专题 - 在线实验 - 工具软件 - 网络管理 - 资讯动态 -综合布线 - 解决方案 - 配置大全 - 问题解答 - 网络协议 - 文档下载 - 当前有 工程师在线 邀您加入
Cisco及华为网络技术论坛

网管实战:为网络系统构建ISA防火墙


来源: 作者: 出处:Vlan9.com 2007-10-04 进入论坛

  作为网管员,保护计算机的安全,让局域网内的计算机在规定权限内安全访问Internet,是我们的重要职责。经笔者实践,ISA Server 2004就是一个能帮我们顺利完成这一任务的软件工具。
Microsoft Internet Security Acceleration(ISA)是一个基于Windows网络的,将计算机连接到Internet的有效防火墙安全服务工具。使用ISA Server 2004来管理局域网有很多方便之处,特别是对网内计算机访问Internet的权限做一些特定的限制,及Internet对网内计算机的攻击防护都有很好的控制作用。下面笔者就谈一下安装ISA Server 2004以后,是如何根据局域网内情况进行配置的。
  
  一、创建一个内部对Internet访问的规则
  
  当我们安装好ISA 2004后,默认的配置是禁止所有的协议通过ISA Server ,也就是局域网内的所有机器都不能通过ISA Server上网,要让局域网内的计算机访问Internet,必须配置一个能允许内网计算机通过的访问规则,也就是让内部客户端计算机在允许的协议内访问Internet。方法是通过“防火墙策略”中的“任务”,创建一个新的访问规则。当选择“创建新的访问规则”时(图1),打开了“新建访问规则向导”,为访问规则起一个容易识别的名称,如“允许内网对外的访问规则”。选择[下一步],在“符合规则条件时要执行的操作”中选择“允许”。在“此规则应用到”中,选择“所选的协议”,然后为其添加FTP、HTTP、HTTPS、DNS等我们需要网络通过的协议(图2)。选择[下一步],在“访问规则源”中,添加“网络→内部”。在“访问规则目标”中,选择添加“网络→外部”。在“用户集”中添加“所有用户”,选择“完成→应用”。这时我们的计算机在“所选的协议”范围内就可以访问Internet了。当然,如果需要,我们可以增加协议。右键选择刚创建的规则,选择“属性”,打开“允许内网对外的访问规则”属性对话框,选择协议选项卡,添加允许通过的协议。如果不想对内网访问外网做任何的限制,可以选择“所有出站通讯”,这样校内的计算机就可以无限制地访问Internet。如果想对时间做限制,可以在“计划”选项卡中对内部客户端计算机访问Internet的时间进行控制(图3)。
  
 网管实战:为网络系统构建ISA防火墙(图一)

  
图1

  
 网管实战:为网络系统构建ISA防火墙(图二)

  
图2

  
 网管实战:为网络系统构建ISA防火墙(图三)

  
图3

  
  二、限制终端计算机对Internet的访问
  
  对于有些计算机,由于应用的需要我们可能需要其访问个别网站,但打开网络后,使用者就会无节制地上网,无法控制。这时可以利用ISA Server 2004阻止这些计算机访问Internet,让这些计算机只能打开我们允许访问的网站。方法是创建一个“被限制的对外访问规则”。选择“创建新的访问规则”,打开“新建访问规则向导”,为访问规则起一个名称,如“被限制的对外访问规则”。选择[下一步],在“符合规则条件时要执行的操作”中选择“拒绝”,在“此规则应用到”中选择“所有出站通讯”。选择[下一步],在“访问规则源”中,选择添加“新建→地址范围”,把终端计算机的IP地址范围填在上面,例如:192.168.0.101~192.168.0.250(这要求在局域网内固定IP地址)(图 4),并命名为“用户计算机”,把其添加进“访问规则源”中。在“访问规则目标”,选择添加“网络→外部”。在“用户集”中添加“所有用户”,选择“完成→应用”。这时终端计算机就不能访问Internet了。右键选择刚创建的规则,选择属性,打开“有限制的访问外网的规则”属性对话框,选择“到”选项卡,在“例外”中“添加→新建→URL集”,创建允许学生计算机访问网站的域名地址集,然后把新建的“URL集”添加到“例外”中(图5)。在“操作选项卡”,可以在“将HTTP请求重定向到此Web页”选项中,填上自己单位网站的域名。这样,终端计算机在打开IE时,只要选择我们非在“例外”中添加的网站,就会定向到我们指定的网站上来(图6)。
  
 网管实战:为网络系统构建ISA防火墙(图四)

  
图4

  
 网管实战:为网络系统构建ISA防火墙(图五)

  
图5

  
 网管实战:为网络系统构建ISA防火墙(图六)

  
图6

  
  三、限制内部计算机的QQ聊天和联众游戏
  
  单位的计算机上网后,QQ聊天、联众游戏一直影响着正常的工作。利用ISA可以很好地对其进行控制。
  
  对QQ聊天的限制:我们可以创建一个拒绝QQ访问的规则。QQ使用UDP8000-8001端口、UDP4000-4001端口、TCP433等端口。通过“防火墙策略→工具箱”,新建三个“QQ协议”,分别是:
  
  1. 协议“UDP”、方向“发送接收”、端口“8000—8001”。
  
  2. 协议“UDP”、方向“发送接收”、端口“4000—4001” 。
  
  3. 协议“TCP”、方向“出站”、端口“433”。
  
  然后创建一个新的访问规则,起名为“禁用项目的规则” ,在“符合规则条件时要执行的操作”中选择“拒绝”。在“此规则应用到”,选择“所选的协议”,然后为其添加“用户定义的几个QQ协议”(图7)。选择[下一步],在“访问规则源”中,选择添加“网络→内部”。在“访问规则目标”,选择添加“网络→外部”。在“用户集”中添加“所有用户”,选择“完成→应用”。
  
网管实战:为网络系统构建ISA防火墙(图七)

  
图7

  
  对联众的限制:方法与限制QQ聊天相同,创建一个拒绝联众协议访问的规则。联众使用的是1080端口,我们只要创建一个“联众协议”,协议“TCP”、方向“出站”、端口“1080”,然后把该协议添加到“禁用的项目规则”中即可。 更多请看Cisco与华为技术网(Vlan9.com)网络管理实用手册网络故障手册Cisco防火墙专题专题,或进入论坛讨论。

更多专题 【相 关 文 章】

  • 防火墙的设置方案
  • 天融信防火墙地址转换配置步骤
  • 防火墙原理入门(3)
  • 防火墙NAT原理及分类
    • vlan9_logo
    相关专题

    论坛精华
    阅读排行榜
    更多排行>>
    最新技术文档
    热门关键字导读