ISA策略詳解-規(guī)范企業(yè)員工網(wǎng)絡(luò)行為

1、設(shè)計(jì)isa控制策略 規(guī)范企業(yè)員工網(wǎng)絡(luò)行為在企業(yè)局域網(wǎng)中往往需要對員工使用電腦進(jìn)行嚴(yán)格限制，比如不允許登錄某些網(wǎng)站，不允許 使用qq、msn,限制某些端口不能玩網(wǎng)絡(luò)游戲等等。下面，筆者列舉幾個(gè)比較經(jīng)典的利用 isa進(jìn)行網(wǎng)絡(luò)訪問控制的實(shí)例。一、徹底封閉bt下載bt下載會占川大量的網(wǎng)絡(luò)帶寬，造成局域網(wǎng)的擁塞，因此是企業(yè)網(wǎng)管首先要限制的。 bt般使用tcp的68816889的端口，因此我們就從端口入手在isa建立相應(yīng)的策略 進(jìn)行限制。仁添加協(xié)議集在isa控制臺窗口中，右鍵點(diǎn)擊“防火墻策略”，選擇“新建一訪問規(guī)則”，彈出訪問規(guī)則 向?qū)υ捒?，在“訪問規(guī)則名稱'欄中輸入“禁用bt”，點(diǎn)擊“下一步”

2、按鈕后，選擇“拒絕”選項(xiàng), 接著在“協(xié)議”對話框中選擇“所選的協(xié)議”。點(diǎn)擊“添加”按鈕，在“添加協(xié)議”對話框中點(diǎn)擊噺建-協(xié)議”，彈出協(xié)議定義向?qū)υ捒? 在名稱欄屮輸入“bt”，點(diǎn)擊“下一步”按鈕，進(jìn)入“首要連接信息”對話框。點(diǎn)擊“新建”，彈出“新 建/編輯協(xié)議連接”對話框，在“協(xié)議類型”中選擇“tcp”，選擇方向?yàn)椤叭胝尽?，端口范圍為“? 881到6889”，然后點(diǎn)擊“確定”按鈕，接卜來一路點(diǎn)擊“卜一步”按鈕，即可完成bt協(xié)議的定義。2.添加用戶集接著在添加協(xié)議對話框中展開“所有協(xié)議”，并添加bt協(xié)議，點(diǎn)擊“下一步”按鈕后，指 定訪問規(guī)則源。點(diǎn)擊“添加”按鈕，彈岀“添加網(wǎng)絡(luò)實(shí)體”對話框，展

3、開網(wǎng)絡(luò)目錄，選擇“內(nèi)部”。 點(diǎn)擊“添加”按鈕，接著點(diǎn)擊“下一步”按鈕，設(shè)置訪問規(guī)則目標(biāo)，在網(wǎng)絡(luò)實(shí)體對話框中展開網(wǎng) 絡(luò)目錄,添加“外部”，然后進(jìn)入“用戶集”對話框,選擇“所有用戶”并點(diǎn)擊“完成”按鈕。3.應(yīng)用規(guī)則最后在防火墻策略窗口中選中這一規(guī)則，并點(diǎn)擊上方的“應(yīng)用”按鈕。這樣局域網(wǎng)內(nèi)的用 戶就不能進(jìn)行bt下載了。如果bt軟件使用的不是68816889的端口，該規(guī)則就會失效。 由于bt端口是可改變的，所以一旦bt下載端口發(fā)生改變，你就得立即杳到新的端口，并 將它封掉。二、禁止員工訪問某些網(wǎng)站利用isa 2006禁止用戶是非常簡單的事。首先將要禁止上網(wǎng)的用戶的ip收集起來放 在一起做成計(jì)算機(jī)集，然

4、示將要禁止訪問的站點(diǎn)放在一起做成域名集，最示在防火墻策略電 新建一個(gè)策略來禁止這些用戶訪問這些站點(diǎn)。下面我們一步一步地來設(shè)置。1 建立計(jì)算機(jī)集點(diǎn)擊isa server控制臺界面窗口左邊的“防火墻策略”來到設(shè)置防火墻策略頁面，在右面點(diǎn)擊“工具箱”標(biāo)簽,然后點(diǎn)擊“網(wǎng)絡(luò)對象”就可以看到如圖4所示的界面。在“計(jì)算機(jī)集”上點(diǎn)右鍵，選擇“新建計(jì)算機(jī)集”。點(diǎn)擊“添加”會顯示一個(gè)菜單，在這里可以 選擇“計(jì)算機(jī)”、“地址范圍”、“子網(wǎng)”，可以根據(jù)具體情況選擇。我們這里就選擇“地址范圍”。 然后根據(jù)要求填入名稱“被禁止的計(jì)算機(jī)”，ip地址范圍，點(diǎn)擊“確定”回到上一個(gè)“新建計(jì)算機(jī) 集規(guī)則元素”,填上名稱“被禁止的計(jì)

5、算機(jī)”點(diǎn)擊“確定”,在計(jì)算機(jī)集里就可以看到剛剛添加的 計(jì)算機(jī)集“被禁止的計(jì)算機(jī)”。這樣笫一步就完成了。2健立域名集?12<1在剛才我們用的“計(jì)算機(jī)集”的上血可以看到“域名集”，在上血點(diǎn)右鍵，選擇“新建域名集” 打開“新建域名集策略元素”。在“名稱”里輸入域名集的名稱，我們假設(shè)那個(gè)網(wǎng)站是www.goo ,我們輸入“google”，然后在下面點(diǎn)擊噺建”,再將域名改為t”見圖4, 如果冇多個(gè)域名，可以新建多個(gè)域。我們這里只輸入了一個(gè)。最后點(diǎn)擊“確定”就可以了。我 們在“域名集”里可以看到我們新建的“google”這個(gè)域名集。名稱新建域名集策略元素googlei丿豔疏沒有正確配置，可能不會按預(yù)期

6、應(yīng)用使用域名集的 在此集中包括的域追）:設(shè)置域新建 i 重命名迅）i 刪除）i描述冋選）:確定取消 i圖63.建立訪問規(guī)則點(diǎn)擊isa server控制臺界面窗口左邊的“防火墻策略”，然后在菜單里選擇“新建|訪問規(guī) 則”，在彈出的向?qū)ы撁驽斎朐L問規(guī)則名稱，我們輸入“禁止訪問”。點(diǎn)擊“下-一 步”，在規(guī)則操作中選擇“拒絕”，點(diǎn)擊“下一步”。在“協(xié)議”一頁中選擇“所有出站通訊”，也町以 根據(jù)具體情況選擇“所選的協(xié)議”，然后選擇集體的i辦議，以禁止某些功能，比如ping等等。也可以點(diǎn)擊“端口”，根據(jù)端口設(shè)證。這里非常靈活。我們這里選擇的是所有的通訊，這樣就 不能訪問該網(wǎng)站了。圖7點(diǎn)擊“下一步”，選擇

7、訪問規(guī)則源，也就是我們剛才建的計(jì)算機(jī)集，點(diǎn)擊“添加”，在計(jì)算機(jī) 集屮選擇剛才創(chuàng)建的“被禁止的計(jì)算機(jī)”，然后下一步，添加訪問目標(biāo)，就是我們創(chuàng)建的域名 集，點(diǎn)擊“添加”在域名集屮選擇“google”，卜一步是“川戶集”，默認(rèn)的是“所有用戶”，這里可 以進(jìn)行編輯，如管理員除外等等。我們這里川默認(rèn)的，點(diǎn)擊卜一步就完成了訪問規(guī)則的創(chuàng)建。 點(diǎn)擊“完成”，我們即可在“防火墻策略規(guī)則沖看到我們創(chuàng)建的規(guī)則。在上面點(diǎn)擊右鍵選“屬性” 可以對它的屬性進(jìn)行設(shè)置。比如添加一些被禁止的站點(diǎn)等等，這里還可以設(shè)置成按時(shí)間執(zhí)行 這個(gè)策略，如上班的時(shí)候不能訪問，下了班可以訪問這些站點(diǎn)。在屬性里點(diǎn)擊“計(jì)劃”標(biāo)簽見 圖7,在這里一周

8、七天每天24個(gè)小時(shí)可以隨意編輯。在“計(jì)劃”屮可以選擇“總是”、“工作時(shí) 間”、“周末”。如果感覺默認(rèn)的時(shí)間不合適，可以點(diǎn)擊“新建”建立合適的。設(shè)置完屬性點(diǎn)擊“確定”就可以了。這時(shí)，在上而有一個(gè)黃色的三角圖標(biāo)，里而是感嘆號, 這里可以選擇應(yīng)用或丟棄剛才編輯的策略。點(diǎn)擊“應(yīng)用”，稍等一會，我們編輯的策略就生效 了。三、禁止員工使用qq說到封鎖qq,這的確讓不少網(wǎng)絡(luò)管理員頭疼，因?yàn)閝q hj以使用多種協(xié)議通信，如：udp、tcp、http、https,而月支持使用代理。只要允許http協(xié)議就可以登錄，而 在網(wǎng)絡(luò)中又不能禁用所冇的i辦議，那怎么辦呢？耍禁止qq登錄，我們先看一下qq的登錄過程。在默認(rèn)情

9、況下，qq是使用udp協(xié) 議向服務(wù)器發(fā)送請求的，也可以使用http代理進(jìn)行通信。我們不能禁止http協(xié)議，所以最好的辦法是封鎖服務(wù)器ip,然后利用isa 2006對http檢查機(jī)制來禁止qq使用代理登錄。1 封鎖服務(wù)器ip地址首先要找到qq服務(wù)器的ip地址，qq的服務(wù)器不止一個(gè)，大家町以到網(wǎng)上找一下，這里我暫時(shí)用下面這幾個(gè):45、46, 54、3。至于通過http代理連接的服務(wù)器的url,可以去找一下，也可以自己抓包看一 下。這里我們用這個(gè)地址。和剛才一樣要定義源集、目標(biāo)集、策略。源集和禁 止訪問

10、網(wǎng)絡(luò)的定義一樣，內(nèi)網(wǎng)的全部計(jì)算機(jī)。在定義目標(biāo)集時(shí)也定義成為計(jì)算機(jī)集，然示添 加訪問規(guī)則。2.禁止qq使用http代理登錄這里使用的是isa server的深層過濾機(jī)制，在“防火墻策略規(guī)則沖“無限制的internet 訪問”上而點(diǎn)右鍵，選擇“配置http”，在打開的“為規(guī)則配置http策略”上選擇“簽名”標(biāo)簽。 添加一個(gè)新的簽名。在“簽名沖輸入“”。這樣在使用代理登錄時(shí)請求連接的url中發(fā)現(xiàn)“”就會阻止。圖103.應(yīng)用策略再調(diào)整一下這個(gè)策略的屬性，點(diǎn)擊“應(yīng)用”就成功地禁止了 qq。要注意的一點(diǎn)是上面兩 種策略必須同時(shí)使用才能徹底禁止qq,以后如果發(fā)現(xiàn)新的qq服務(wù)器ip或是代理服務(wù)器 的url,隨

11、時(shí)加入策略中就可以了。四、限制工作站帶寬由于局域網(wǎng)中某些員工進(jìn)行非法下載或者在線視頻占用大量帶寬，界常流量造成造成網(wǎng) 絡(luò)擁堵，影響企業(yè)網(wǎng)絡(luò)的正常應(yīng)用。對此，我們只需依靠第三方軟件bandwidth splitter與 isa server 2006結(jié)合即可完美進(jìn)行流量控制。安裝完bs后，打開isa server 2006,可以看到bs的管理控制臺已經(jīng)集成到isa s erver 2006 中。點(diǎn)擊 bandwidth splitter,它冇 4 個(gè)功能項(xiàng)，分別是：shaping rules、qu ota rules、quota counters和monitoring。下血結(jié)合實(shí)例來講解它們的作

12、用，并配置它們。1.流最及其連接數(shù)限制比如將ip地址為0的計(jì)算機(jī)的流量設(shè)置為50kbits/s,它的連接數(shù)最多為20。首先選擇左側(cè)窗格中的“防火墻策略”，并在右側(cè)窗格中選擇“工具箱”一“新建”一“計(jì)算機(jī)”,在彈出對話框中將名稱設(shè)為lw, ip地址為0,描述為受限用八，然后點(diǎn)擊確定。圖11再用右鍵單擊bandwidth splitter k的shaping rules項(xiàng)，選擇“新建”-“rule”，在彈 出的噺建帶寬控制規(guī)則向?qū)е小碧钊胍?guī)則名稱“l(fā)w小于50k”，在“applies to”項(xiàng)中選擇“ip address sets specified b

13、elow”，點(diǎn)“add”并從歹ij表里找至u剛才建好的名稱為“iw”的計(jì)算 機(jī)。然后點(diǎn)擊下一步,在“destinations”項(xiàng)中從列表里添加“外部”，點(diǎn)下一步，在“schedule” 項(xiàng)中選擇“always”,然后,在“shaping沖選“shape total traffic(incoming+outgoingf, tot al 值設(shè)為“50”，勾選“don't shape cached web contenf。點(diǎn)下一步,在“connection setti ng”項(xiàng)中勾選“l(fā)imit number of concurrent connections”，將“connection l

14、imif值設(shè)為 20; 在“shaping type”項(xiàng)中選擇“assign bandwidth individually to each applicable user/addr ess”。點(diǎn)下一步，在"extra parameters"項(xiàng)屮選擇默認(rèn)，然后點(diǎn)擊下一步。shaping rule ti zard.shapingspeci£y bandwidth limits for this rule.xj&total (kbits/s):f/ porft shape cached web contentj廠 enable http boost上一步

15、9;)下一步qi)| 取消 |幫助|圖12忖 i流量設(shè)置此時(shí)在左側(cè)窗格小就出現(xiàn)了剛才配置的“l(fā)w小于50k”的流量控制策略單擊isa ser ver 2006控制臺工具欄上的綠色按鈕“apply changes",提示應(yīng)用完成z后，這個(gè)流量控制 策略就生效了。打開“monitoring”項(xiàng)，可以看到ip地址為0的計(jì)算機(jī)的實(shí)吋流 量一直被控制在50kbits/s以下，連接數(shù)也在20個(gè)以下。在“monitoring”項(xiàng)上點(diǎn)右鍵，勾選 connections details”我們可以杏看到，每一臺計(jì)算機(jī)當(dāng)前的連接惜況的附加信息，包括協(xié)議、冃標(biāo)主機(jī)ip、端口等詳細(xì)內(nèi)容。圖132.設(shè)定總流最上限例如將ip地址為0的計(jì)算機(jī)每周的流量總額限定為300mbo首先,用右 鍵單擊bandwidth splitter下的quota rules項(xiàng)，選擇“新建"“rule”，操作同前述例了基 本一致，按向?qū)崾疽徊讲教顚懴嚓P(guān)內(nèi)容即可。只是在"traffic quota”選項(xiàng)中有所不同，選 擇“l(fā)imit total traffic(incoming+outgoingf, total 的值設(shè)為 300mb,勾選“don't account c ached web contenf,將“reset pe