使用IP地址来禁止内部用户上网
在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。
至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。
在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。
如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。
就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。一、通过IP来禁止
首先谈禁止IP的部分,这个适合于固定IP配置的用户。
操作步骤如下:
1、对需要禁止上网的客户新建一个地址集或者计算机集;
2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。3、在防火墙策略中新建一个访问规则;
在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;
然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”;
在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”;
建好的计算机集如下图所示,点击“OK”;
然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字;
规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。
目的网络选择外部;
按照提示进行,最后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置;
注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;
然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。
现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。
首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。同样在“网络对象”中,右击“域名集”,选择“新建域名集”;
在域名集中我添加了YAHOO的网站;
然后在刚才建好的Denyed
Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*.yahoo.com”;
修改后的策略如下图所示,点击“应用”;
现在再到客户机上,访问ISA中文站,是可以访问的;
但是yahoo就不能访问了