51CTO下载ISA+规则详解Word格式.docx
《51CTO下载ISA+规则详解Word格式.docx》由会员分享,可在线阅读,更多相关《51CTO下载ISA+规则详解Word格式.docx(24页珍藏版)》请在冰点文库上搜索。
以上是规则的协议元素
以上是访问源,我是设定允许所有内部网用户
以上是服务器地址
以上是访问的内容类型。
规则二:
特殊用户在特殊时间访问外网:
公司的一个领导特殊时间要访问外网,这是为他建的规则,以上的允许的协议
以上是访问源,我新建的计算机,然后输入他的IP地址。
因为讨厌3721,所以把它封了,这个领导访问外部网的时候,有一个叫3721的URL集例外,也可以把不允许访问的地址放在里面
规则三:
制定特殊的用户下载压缩文件:
因为在HTTP过虑里面禁止了下载,我专门为有下载需要的用户建了一个下载规则,你可能有疑问,为什么不在另外的规则里面允许下载,因为有的人下载可能是临时的,只要加入这个规则就可以了。
只允许特定的计算机用HTTP访问外网,还限定了特定的时间。
如果允许下载的计算机不只是一个,可以建一个计算机集。
我只允许了下载.rar和.ZIP文件,这些都禁止了。
可能你会问到封QQ的问题,因为QQ使用的是443端口和UDP协议的端口,我只允许了HTTP访问,不会登录QQ的;
还有BT的问题,我还没有给公司的局域网封BT,过两天再说吧,封BT我认为只要禁止下载BT的种子就行了,扩展名是.torrent,禁止下载这个文件就基本封掉BT了,但可能别人利用QQ等、下载压缩的种子文件也能使用BT;
还有一种办法,就是封掉BT的请求URL:
http:
//*.*.*/announce,我发现相当大一部份的BT客户端在下载文件的过程中都要请求这个地址,不知道封这个地址有没有效,有兴趣的朋友可以试试。
除了封BT服务器以外,我也没有什么好的办法了,请有较好办法的朋友共享你的办法。
这里好像扯远了一些,我们言归正转:
规则四:
内网计算机软件在线更新:
如上图只用到HTTP协议。
PS:
我喜欢把DNS协议带上。
如上图,我只允许updataclient这个计算机集的用户升级。
以上是允许升级时连接的站点,
如上图,然后我限制了升级的时间。
如上图,为了防止他们到升级站点上面乱下载东西,我把扩展名也限制了。
规则五:
因为公司的人说晚上太无聊了,那就给他们晚上开通一段时间上网吧,不过也限制了。
如上图,我也限制了使用协议,在HTTP筛选里面也配置了访问的扩展名,哦,忘记了说一下进入HTTP筛选的方法,点下载的那个筛选,然后点配置HTTP就行了。
如上图,允许所有内部用户到外部吧,但不能上QQ哦,其实这里把QQIP和QQURL两个东西拿掉也不能上QQ的,可能还有可能利用HTTP代理上网,我就在HTTP筛选里面按Gurry写的文章使用签名封锁QQ出现的新问题及对策做了点手脚:
上面的connect要用大写的。
如上图,还是不允许他们下载文件
如上图,这个也是抄的Gurry的办法。
哪上图,只允许两个小时,够了吧?
规则六:
好朋友允许上QQ吧?
这个规则是允许上QQ的,
如上图,现在的QQ大部分是用443端口吧?
如上图,建一个计算机集,里面包含好友的IP地址就行了。
HTTPS协议是不可能作HTTP筛选的。
如上图,允许他们访问QQ服务器。
限时就不说了,内容类型就不用限定了。
规则七:
有用户说晚上要上网,原因是收发邮件,那就让他们收发邮件吧:
如上图,以上是允许的协议
如上图,新建一个计算机集,包含他(她)们就行了。
如上图,到外部网站,但不能访问QQ服务器,这里可以不用加QQIP这个计算机集,不允许下载3721插件。
如上图,晚上还要上网,那就让你上吧,反正你也不能浏览网站。
规则八:
公司领导上网,这里就不放图片了,因为这个规则很简单,只需要建一个公司领导的IP集,把公司领导的计算机IP地址放进去,不限访问协议和访问内容就可以了。
不要用HTTP筛选。
规则九:
公司一般用户访问外网,此规则受限的地方较多:
如上图,只用了这些协议,很多规则我都启用了NETBIOS协议,这个是被防火墙客户端使用的。
如上图,新建一个计算机集,包含受限上网的用户。
如上图,到外部地址,但还是不允许访问QQ服务器的IP地址。
如上图,还是用Gurry的办法加一道保险,封掉QQ。
如上图,HTTP筛选里面还是禁止下载文件。
如上图,还是限制此规则有效的时间。
以上的内部网计算机对外网的访问规则,我还利用ISA2004建了VPN访问服务,下面是设置过程:
新建一个用户,默认user组就可以了,但这里需要把VPN允许访问的用户加入特殊的组并且允许它拨入:
如上图,然后启用客户端访问,客户端数量自己填。
以上是允许VPN访问的用户组,好像只能为两个组,另一个组我忘记了,我是用的这个组,刚才user那人用户属于这个组,所以它可以访问VPN。
如上图,然后启动PPTP协议,IPSEC是站点到站点的连接协议。
这里用不上,反正我试过不能用上。
不需要用用户映射。
另外补充说一下,PPTP协议是使用的1723端口,如果你要把你的VPN服务器发布到外网,那就发布1723端口吧。
上面就是远程访问的配置了,我们公司的VPN客户端都是一些“老大”不要限制他们好了。
上面的就是设置VPN客户端的IP地址了,ISA2004是不允许VPN客户端和内网用户在同一个IP段上面的,点下面的“高级”,为VPN客户端配置DNS服务器。
“身份验证”和“RADIUS”我没有配置。
那么在访问规则里面是怎样配置VPN呢?
下面就是我的配置:
如上图,允许VPN客户端访问
如上图,访问地址是VPN客户端、内部网络和外部网络,因为是老大们才用的,所以除了时间以外的其它地方就不要限制了吧。
在“配置”下面的“插件”里面,我启用了sock4代理,因为局域网内有的人用foxmail,我以前没有试用NAT或firewallclient行不行,反正这种是行的。
以上是sock4代理的设置方法。
其它的地方配置都不怎么重要了,在这里我也就不多说了,花了很多时间才搞出这么一篇文章,只是希望对ISA新手有所帮助,希望你们能从我的文档里面学到一些东西,这样我的心血也没有白费了。
另外,为了ISA服务器的安全,最好设置的目的地不要包含ISA本机。
我语文学得不好,如果我在表达上面有问题,还请谅解,在理解上面如果有什么不清楚的话,可以来信问我,唉,写得头有点痛了。
有兴趣的朋友可以和我交流这方面的知识:
pskill@
升级会员 