ISA限制使用者上網的技巧：ISA2006系列之八

<b>ISA</b><b>通路控制技巧</b>

很多機關在使用ISA2006時，都希望用ISA對員工上網進行限制，今天我們就為大家介紹一些限制使用者上網的技巧。由于在域和工作組環境下使用的方法有所不同，是以我們将内容分為兩部分，一部分介紹在工作組環境下如何操作，另一部分則針對域環境。

我們從工作組開始介紹，在工作組環境下，控制使用者上網大多采用兩種手段，IP位址或使用者身份驗證，多數管理者會傾向于利用IP控制。

工作組環境的實驗拓撲如下圖所示，Beijing是ISA2006伺服器，Perth和Istanbul是工作組内的兩台計算機。

<b>一</b><b>  </b><b>利用</b><b>IP+Arp</b><b>靜态綁定</b>

工作組環境下進行身份驗證并不友善，是以管理者一般會采用IP位址進行通路控制。根據源IP限制通路者是包過濾防火牆的基本功能，從技術上看實作起來很簡單。如果我們希望隻有Perth能上網，那我們就可以建立一個允許上網的計算機集合，然後将Perth加入此集合即可。

在ISA伺服器上打開ISA伺服器管理，在防火牆政策工具箱中選擇建立“計算機集”，如下圖所示。

為計算機集取名為“允許上網的計算機”，點選添加計算機，準備把Perth加進來。

輸入Perth的名稱和IP位址，點選“确定“，這樣我們就建立了一個計算機集合，集合内包括Perth。

建立了計算機集合後，我們來修改一下通路規則，現有的通路規則是允許内網和本地主機可任意通路。在通路規則屬性中切換到“從”标簽，如下圖所示，選擇“内部”，點選“删除”，然後把剛建立的計算機集合添加進來。

修改後的規則如下圖所示。

在Perth上通路百度，一切正常，如下圖所示。

換到Istanbul上通路，如下圖所示，Istanbul無法通路Internet。

看起來我們達到了用IP控制使用者上網的目的，問題已經解決，其實不然。由于目前ISA隻是依靠IP位址進行通路控制，過不了多久，ISA管理者就會發現有“聰明”人開始盜用IP，冒充合法使用者通路外網。為了應對這種情況，我們可以考慮使用ARP靜态綁定來解決這個問題，即在ISA伺服器上記錄合法客戶機的MAC位址。在本例中，我們讓ISA記錄Perth的MAC位址。如下圖所示，ISA先ping Perth，然後用Arp –a查出Perth的MAC位址，最後用Arp –s進行靜态綁定，這樣就不用擔心使用者盜用IP了。

<b>二</b><b> </b><b>使用者身份驗證</b>

工作組環境下進行使用者身份驗證并不友善，但不等于無法進行使用者身份驗證，在工作組中進行身份驗證可以使用鏡像賬号的方式，即在ISA伺服器和客戶機上建立使用者名和密碼都完全一緻的使用者賬号。例如我們允許員工張強通路外網，張強使用的計算機是Istanbul，那我們可以進行如下操作。

<b>A </b><b>在</b><b>ISA</b><b>伺服器上為張強建立使用者賬号</b>

在ISA的計算機管理中，定位本地使用者群組，如下圖所示，選擇建立新使用者。

使用者名為zhangqiang，密碼為Itet2008。

<b>B </b><b>在</b><b>ISA</b><b>伺服器上建立允許上網的使用者集</b>

在防火牆政策工具箱中，展開使用者，如下圖所示，點選建立。

為建立使用者集取名為“允許上網使用者”。

在新建立的使用者集中添加“Windows使用者群組”，如下圖所示。

在使用者集中添加beijing\zhangqiang，如下圖所示。

建立完使用者集，點選完成。

接下來我們要修改通路規則，隻允許指定使用者集通路外網。還是對那條允許内網使用者任意通路的通路規則進行修改，這次不修改通路的源網絡了，如下圖所示，我們對源網絡不進行任何限制。

這次限制的重點放在了使用者上，在規則屬性中切換到使用者标簽，将“所有使用者”删除。

将“允許上網使用者”添加進來，如下圖所示。

<b>D </b><b>在</b><b>Istanbul</b><b>上建立張強的鏡像賬号</b>

現在内網的通路使用者必須向ISA證明自己是ISA伺服器上的使用者張強才能被允許通路外網，那怎麼才能證明呢？其實很簡單，隻要客戶機上的某個使用者賬号，其使用者名和密碼和ISA伺服器上張強的使用者名和密碼完全一緻，ISA就會認為這兩個賬号是同一使用者。這裡面涉及到內建驗證中的NTLM原理，以後我會寫篇博文發出來，現在大家隻要知道如何操作就可以了。

在Istanbul上建立使用者賬号張強，如下圖所示，使用者名為zhangqiang，密碼為Itet2008。

做完上述工作後，我們就可以在Istanbul來試驗一下了。首先，我們需要以張強的身份登入，其次，由于SNAT不支援使用者驗證，是以我們測試時需使用Web代理或防火牆用戶端。如下圖所示，我們在客戶機上使用Web代理。

在Istanbul上通路百度，如下圖所示，通路成功！

<b>在ISA</b><b>上打開實時日志，如下圖所示，ISA</b><b>認為是本機的張強使用者在通路，鏡像賬号起作用了！</b>

<b>三</b><b> Web</b><b>代理與基本身份驗證</b>

在上面的鏡像賬号例子中，通路者利用了內建驗證證明了自己的身份，其實ISA也支援基本身份驗證。曾經有朋友問過這個問題，ISA能否在使用者使用浏覽器上網時彈出一個視窗，通路者必須答對使用者名和密碼才可以上網？這個需求是可以滿足的，隻要通路者使用Web代理以及我們将Web代理的身份驗證方法改為基本身份驗證即可。

在ISA伺服器中檢視内部網絡屬性，如下圖所示，切換到Web代理标簽，點選“身份驗證”。

将Web代理使用的身份驗證方式從“內建”改為“基本”，如下圖所示。

防火牆政策生效後，在客戶機上測試一下，如下圖所示，客戶機通路網際網路時，ISA彈出對話框要求輸入使用者名和密碼進行身份驗證，我們輸入了張強的使用者名和密碼。

身份驗證通過，使用者可以通路網際網路了！

以上我們簡單介紹了如何在工作組環境下控制使用者上網，接下來我們要考慮在域環境下如何操作。相比較工作組而言，域環境下控制使用者上網是很容易做到的，既然有域控制器負責集中的使用者身份驗證，既友善又安全，如果不加以利用豈不太過可惜。在域環境下控制使用者上網基本都是依靠使用者身份驗證，除了有極個别的SNAT使用者我們需要用IP控制。具體的處理思路也很簡單，在域中建立一個全局組，例如取名為Internet Access。然後将允許上網的域使用者加入此全局組，最後在ISA中建立一個允許通路網際網路的使用者集，把全局組Internet Access加入允許通路網際網路的使用者集即可。

域環境拓撲如下圖所示，Denver是域控制器和DNS伺服器，Perth是域内工作站，Beijing是加入域的ISA2006伺服器。

<b>一</b><b> DNS</b><b>設定問題</b>

ISA有兩塊網卡，兩塊網卡上究竟應該怎麼設定TCP/IP參數，尤其是DNS應該怎麼設定？這是個容易被忽略但又很重要的問題，因為DNS既負責定位内網的域控制器，也要負責解析網際網路上的域名，設定不好輕則影響内網登入，重則嚴重影響大家上網的速度。我們推薦的設定方式是隻在内網網卡設定DNS，外網網卡不設定DNS伺服器。

在本例中，ISA伺服器的内網網卡的TCP/IP參數是 IP為10.1.1.254 ，子網路遮罩為255.255.255.0，DNS為10.1.1.5；外網網卡的TCP/IP參數是IP為192.168.1.254，子網路遮罩為255.255.255.0，網關為192.168.1.1。這樣一來，内網的DNS既負責為AD提供SRV記錄，也負責解析網際網路上的域名，結構簡單，易于糾錯。

有朋友認為隻有電信提供的DNS伺服器才能解析網際網路上的域名，這種看法是不對的。我們在内網中搭建的DNS伺服器隻要能通路網際網路，它就可以解析網際網路上的所有域名。根據DNS原理分析，如果DNS伺服器遇到一個域名自己無法解析，它就會把這個解析請求送到根伺服器，根伺服器采用疊代方式指導DNS伺服器解析出目标域名。是以，想要内網的DNS伺服器能解析出網際網路上的域名，隻要允許内網DNS伺服器能通路網際網路即可。

<b>A </b><b>我們應該在</b><b>ISA</b><b>上建立一條通路規則，允許</b><b>DNS</b><b>伺服器任意通路，并且将這條規則放到第一位，如下圖所示。</b>

<b>B </b><b>為了提高</b><b>DNS</b><b>的解析速度，可以考慮在</b><b>DNS</b><b>伺服器上設定轉發器，将使用者發來的</b><b>DNS</b><b>解析請求轉發到電信的</b><b>DNS</b><b>伺服器上。</b>

轉發器的設定如下，在Denver上打開DNS管理器，右鍵點選伺服器，選擇“屬性”，如下圖所示。

在屬性中切換到“轉發器”，在轉發器IP位址處填寫電信DNS伺服器的IP，填寫完畢後點選添加，如下圖所示。這樣我們就設定好了轉發器，以後Denver解析不了的域名将轉發給202.106.46.151，利用電信DNS的緩存來加快解析速度。

<b>二</b><b> </b><b>依靠身份驗證限制使用者</b>

解決了DNS的問題後，我們就可以利用身份驗證來限制使用者通路了。

<b>A </b><b>建立允許通路網際網路的全局組</b>

在域控制器上打開“Active Directory使用者和計算機”，如下圖所示，在Users容器中選擇建立組。

組的名稱為Internet Access，組的類型為全局組。

如下圖所示，點選完成結束組的建立。

我們隻需将允許通路網際網路的使用者加入Internet Access即可，如下圖所示。

<b>B </b><b>建立允許通路網際網路的使用者集</b>

在ISA伺服器防火牆政策的工具箱中展開使用者，如下圖所示，選擇“建立”。

啟動使用者集建立向導，為使用者集取個名字。

在使用者集中選擇添加“Windows使用者群組”，如下圖所示。

我們将查找位置設為“整個目錄”，對象名稱輸入“Internet Access”，如下圖所示。

确定将Contoso.com域中的Internet Access組加入新建立的使用者集。

完成使用者集的建立。

<b>C </b><b>修改通路規則</b>

建立完使用者集後，我們修改通路規則，ISA原先有一條通路規則允許内網使用者任意通路，我們對規則進行修改，限制隻有特定使用者集的成員才可以通路外網。

在通路規則屬性中切換到“使用者”标簽，如下圖所示，删除“所有使用者”集合。

點選添加，将“允許通路網際網路的使用者”加進來，如下圖所示。

這樣就相當于ISA伺服器将通路網際網路的權限賦予了Internet Access組，凡是加入組的使用者都将繼承到這個權限，他們通過ISA通路網際網路時将不會遇到任何障礙，也不會被提示輸入密碼進行身份驗證，您看，在域環境下使用者的透明驗證是不是真的很友善呢？

<b>總結：限制使用者通路外網是</b><b>ISA</b><b>管理者經常遇到的管理需求，一般情況下不是用</b><b>IP</b><b>就是靠身份驗證，身份驗證在域中實作易如反掌，在工作組中實作就要靠鏡像賬号了。</b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b></b>

<b>本文轉自yuelei51CTO部落格，原文連結：http://blog.51cto.com/yuelei/86120 ，如需轉載請自行聯系原作者</b>

<b></b>

<b></b>