在企業(yè)局域網(wǎng)中往往需要對(duì)員工使用電腦進(jìn)行嚴(yán)格限制，比如不允許登錄某些網(wǎng)站，不允許使用QQ、MSN，限制某些端口不能玩網(wǎng)絡(luò)游戲等等。下面，筆者列舉幾個(gè)比較經(jīng)典的利用ISA進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的實(shí)例。

　　一、徹底封閉BT下載

　　BT下載會(huì)占用大量的網(wǎng)絡(luò)帶寬，造成局域網(wǎng)的擁塞，因此是企業(yè)網(wǎng)管首先要限制的。BT一般使用TCP的6881～6889的端口，因此我們就從端口入手在ISA建立相應(yīng)的策略進(jìn)行限制。

　　1.添加協(xié)議集

　　在ISA控制臺(tái)窗口中，右鍵點(diǎn)擊“防火墻策略”，選擇“新建→訪問(wèn)規(guī)則”，彈出訪問(wèn)規(guī)則向?qū)?duì)話框，在“訪問(wèn)規(guī)則名稱”欄中輸入“禁用BT”，點(diǎn)擊“下一步”按鈕后，選擇“拒絕”選項(xiàng)，接著在“協(xié)議”對(duì)話框中選擇“所選的協(xié)議”。

　　點(diǎn)擊“添加”按鈕，在“添加協(xié)議”對(duì)話框中點(diǎn)擊“新建→協(xié)議”，彈出協(xié)議定義向?qū)?duì)話框，在名稱欄中輸入“BT”，點(diǎn)擊“下一步”按鈕，進(jìn)入“首要連接信息”對(duì)話框。點(diǎn)擊“新建”，彈出“新建/編輯協(xié)議連接”對(duì)話框，在“協(xié)議類型”中選擇“TCP”，選擇方向?yàn)?ldquo;入站”，端口范圍為“從6881到6889”，然后點(diǎn)擊“確定”按鈕，接下來(lái)一路點(diǎn)擊“下一步”按鈕，即可完成BT協(xié)議的定義。

圖1

　　2.添加用戶集

　　接著在添加協(xié)議對(duì)話框中展開“所有協(xié)議”，并添加BT協(xié)議，點(diǎn)擊“下一步”按鈕后，指定訪問(wèn)規(guī)則源。點(diǎn)擊“添加”按鈕，彈出“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框，展開網(wǎng)絡(luò)目錄，選擇“內(nèi)部”。點(diǎn)擊“添加”按鈕，接著點(diǎn)擊“下一步”按鈕，設(shè)置訪問(wèn)規(guī)則目標(biāo)，在網(wǎng)絡(luò)實(shí)體對(duì)話框中展開網(wǎng)絡(luò)目錄，添加“外部”，然后進(jìn)入“用戶集”對(duì)話框，選擇“所有用戶”并點(diǎn)擊“完成”按鈕。

圖2

#p#副標(biāo)題#e#

　　3.應(yīng)用規(guī)則

 

　　最后在防火墻策略窗口中選中這一規(guī)則，并點(diǎn)擊上方的“應(yīng)用”按鈕。這樣局域網(wǎng)內(nèi)的用戶就不能進(jìn)行BT下載了。如果BT軟件使用的不是6881～6889的端口，該規(guī)則就會(huì)失效。由于BT端口是可改變的，所以一旦BT下載端口發(fā)生改變，你就得立即查到新的端口，并將它封掉。

圖3

　　二、禁止員工訪問(wèn)某些網(wǎng)站

　　利用ISA 2006禁止用戶是非常簡(jiǎn)單的事。首先將要禁止上網(wǎng)的用戶的IP收集起來(lái)放在一起做成計(jì)算機(jī)集，然后將要禁止訪問(wèn)的站點(diǎn)放在一起做成域名集，最后在防火墻策略里新建一個(gè)策略來(lái)禁止這些用戶訪問(wèn)這些站點(diǎn)。

　　下面我們一步一步地來(lái)設(shè)置。

　　1.建立計(jì)算機(jī)集

　　點(diǎn)擊ISA Server控制臺(tái)界面窗口左邊的“防火墻策略”來(lái)到設(shè)置防火墻策略頁(yè)面，在右面點(diǎn)擊“工具箱”標(biāo)簽，然后點(diǎn)擊“網(wǎng)絡(luò)對(duì)象”就可以看到如圖4所示的界面。

圖4

#p#副標(biāo)題#e#

　　在“計(jì)算機(jī)集”上點(diǎn)右鍵，選擇“新建計(jì)算機(jī)集”。點(diǎn)擊“添加”會(huì)顯示一個(gè)菜單，在這里可以選擇“計(jì)算機(jī)”、“地址范圍”、“子網(wǎng)”，可以根據(jù)具體情況選擇。我們這里就選擇“地址范圍”。然后根據(jù)要求填入名稱“被禁止的計(jì)算機(jī)”，IP地址范圍，點(diǎn)擊“確定”回到上一個(gè)“新建計(jì)算機(jī)集規(guī)則元素”，填上名稱“被禁止的計(jì)算機(jī)”點(diǎn)擊“確定”，在計(jì)算機(jī)集里就可以看到剛剛添加的計(jì)算機(jī)集“被禁止的計(jì)算機(jī)”。這樣第一步就完成了。

 

圖5

　　2.建立域名集

　　在剛才我們用的“計(jì)算機(jī)集”的上面可以看到“域名集”，在上面點(diǎn)右鍵，選擇“新建域名集”打開“新建域名集策略元素”。在“名稱”里輸入域名集的名稱，我們假設(shè)那個(gè)網(wǎng)站是www.google.com，我們輸入“google”，然后在下面點(diǎn)擊“新建”，再將域名改為“*.google.com”見(jiàn)圖4，如果有多個(gè)域名，可以新建多個(gè)域。我們這里只輸入了一個(gè)。最后點(diǎn)擊“確定”就可以了。我們?cè)?ldquo;域名集”里可以看到我們新建的“google”這個(gè)域名集。

圖6

#p#副標(biāo)題#e#

　　3.建立訪問(wèn)規(guī)則

 

　　點(diǎn)擊ISA Server控制臺(tái)界面窗口左邊的“防火墻策略”，然后在菜單里選擇“新建|訪問(wèn)規(guī)則”，在彈出的向?qū)ы?yè)面中輸入訪問(wèn)規(guī)則名稱，我們輸入“禁止訪問(wèn)google.com”。點(diǎn)擊“下一步”，在規(guī)則操作中選擇“拒絕”，點(diǎn)擊“下一步”。在“協(xié)議”一頁(yè)中選擇“所有出站通訊”，也可以根據(jù)具體情況選擇“所選的協(xié)議”，然后選擇集體的協(xié)議，以禁止某些功能，比如Ping等等。也可以點(diǎn)擊“端口”，根據(jù)端口設(shè)置。這里非常靈活。我們這里選擇的是所有的通訊，這樣就不能訪問(wèn)該網(wǎng)站了。

圖7

　　點(diǎn)擊“下一步”，選擇訪問(wèn)規(guī)則源，也就是我們剛才建的計(jì)算機(jī)集，點(diǎn)擊“添加”,在計(jì)算機(jī)集中選擇剛才創(chuàng)建的“被禁止的計(jì)算機(jī)”，然后下一步，添加訪問(wèn)目標(biāo)，就是我們創(chuàng)建的域名集，點(diǎn)擊“添加”在域名集中選擇“google”，下一步是“用戶集”，默認(rèn)的是“所有用戶”，這里可以進(jìn)行編輯，如管理員除外等等。我們這里用默認(rèn)的，點(diǎn)擊下一步就完成了訪問(wèn)規(guī)則的創(chuàng)建。點(diǎn)擊“完成”，我們即可在“防火墻策略規(guī)則”中看到我們創(chuàng)建的規(guī)則。在上面點(diǎn)擊右鍵選“屬性”可以對(duì)它的屬性進(jìn)行設(shè)置。比如添加一些被禁止的站點(diǎn)等等，這里還可以設(shè)置成按時(shí)間執(zhí)行這個(gè)策略，如上班的時(shí)候不能訪問(wèn)，下了班可以訪問(wèn)這些站點(diǎn)。在屬性里點(diǎn)擊“計(jì)劃”標(biāo)簽見(jiàn)圖7，在這里一周七天每天24個(gè)小時(shí)可以隨意編輯。在“計(jì)劃”中可以選擇“總是”、“工作時(shí)間”、“周末”。如果感覺(jué)默認(rèn)的時(shí)間不合適，可以點(diǎn)擊“新建”建立合適的。

圖8

#p#副標(biāo)題#e#

　　設(shè)置完屬性點(diǎn)擊“確定”就可以了。這時(shí)，在上面有一個(gè)黃色的三角圖標(biāo)，里面是感嘆號(hào)，這里可以選擇應(yīng)用或丟棄剛才編輯的策略。點(diǎn)擊“應(yīng)用”，稍等一會(huì)，我們編輯的策略就生效了。

 

　　三、禁止員工使用QQ

　　說(shuō)到封鎖QQ，這的確讓不少網(wǎng)絡(luò)管理員頭疼，因?yàn)镼Q可以使用多種協(xié)議通信，如：UDP、TCP、HTTP、HTTPS，而且支持使用代理。只要允許HTTP協(xié)議就可以登錄，而在網(wǎng)絡(luò)中又不能禁用所有的協(xié)議，那怎么辦呢?

　　要禁止QQ登錄，我們先看一下QQ的登錄過(guò)程。在默認(rèn)情況下，QQ是使用UDP協(xié)議向服務(wù)器發(fā)送請(qǐng)求的，也可以使用HTTP代理進(jìn)行通信。我們不能禁止HTTP協(xié)議，所以最好的辦法是封鎖服務(wù)器IP，然后利用ISA 2006對(duì)HTTP檢查機(jī)制來(lái)禁止QQ使用代理登錄。

　　1.封鎖服務(wù)器IP地址

　　首先要找到QQ服務(wù)器的IP地址，QQ的服務(wù)器不止一個(gè)，大家可以到網(wǎng)上找一下，這里我暫時(shí)用下面這幾個(gè)：61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通過(guò)HTTP代理連接的服務(wù)器的URL，可以去找一下，也可以自己抓包看一下。這里我們用tencent.com這個(gè)地址。和剛才一樣要定義源集、目標(biāo)集、策略。源集和禁止訪問(wèn)網(wǎng)絡(luò)的定義一樣，內(nèi)網(wǎng)的全部計(jì)算機(jī)。在定義目標(biāo)集時(shí)也定義成為計(jì)算機(jī)集,然后添加訪問(wèn)規(guī)則。

圖9

　　2.禁止QQ使用HTTP代理登錄

#p#副標(biāo)題#e#

　　這里使用的是ISA Server的深層過(guò)濾機(jī)制，在“防火墻策略規(guī)則”中“無(wú)限制的Internet訪問(wèn)”上面點(diǎn)右鍵，選擇“配置HTTP”，在打開的“為規(guī)則配置HTTP策略”上選擇“簽名”標(biāo)簽。添加一個(gè)新的簽名。在“簽名”中輸入“tencent.com”。這樣在使用代理登錄時(shí)請(qǐng)求連接的URL中發(fā)現(xiàn)“tencent.com”就會(huì)阻止。

 

圖10

　　3.應(yīng)用策略

　　再調(diào)整一下這個(gè)策略的屬性，點(diǎn)擊“應(yīng)用”就成功地禁止了QQ。要注意的一點(diǎn)是上面兩種策略必須同時(shí)使用才能徹底禁止QQ，以后如果發(fā)現(xiàn)新的QQ服務(wù)器IP或是代理服務(wù)器的URL，隨時(shí)加入策略中就可以了。

　　四、限制工作站帶寬

　　由于局域網(wǎng)中某些員工進(jìn)行非法下載或者在線視頻占用大量帶寬，異常流量造成造成網(wǎng)絡(luò)擁堵，影響企業(yè)網(wǎng)絡(luò)的正常應(yīng)用。對(duì)此，我們只需依靠第三方軟件Bandwidth Splitter與ISA Server 2006結(jié)合即可完美進(jìn)行流量控制。

　　安裝完BS后，打開ISA Server 2006，可以看到BS的管理控制臺(tái)已經(jīng)集成到ISA Server 2006中。點(diǎn)擊Bandwidth Splitter，它有4個(gè)功能項(xiàng)，分別是：Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面結(jié)合實(shí)例來(lái)講解它們的作用，并配置它們。

#p#副標(biāo)題#e#

　　1.流量及其連接數(shù)限制

 

　　比如將IP地址為192.168.1.10的計(jì)算機(jī)的流量設(shè)置為50Kbits/s，它的連接數(shù)最多為20。首先選擇左側(cè)窗格中的“防火墻策略”，并在右側(cè)窗格中選擇“工具箱”→“新建”→“計(jì)算機(jī)”，在彈出對(duì)話框中將名稱設(shè)為lw，IP地址為192.168.1.10，描述為受限用戶，然后點(diǎn)擊確定。

圖11

　　再用右鍵單擊Bandwidth Splitter下的Shaping Rules項(xiàng)，選擇“新建”→“Rule”，在彈出的“新建帶寬控制規(guī)則向?qū)е?rdquo;填入規(guī)則名稱“lw 小于 50K”，在“Applies To”項(xiàng)中選擇“IP　address sets specified below”，點(diǎn)“Add”并從列表里找到剛才建好的名稱為“lw”的計(jì)算機(jī)。然后點(diǎn)擊下一步，在“Destinations”項(xiàng)中從列表里添加“外部”，點(diǎn)下一步，在“Schedule”項(xiàng)中選擇“Always”，然后，在“Shaping”中選“Shape total traffic(incoming+outgoing)”，Total值設(shè)為“50”，勾選“Don't shape cached web content”。點(diǎn)下一步，在“Connection setting”項(xiàng)中勾選“Limit number of concurrent connections”，將“Connection limit”值設(shè)為20;在“shaping type”項(xiàng)中選擇“Assign bandwidth individually to each applicable user/address”。點(diǎn)下一步，在“Extra parameters”項(xiàng)中選擇默認(rèn)，然后點(diǎn)擊下一步。

圖12

#p#副標(biāo)題#e#

　　此時(shí)在左側(cè)窗格中就出現(xiàn)了剛才配置的“lw 小于 50K”的流量控制策略，單擊ISA Server 2006控制臺(tái)工具欄上的綠色按鈕“Apply changes”，提示應(yīng)用完成之后，這個(gè)流量控制策略就生效了。打開“Monitoring”項(xiàng)，可以看到IP地址為192.168.1.10的計(jì)算機(jī)的實(shí)時(shí)流量一直被控制在50Kbits/s以下，連接數(shù)也在20個(gè)以下。在“Monitoring”項(xiàng)上點(diǎn)右鍵，勾選“Connections Details”我們可以查看到，每一臺(tái)計(jì)算機(jī)當(dāng)前的連接情況的附加信息，包括協(xié)議、目標(biāo)主機(jī)IP、端口等詳細(xì)內(nèi)容。

 

圖13

　　2.設(shè)定總流量上限

　　例如將IP地址為192.168.1.10的計(jì)算機(jī)每周的流量總額限定為300MB。首先，用右鍵單擊Bandwidth Splitter下的Quota Rules項(xiàng)，選擇“新建”→“Rule”，操作同前述例子基本一致，按向?qū)崾疽徊讲教顚懴嚓P(guān)內(nèi)容即可。只是在“Traffic Quota”選項(xiàng)中有所不同，選擇“Limit total traffic(incoming+outgoing)”，Total的值設(shè)為300MB，勾選“Don't account cached web content”，將“Reset period”值設(shè)為“Weekly”，并勾選“Transfer remainder to the next period”，其余相同，完成后應(yīng)用即可。打開“Quota Counters”項(xiàng)，我們?cè)谟覀?cè)窗格中可以看到IP地址為192.168.1.10的計(jì)算機(jī)的策略應(yīng)用情況，及本周還有多少流量可以使用。

圖14

　　總結(jié)

　　筆者列舉的這四個(gè)例子，只是利用ISA進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的特例。其實(shí)ISA 2006是一個(gè)性能強(qiáng)大的企業(yè)防火墻，大家在實(shí)際應(yīng)用中可以量身定制相應(yīng)的防火墻策略，進(jìn)行針對(duì)性的網(wǎng)絡(luò)訪問(wèn)控制。