行身份验证,让我们歌词 歌词 歌词 输入了张强的用户名和口令。

做完上述工作后,让我们歌词 歌词 歌词 就都也能 在Istanbul来试验一下了。首先,让我们歌词 歌词 歌词 都要以张强的身份登录,其次,机会SNAT不支持用户验证,为什么会么会让让我们歌词 歌词 歌词 测试都要使用Web代理或防火墙客户端。如下图所示,让我们歌词 歌词 歌词 在客户机上使用Web代理。

就说 我单位在使用ISA5006时,都希望用ISA对员工上网进行约束,今天让我们歌词 歌词 歌词 就为让我们歌词 歌词 歌词 介绍你這個限制用户上网的技巧。机会在域和工作组环境下使用的土方法 有所不同,为什么会么会让让我们歌词 歌词 歌词 将内容分为两每种,一每种介绍在工作组环境下如保操作,另一每种则针对域环境。

ISA服务器防火墙策略的工具箱中展开用户,如下图所示,选取“新建”。

为了提高DNS的解析传输速率,都也能 考虑在DNS服务器上设置转发器,将用户发来的DNS解析请求转发到电信的DNS服务器上。

为计算机集取名为“允许上网的计算机”,点击加进计算机,准备把Perth加进来。

工作组环境的实验拓扑如下图所示,BeijingISA5006服务器,PerthIstanbul是工作组内的两台计算机。

创建允许访问互联网的全局组

让我们歌词 歌词 歌词 将查找位置设为“整个目录”,对象名称输入“Internet Access”,如下图所示。

看起来让我们歌词 歌词 歌词 达到了用IP控制用户上网的目的,大问题机会正确处理,我我其实不然。机会目前ISA就说 我依靠IP地址进行访问控制,过不了多久,ISA管理员就会发现有“聪明”人完后 然后然后开始盗用IP,冒充合法用户访问外网。为了应对你這個情形,让我们歌词 歌词 歌词 都也能 考虑使用ARP静态绑定来正确处理你這個大问题,即在ISA服务器上记录合法客户机的MAC地址。在本例中,让我们歌词 歌词 歌词 让ISA记录PerthMAC地址。如下图所示,ISAping Perth,为什么会么会让用Arp –a查出PerthMAC地址,最后用Arp –s进行静态绑定,原来就我不多 担心用户盗用IP了。

ISA的计算机管理中,定位本地用户和组,如下图所示,选取创建新用户。

在用户集中选取加进“Windows用户和组”,如下图所示。

Web代理使用的身份验证土方法 从“集成”改为“基本”,如下图所示。

在上端的镜像账号例子中,访问者利用了集成验证证明了自己的身份,我我其实ISA也支持基你這個份验证。原来有让我们歌词 歌词 歌词 问过你這個大问题,ISA都也能 在用户使用浏览器上网时弹出有一个 多 窗口,访问者都要答对用户名和口令才都也能 上网?你這個需求是都也能 满足的,倘若访问者使用Web代理以及让我们歌词 歌词 歌词 将Web代理的身份验证土方法 改为基你這個份验证即可。

ISA有两块网卡,两块网卡上究竟应该为什么会设置TCP/IP参数,尤其是DNS应该为什么会设置?这是个容易被忽略但又有点痛 要的大问题,机会DNS既负责定位内网的域控制器,也要负责解析互联网上的域名,设置不好轻则影响内网登录,重则严重影响让我们歌词 歌词 歌词 上网的传输速率。让我们歌词 歌词 歌词 推荐的设置土方法 是只在内网网卡设置DNS,外网网卡不设置DNS服务器。

有让我们歌词 歌词 歌词 认为非要电信提供的DNS服务器也能解析互联网上的域名,你這個看法是不对的。让我们歌词 歌词 歌词 在内网中搭建的DNS服务器倘若能访问互联网,它就都也能 解析互联网上的所有域名。根据DNS原理分析,机会DNS服务器遇到有一个 多 域名自己无法解析,它就会把你這個解析请求送到根服务器,根服务器采用迭代土方法 指导DNS服务器解凝固目标域名。为什么会么会让,想要内网的DNS服务器能解凝固互联网上的域名,倘若允许内网DNS服务器能访问互联网即可。

ISA服务器上为张强创建用户账号