网管实战：为网络系统构建ISA防火墙

领测软件测试网

　　 
　　作为网管员，保护计算机的安全，让局域网内的计算机在规定权限内安全访问Internet，是我们的重要职责。经笔者实践，ISA Server 2004就是一个能帮我们顺利完成这一任务的软件工具。

Microsoft Internet Security Acceleration(ISA)是一个基于Windows网络的，将计算机连接到Internet的有效防火墙安全服务工具。使用ISA Server 2004来管理局域网有很多方便之处，特别是对网内计算机访问Internet的权限做一些特定的限制，及Internet对网内计算机的攻击防护都有很好的控制作用。下面笔者就谈一下安装ISA Server 2004以后，是如何根据局域网内情况进行配置的。
　　
　　一、创建一个内部对Internet访问的规则
　　
　　当我们安装好ISA 2004后，默认的配置是禁止所有的协议通过ISA Server ，也就是局域网内的所有机器都不能通过ISA Server上网，要让局域网内的计算机访问Internet，必须配置一个能允许内网计算机通过的访问规则，也就是让内部客户端计算机在允许的协议内访问Internet。方法是通过“防火墙策略”中的“任务”，创建一个新的访问规则。当选择“创建新的访问规则”时(图1)，打开了“新建访问规则向导”，为访问规则起一个容易识别的名称，如“允许内网对外的访问规则”。选择[下一步]，在“符合规则条件时要执行的操作”中选择“允许”。在“此规则应用到”中，选择“所选的协议”，然后为其添加FTP、HTTP、HTTPS、DNS等我们需要网络通过的协议(图2)。选择[下一步]，在“访问规则源”中，添加“网络→内部”。在“访问规则目标”中，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。这时我们的计算机在“所选的协议”范围内就可以访问Internet了。当然，如果需要，我们可以增加协议。右键选择刚创建的规则，选择“属性”，打开“允许内网对外的访问规则”属性对话框，选择协议选项卡，添加允许通过的协议。如果不想对内网访问外网做任何的限制，可以选择“所有出站通讯”，这样校内的计算机就可以无限制地访问Internet。如果想对时间做限制，可以在“计划”选项卡中对内部客户端计算机访问Internet的时间进行控制(图3)。
　　　
　　图1
　　　
　　图2
　　　
　　图3
　　
　　二、限制终端计算机对Internet的访问
　　
　　对于有些计算机，由于应用的需要我们可能需要其访问个别网站，但打开网络后，使用者就会无节制地上网，无法控制。这时可以利用ISA Server 2004阻止这些计算机访问Internet，让这些计算机只能打开我们允许访问的网站。方法是创建一个“被限制的对外访问规则”。选择“创建新的访问规则”，打开“新建访问规则向导”，为访问规则起一个名称，如“被限制的对外访问规则”。选择[下一步]，在“符合规则条件时要执行的操作”中选择“拒绝”，在“此规则应用到”中选择“所有出站通讯”。选择[下一步]，在“访问规则源”中，选择添加“新建→地址范围”，把终端计算机的IP地址范围填在上面，例如:192.168.0.101～192.168.0.250(这要求在局域网内固定IP地址)(图 4)，并命名为“用户计算机”，把其添加进“访问规则源”中。在“访问规则目标”，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。这时终端计算机就不能访问Internet了。右键选择刚创建的规则，选择属性，打开“有限制的访问外网的规则”属性对话框，选择“到”选项卡，在“例外”中“添加→新建→URL集”，创建允许学生计算机访问网站的域名地址集，然后把新建的“URL集”添加到“例外”中(图5)。在“操作选项卡”，可以在“将HTTP请求重定向到此Web页”选项中，填上自己单位网站的域名。这样，终端计算机在打开IE时，只要选择我们非在“例外”中添加的网站，就会定向到我们指定的网站上来(图6)。
　　　
　　图4
　　　
　　图5
　　　
　　图6
　　
　　三、限制内部计算机的QQ聊天和联众游戏
　　
　　单位的计算机上网后，QQ聊天、联众游戏一直影响着正常的工作。利用ISA可以很好地对其进行控制。
　　
　　对QQ聊天的限制:我们可以创建一个拒绝QQ访问的规则。QQ使用UDP8000-8001端口、UDP4000-4001端口、TCP433等端口。通过“防火墙策略→工具箱”，新建三个“QQ协议”，分别是:
　　
　　1. 协议“UDP”、方向“发送接收”、端口“8000—8001”。
　　
　　2. 协议“UDP”、方向“发送接收”、端口“4000—4001” 。
　　
　　3. 协议“TCP”、方向“出站”、端口“433”。
　　
　　然后创建一个新的访问规则，起名为“禁用项目的规则” ，在“符合规则条件时要执行的操作”中选择“拒绝”。在“此规则应用到”，选择“所选的协议”，然后为其添加“用户定义的几个QQ协议”(图7)。选择[下一步]，在“访问规则源”中，选择添加“网络→内部”。在“访问规则目标”，选择添加“网络→外部”。在“用户集”中添加“所有用户”，选择“完成→应用”。
　　
　　图7
　　
　　对联众的限制:方法与限制QQ聊天相同，创建一个拒绝联众协议访问的规则。联众使用的是1080端口，我们只要创建一个“联众协议”，协议“TCP”、方向“出站”、端口“1080”，然后把该协议添加到“禁用的项目规则”中即可。

文章来源于领测软件测试网 https://www.ltesting.net/