有關(guān)isa如何限速
很多單位在使用ISA2006時,都希望用ISA對員工上網(wǎng)進行約束,今天我們就為大家介紹一些限制用戶上網(wǎng)的技巧。由于在域和工作組環(huán)境下使用的方法有所不同,因此我們將內(nèi)容分為兩部分,一部分介紹在工作組環(huán)境下如何操作,另一部分則針對域環(huán)境。
我們從工作組開始介紹,在工作組環(huán)境下,控制用戶上網(wǎng)大多采用兩種手段,IP地址或用戶身份驗證,多數(shù)管理員會傾向于利用IP控制。
一 利用IP+Arp靜態(tài)綁定
工作組環(huán)境下進行身份驗證并不方便,因此管理員一般會采用IP地址進行訪問控制。根據(jù)源IP限制訪問者是包過濾防火墻的基本功能,從技術(shù)上看實現(xiàn)起來很簡單。如果我們希望只有Perth能上網(wǎng),那我們就可以創(chuàng)建一個允許上網(wǎng)的計算機集合,然后將Perth加入此集合即可。
在ISA服務(wù)器上打開ISA服務(wù)器管理,在防火墻策略工具箱中選擇新建“計算機集”,如下圖所示。
為計算機集取名為“允許上網(wǎng)的計算機”,點擊添加計算機,準備把Perth加進來。
輸入Perth的名稱和IP地址,點擊“確定“,這樣我們就創(chuàng)建了一個計算機集合,集合內(nèi)包括Perth。
創(chuàng)建了計算機集合后,我們來修改一下訪問規(guī)則,現(xiàn)有的訪問規(guī)則是允許內(nèi)網(wǎng)和本地主機可任意訪問。在訪問規(guī)則屬性中切換到“從”標簽,如下圖所示,選擇“內(nèi)部”,點擊“刪除”,然后把剛創(chuàng)建的計算機集合添加進來。
修改后的規(guī)則如下圖所示。
在Perth上訪問百度,一切正常,如下圖所示。
換到Istanbul上訪問,如下圖所示,Istanbul無法訪問Internet。
看起來我們達到了用IP控制用戶上網(wǎng)的目的,問題已經(jīng)解決,其實不然。由于目前ISA只是依靠IP地址進行訪問控制,過不了多久,ISA管理員就會發(fā)現(xiàn)有“聰明”人開始盜用IP,冒充合法用戶-。為了應(yīng)對這種情況,我們可以考慮使用ARP靜態(tài)綁定來解決這個問題,即在ISA服務(wù)器上記錄合法客戶機的MAC地址。在本例中,我們讓ISA記錄Perth的MAC地址。如下圖所示,ISA先ping Perth,然后用Arp –a查出Perth的MAC地址,最后用Arp –s進行靜態(tài)綁定,這樣就不用擔(dān)心用戶盜用IP了。
二 用戶身份驗證
工作組環(huán)境下進行用戶身份驗證并不方便,但不等于無法進行用戶身份驗證,在工作組中進行身份驗證可以使用鏡像賬號的方式,即在ISA服務(wù)器和客戶機上創(chuàng)建用戶名和口令都完全一致的用戶賬號。例如我們允許員工張強-,張強使用的計算機是Istanbul,那我們可以進行如下操作。
A 在ISA服務(wù)器上為張強創(chuàng)建用戶賬號
在ISA的計算機管理中,定位本地用戶和組,如下圖所示,選擇創(chuàng)建新用戶。
用戶名為zhangqiang,口令為Itet2008。
B 在ISA服務(wù)器上創(chuàng)建允許上網(wǎng)的用戶集
在防火墻策略工具箱中,展開用戶,如下圖所示,點擊新建。
為新建用戶集取名為“允許上網(wǎng)用戶”。
在新創(chuàng)建的用戶集中添加“Windows用戶和組”,如下圖所示。
在用戶集中添加beijing\zhangqiang,如下圖所示。
創(chuàng)建完用戶集,點擊完成。
接下來我們要修改訪問規(guī)則,只允許指定用戶集-。還是對那條允許內(nèi)網(wǎng)用戶任意訪問的訪問規(guī)則進行修改,這次不修改訪問的源網(wǎng)絡(luò)了,如下圖所示,我們對源網(wǎng)絡(luò)不進行任何限制。
這次限制的重點放在了用戶上,在規(guī)則屬性中切換到用戶標簽,將“所有用戶”刪除。
將“允許上網(wǎng)用戶”添加進來,如下圖所示。
D 在Istanbul上創(chuàng)建張強的鏡像賬號
現(xiàn)在內(nèi)網(wǎng)的訪問用戶必須向ISA證明自己是ISA服務(wù)器上的用戶張強才能被允許-,那怎么才能證明呢?其實很簡單,只要客戶機上的某個用戶賬號,其用戶名和口令和ISA服務(wù)器上張強的用戶名和口令完全一致,ISA就會認為這兩個賬號是同一用戶。這里面涉及到集成驗證中的NTLM原理,以后我會寫篇博文發(fā)出來,現(xiàn)在大家只要知道如何操作就可以了。
在Istanbul上創(chuàng)建用戶賬號張強,如下圖所示,用戶名為zhangqiang,口令為Itet2008。
做完上述工作后,我們就可以在Istanbul來試驗一下了。首先,我們需要以張強的身份登錄,其次,由于SNAT不支持用戶驗證,因此我們測試時需使用Web代理或防火墻客戶端。如下圖所示,我們在客戶機上使用Web代理。
在Istanbul上訪問百度,如下圖所示,訪問成功!
在ISA上打開實時日志,如下圖所示,ISA認為是本機的張強用戶在訪問,鏡像賬號起作用了!
三 Web代理與基本身份驗證
在上面的鏡像賬號例子中,訪問者利用了集成驗證證明了自己的身份,其實ISA也支持基本身份驗證。曾經(jīng)有朋友問過這個問題,ISA能否在用戶使用瀏覽器上網(wǎng)時彈出一個窗口,訪問者必須答對用戶名和口令才可以上網(wǎng)?這個需求是可以滿足的,只要訪問者使用Web代理以及我們將Web代理的身份驗證方法改為基本身份驗證即可。
在ISA服務(wù)器中查看內(nèi)部網(wǎng)絡(luò)屬性,如下圖所示,切換到Web代理標簽,點擊“身份驗證”。
將Web代理使用的身份驗證方式從“集成”改為“基本”,如下圖所示。
防火墻策略生效后,在客戶機上測試一下,如下圖所示,客戶機訪問互聯(lián)網(wǎng)時,ISA彈出對話框要求輸入用戶名和口令進行身份驗證,我們輸入了張強的用戶名和口令。
身份驗證通過,用戶可以訪問互聯(lián)網(wǎng)了!
以上我們簡單介紹了如何在工作組環(huán)境下控制用戶上網(wǎng),接下來我們要考慮在域環(huán)境下如何操作。相比較工作組而言,域環(huán)境下控制用戶上網(wǎng)是很容易做到的,既然有域控制器負責(zé)集中的用戶身份驗證,既方便又安全,如果不加以利用豈不太過可惜。在域環(huán)境下控制用戶上網(wǎng)基本都是依靠用戶身份驗證,除了有極個別的SNAT用戶我們需要用IP控制。具體的處理思路也很簡單,在域中創(chuàng)建一個全局組,例如取名為Internet Access。然后將允許上網(wǎng)的域用戶加入此全局組,最后在ISA中創(chuàng)建一個允許訪問互聯(lián)網(wǎng)的用戶集,把全局組Internet Access加入允許訪問互聯(lián)網(wǎng)的用戶集即可。
域環(huán)境拓撲如下圖所示,Denver是域控制器和DNS服務(wù)器,Perth是域內(nèi)工作站,Beijing是加入域的ISA2006服務(wù)器。
一 DNS設(shè)置問題
ISA有兩塊網(wǎng)卡,兩塊網(wǎng)卡上究竟應(yīng)該怎么設(shè)置TCP/IP參數(shù),尤其是DNS應(yīng)該怎么設(shè)置?這是個容易被忽略但又很重要的問題,因為DNS既負責(zé)定位內(nèi)網(wǎng)的域控制器,也要負責(zé)解析互聯(lián)網(wǎng)上的域名,設(shè)置不好輕則影響內(nèi)網(wǎng)登錄,重則嚴重影響大家上網(wǎng)的速度。我們推薦的設(shè)置方式是只在內(nèi)網(wǎng)網(wǎng)卡設(shè)置DNS,外網(wǎng)網(wǎng)卡不設(shè)置DNS服務(wù)器。
在本例中,ISA服務(wù)器的內(nèi)網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是 IP為10.1.1.254 ,子網(wǎng)掩碼為255.255.255.0,DNS為10.1.1.5;外網(wǎng)網(wǎng)卡的TCP/IP參數(shù)是IP為192.168.1.254,子網(wǎng)掩碼為255.255.255.0,網(wǎng)關(guān)為192.168.1.1。這樣一來,內(nèi)網(wǎng)的DNS既負責(zé)為AD提供SRV記錄,也負責(zé)解析互聯(lián)網(wǎng)上的域名,結(jié)構(gòu)簡單,易于糾錯。
有朋友認為只有電信提供的DNS服務(wù)器才能解析互聯(lián)網(wǎng)上的域名,這種看法是不對的。我們在內(nèi)網(wǎng)中搭建的DNS服務(wù)器只要能訪問互聯(lián)網(wǎng),它就可以解析互聯(lián)網(wǎng)上的所有域名。根據(jù)DNS原理分析,如果DNS服務(wù)器遇到一個域名自己無法解析,它就會把這個解析請求送到根服務(wù)器,根服務(wù)器采用迭代方式指導(dǎo)DNS服務(wù)器解析出目標域名。因此,想要內(nèi)網(wǎng)的DNS服務(wù)器能解析出互聯(lián)網(wǎng)上的域名,只要允許內(nèi)網(wǎng)DNS服務(wù)器能訪問互聯(lián)網(wǎng)即可。
A 我們應(yīng)該在ISA上創(chuàng)建一條訪問規(guī)則,允許DNS服務(wù)器任意訪問,并且將這條規(guī)則放到第一位,如下圖所示。
B 為了提高DNS的解析速度,可以考慮在DNS服務(wù)器上設(shè)置轉(zhuǎn)發(fā)器,將用戶發(fā)來的DNS解析請求轉(zhuǎn)發(fā)到電信的DNS服務(wù)器上。
轉(zhuǎn)發(fā)器的設(shè)置如下,在Denver上打開DNS管理器,右鍵點擊服務(wù)器,選擇“屬性”,如下圖所示。
在屬性中切換到“轉(zhuǎn)發(fā)器”,在轉(zhuǎn)發(fā)器IP地址處填寫電信DNS服務(wù)器的IP,填寫完畢后點擊添加,如下圖所示。這樣我們就設(shè)置好了轉(zhuǎn)發(fā)器,以后Denver解析不了的域名將轉(zhuǎn)發(fā)給202.106.46.151,利用電信DNS的緩存來加快解析速度。
二 依靠身份驗證限制用戶
解決了DNS的問題后,我們就可以利用身份驗證來限制用戶訪問了。
A 創(chuàng)建允許訪問互聯(lián)網(wǎng)的全局組
在域控制器上打開“Active Directory用戶和計算機”,如下圖所示,在Users容器中選擇新建組。
組的名稱為Internet Access,組的類型為全局組。
如下圖所示,點擊完成結(jié)束組的創(chuàng)建。
我們只需將允許訪問互聯(lián)網(wǎng)的用戶加入Internet Access即可,如下圖所示。
B 創(chuàng)建允許訪問互聯(lián)網(wǎng)的用戶集
在ISA服務(wù)器防火墻策略的工具箱中展開用戶,如下圖所示,選擇“新建”。
啟動用戶集創(chuàng)建向?qū)?,為用戶集取個名字。
在用戶集中選擇添加“Windows用戶和組”,如下圖所示。
我們將查找位置設(shè)為“整個目錄”,對象名稱輸入“Internet Access”,如下圖所示。
確定將Contoso.com域中的Internet Access組加入新創(chuàng)建的用戶集。
完成用戶集的創(chuàng)建。
C 修改訪問規(guī)則
創(chuàng)建完用戶集后,我們修改訪問規(guī)則,ISA原先有一條訪問規(guī)則允許內(nèi)網(wǎng)用戶任意訪問,我們對規(guī)則進行修改,限制只有特定用戶集的成員才可以
-在訪問規(guī)則屬性中切換到“用戶”標簽,如下圖所示,刪除“所有用戶”集合。
點擊添加,將“允許訪問互聯(lián)網(wǎng)的用戶”加進來,如下圖所示。
這樣就相當(dāng)于ISA服務(wù)器將訪問互聯(lián)網(wǎng)的權(quán)限賦予了Internet Access組,凡是加入組的用戶都將繼承到這個權(quán)限,他們通過ISA訪問互聯(lián)網(wǎng)時將不會遇到任何障礙,也不會被提示輸入口令進行身份驗證,您看,在域環(huán)境下用戶的透明驗證是不是真的很方便呢?
總結(jié):限制用戶-是ISA管理員經(jīng)常遇到的管理需求,一般情況下不是用IP就是靠身份驗證,身份驗證在域中實現(xiàn)易如反掌,在工作組中實現(xiàn)就要靠鏡像賬號了。