本地地址表集中保存在ISA SerVer计算机上。防火墙客户端按预设时间间隔自动地下载和接收本地地址表更新。防火墙客户端请求某个对象时,客户端会核对本地地址表。如果IP地址请求在本地地址表内,防火墙客户端就可以直接请求该对象。如果该IP地址不在本地地址表内,客户端会要求ISA SerVer 计算机代表它请求那个对象。
(4)WindoWs2000SerVer路由表
ISA SerVer构建本地地址表时运用WindoWs2000SerVer路由表判断内部网络的哪些地址范围是内部的。如果未能正确配置路由表,就可能无法正确构建ISA SerVer本地地址表。结果,客户端对内部IP地址的要求被路由到Internet上,或者通过防火墙服务被重定向。可以用WindoWs2000SerVer路由实用程序来配置相应的路由表。
后续步骤没有输入或选择项,安装向导会自动完成。
16.4.3ISA应用
保护计算机的安全,让局域网内的计算机在规定权限内安全访问Internet,是网管员的重要职责。ISA SerVer2004就是一个能顺利完成这一任务的软件工具。
Microsoft Internet Security Acceleration(ISA)是一个基于WindoWs网络的,将计算机连接到Internet的有效防火墙安全服务工具。使用ISA SerVer2004来管理局域网有很多方便之处,特别是对网内计算机访问Internet的权限能够做一些特定的限制,以及Internet对内网计算机的攻击防护都有很好的控制作用。
安装ISA SerVer2004以后,根据局域网内情况进行应用设置。
1.创建一个内部对Internet访问的规则
(1)应用描述
当安装好ISA SerVer2004后,默认的配置是禁止所有的协议通过ISA SerVer,也就是局域网内的所有机器都不能通过ISA SerVer上网,要让局域网内的计算机访问Internet,必须配置一个能允许内网计算机通过ISA SerVer访问外网的访问规则,也就是让内部客户端计算机在允许的协议内访问Internet。
(2)实现方法
通过“防火墙策略”创建内部对Internet访问的规则。
(3)具体步骤
①在ISA SerVer管理平台中,选中“防火墙策略”,选择菜单“操作”→“新建”→“访问规则”→“创建新的访问规则”,打开“新建访问规则向导”对话框。
②访问规则名称命名为“允许内网对外的访问规则”,单击“下一步”按钮,打开“规则操作”对话框。
③在符合规则条件时要执行的操作处选择“允许”单选项,单击“下一步”按钮,打开“协议”对话框。单击“添加”按钮,从弹出的“添加协议”对话框中添加FTP、HTTP、HTTPS、DNS等需要网络通过的协议,初始状态“协议”列表框中是空的。
④协议选择完毕后单击“下一步”按钮,打开“访问规则源”对话框。
⑤单击“添加”按钮,打开“添加网络实体”对话框。选择“内部”,单击“添加”按钮,确定网络规则源为网络内部。
⑥ 单击“下一步”按钮,打开“访问规则目标”对话框。单击“添加”按钮,打开“添加网络实体”对话框,选择“外部”,单击“添加”按钮,确定网络规则目标为网络外部。
⑦ 单击“下一步”按钮,打开“ 用户集”对话框。默认情况适用于“ 所有用户”,符合项目要求,不必变动。“用户集”可以根据需要添加或删除。
⑧ 单击“下一步”按钮,打开“正在完成新建 访问规则 向导”对话框,显示访问规则摘要。最后单击“完成”按钮并且单击“应用”按钮,完成内网用户访问外网的许可设置。这时计算机在“所选的协议”范围内就可以访问Internet了。
⑨ 增加协议、添加访问限制条件。如果需要,可以增加协议。右键选择刚创建的访问规则,在弹出的快捷菜单上选择“属性”,打开“允许内部对外的访问规则属性”对话框。选择“协议”选项卡,添加允许通过的协议。如果不想对内网访问外网做任何的限制,可以选择“所有出站通信”,这样内网的计算机就可以无限制地访问Inter-net。如果想对时间做限制,可以在“计划”选项卡中对内部客户端计算机访问Internet的时间进行控制。该防火墙访问策略完成之后,就能实现在指定时间内访问Internet的目的。
2.限制终端计算机对Internet的访问
(1)应用描述
由于工作和安全的需要,对于某些用户的计算机,需要其只能访问与工作相关的指定网站,但是打开访问外部网络权限后,用户就会访问与工作无关的其他网站,甚至网络游戏,无法控制。鉴此,利用ISA SerVer阻止这些计算机访问Internet上不必要的网站。
(2)实现方法
通过“防火墙策略”创建一个“有限制的对外访问规则”。
(3)具体步骤
①在ISA SerVer管理平台中,选中“防火墙策略”,选择下拉菜单“操作”→“新建”→“访问规则”→“创建新的访问规则”菜单项,打开“新建访问规则向导”对话框。
②为访问规则设定一个名称为“被限制的对外访问规则”。单击“下一步”按钮,打开“规则设置”对话框。
③在“符合规则条件时要执行的操作”中选择“拒绝”,在“此规则应用到”中选择“所有出站通信”。单击“下一步”按钮,打开“访问规则源”对话框。
④在“访问规则源”对话框中,选择添加“地址范围”,把终端计算机的IP地址范围填在上面:192.168.0.101~192.168.0.250,要求在局域网内限定 IP地址,将其添加进“访问规则源”中。
⑤单击“确定”按钮,返回到访问规则源窗口。单击“下一步”按钮,打开“访问规则目标”对话框。
⑥ 在“访问规则目标”对话框中,选择添加“外部”。在“用户集”中添加“所有用户”,单击“完成”按钮。完成该访问控制的设置。这时终端计算机就不能访问Internet了。
⑦ 右键单击刚创建的规则,选择“属性”菜单项,打开“有限制的访问外网的规则属性”对话框,选择“到”选项卡,在“例外”中选择“系统策略允许的站点”,创建允许用户访问网站的域名地址集,然后把新建的“URL 集”添加到“例外”中。在“操作”选项卡中,可以在“将HTTP请求重定向到此Web页”选项中输入自己单位网站的域名。这样,终端计算机在打开IE时,只要选择不在“例外”中添加的网站,就会定向到指定的网站上来。
3.限制内部计算机的QQ聊天和联众游戏
(1)应用描述
某单位计算机连通互联网后,员工在上班时间用QQ聊天、玩联众游戏等问题一直困扰着单位管理者,为此人力资源部负责人曾想过许多办法,都未能杜绝此种情况,现在利用ISA可以很好地解决这个问题。
(2)实现方法
通过“防火墙策略”创建一个拒绝QQ访问的规则。
(3)具体步骤
①分析:QQ使用UDP8000-8001端口、UDP4000-4001端口、TCP433等端口。通过“防火墙策略→工具箱”,新建三个“QQ协议”,分别是:
协议“UDP”、方向“发送接收”、端口“8000-8001”;
协议“UDP”、方向“发送接收”、端口“4000-4001”;
协议“TCP”、方向“出站”、端口“433”。
②在ISA SerVer管理平台中,选中“防火墙策略”,选择下拉菜单“操作”→“新建”→“访问规则”→“创建新的访问规则”菜单项,打开“新建访问规则向导”对话框。
③为访问规则设定一个名称为“拒绝QQ访问的规则”。单击“下一步”按钮,打开“规则设置”对话框。
④在“符合规则条件时要执行的操作”中选择“拒绝”。在“此规则应用到”中选择“所选的协议”,然后为其添加“用户定义的几个QQ协议”。
⑤在“访问规则源”对话框中,单击“添加”按钮,打开“添加网络实体”对话框,选择“内部”,单击“添加”按钮,确定网络规则源为网络内部。在“访问规则目标”对话框,单击“添加”按钮,再次打开“添加网络实体”对话框,选择“外部”,单击“添加”按钮,确定网络规则目标为网络外部。在“用户集”中添加“所有用户”,单击“应用”按钮保存配置,单击“完成”按钮完成该访问控制的设置并使之生效。
⑥对联众游戏的限制:方法与限制QQ聊天相同,创建一个拒绝联众协议访问的规则。
联众使用的是TCP1080端口,只要创建一个“联众协议”,协议“TCP”、方向“出站”、端口“1080”,然后把该协议添加到“禁用的项目规则”中即可。
16.5实训总结
通过本实训,主要学习ISA SerVer的规划部署与软件安装,掌握其丰富的协议控制功能和配置管理方法。创建访问规则并且利用访问规则管理企业内部网络用户和计算机对互联网资源的合理访问是本实训的重点和难点之一。充分发挥ISA SerVer防火墙的功能,使其既起到保护内网资源的作用,又能控制内网用户对互联网的一些非法访问。ISA SerVer功能非常强大,实训中仅涉及到其中部分功能,其他更多内容,请读者自己学习探索。
