作为网管员,保护计算机的安全,让局域网内的计算机在规定权限内安全访问Internet,是我们的重要职责。经笔者实践,ISA Server 2004就是一个能帮我们顺利完成这一任务的软件工具。Microsoft Internet Security Acceleration(ISA)是一个基于Windows网络的,将计算机连接到Internet的有效防火墙安全服务工具。使用ISA Server 2004来管理局域网有很多方便之处,特别是对网内计算机访问Internet的权限做一些特定的限制,及Internet对网内计算机的攻击防护都有很好的控制作用。下面笔者就谈一下安装ISA Server 2004以后,是如何根据局域网内情况进行配置的。
一、创建一个内部对Internet访问的规则
当我们安装好ISA 2004后,默认的配置是禁止所有的协议通过ISA Server ,也就是局域网内的所有机器都不能通过ISA Server上网,要让局域网内的计算机访问Internet,必须配置一个能允许内网计算机通过的访问规则,也就是让内部客户端计算机在允许的协议内访问Internet。方法是通过“防火墙策略”中的“任务”,创建一个新的访问规则。当选择“创建新的访问规则”时(图1),打开了“新建访问规则向导”,为访问规则起一个容易识别的名称,如“允许内网对外的访问规则”。选择[下一步],在“符合规则条件时要执行的操作”中选择“允许”。在“此规则应用到”中,选择“所选的协议”,然后为其添加FTP、HTTP、HTTPS、DNS等我们需要网络通过的协议(图2)。选择[下一步],在“访问规则源”中,添加“网络→内部”。在“访问规则目标”中,选择添加“网络→外部”。在“用户集”中添加“所有用户”,选择“完成→应用”。这时我们的计算机在“所选的协议”范围内就可以访问Internet了。当然,如果需要,我们可以增加协议。右键选择刚创建的规则,选择“属性”,打开“允许内网对外的访问规则”属性对话框,选择协议选项卡,添加允许通过的协议。如果不想对内网访问外网做任何的限制,可以选择“所有出站通讯”,这样校内的计算机就可以无限制地访问Internet。如果想对时间做限制,可以在“计划”选项卡中对内部客户端计算机访问Internet的时间进行控制(图3)。
图1
图2
图3
二、限制终端计算机对Internet的访问
对于有些计算机,由于应用的需要我们可能需要其访问个别网站,但打开网络后,使用者就会无节制地上网,无法控制。这时可以利用ISA Server 2004阻止这些计算机访问Internet,让这些计算机只能打开我们允许访问的网站。方法是创建一个“被限制的对外访问规则”。选择“创建新的访问规则”,打开“新建访问规则向导”,为访问规则起一个名称,如“被限制的对外访问规则”。选择[下一步],在“符合规则条件时要执行的操作”中选择“拒绝”,在“此规则应用到”中选择“所有出站通讯”。选择[下一步],在“访问规则源”中,选择添加“新建→地址范围”,把终端计算机的IP地址范围填在上面,例如:192.168.0.101~192.168.0.250(这要求在局域网内固定IP地址)(图 4),并命名为“用户计算机”,把其添加进“访问规则源”中。在“访问规则目标”,选择添加“网络→外部”。在“用户集”中添加“所有用户”,选择“完成→应用”。这时终端计算机就不能访问Internet了。右键选择刚创建的规则,选择属性,打开“有限制的访问外网的规则”属性对话框,选择“到”选项卡,在“例外”中“添加→新建→URL集”,创建允许学生计算机访问网站的域名地址集,然后把新建的“URL集”添加到“例外”中(图5)。在“操作选项卡”,可以在“将HTTP请求重定向到此Web页”选项中,填上自己单位网站的域名。这样,终端计算机在打开IE时,只要选择我们非在“例外”中添加的网站,就会定向到我们指定的网站上来(图6)。
网站地图
收藏本站
高级搜索
相关文章: