使用IP地址来禁止内部用户上网

在ISA Server 2004中，禁止客户上网是很简单的事情，你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网，适合于IP地址固定的环境。 
至于如何使用身份验证来禁止用户上网，会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。 

在访问规则的设置上，又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络，适合于严格定义策略的环境，如在策略中只允许某些客户上网，那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络，适合于在宽松定义策略的环境中禁止某些客户不能上网。 
如果使用IP地址来禁止，表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。 

就策略的选用上来说，我个人倾向于后面的那种，可能是因为我比较懒的原因：）。不过相信在大多数网络环境中都是采用的宽松定义的策略，我下面就以明确禁止客户上网来给大家讲讲如何进行设置。 
一、通过IP来禁止 
首先谈禁止IP的部分，这个适合于固定IP配置的用户。 
操作步骤如下： 
1、对需要禁止上网的客户新建一个地址集或者计算机集； 

2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集；当然对于完全禁止这个客户上网，那么这一步可以省略，使用ISA自带的外部网络就可以了。 
3、在防火墙策略中新建一个访问规则； 

在这篇文章中，我们以客户机IP为192.168.0.41为例，先设置策略禁止它访问外部网络，然后设置策略禁止它访问YAHOO网站，不过可以访问其他网站。 
首先在防火墙策略右边的工具箱里面点开“网络对象”，然后右击“计算机集”，然后选择“新建计算机集”； 

 
然后在“新建计算机集”对话框上点击“添加”，然后选择“计算机”； 

 
在“添加计算机”对话框，输入该计算机名字和IP地址，点击“OK”； 

 
建好的计算机集如下图所示，点击“OK”； 

 
然后右键点击防火墙策略，选择新建“访问规则”，在新建访问规则向导页输入规则的名字； 

 
规则动作为阻止，然后在源网络中选择刚才建立的Denyed Clients。 

 
目的网络选择外部； 

 
按照提示进行，最后建立好的防火墙策略应该如下图所示，点击“应用”保存修改和更新防火墙设置； 

注意看，第2条策略就是“无限制的Internet访问”，这条策略允许所有的内部客户访问外部网络； 
　 

 
然后，在这个客户上进行测试，如下图，这个客户已经不能访问网络了。 

 

现在我们试试只是让这个客户不能访问YAHOO的网站，而能够访问其他网站。 

首先，得为禁止这个客户访问的目的地址建立一个集，我这儿图省事，使用的是域名集，如果使用其他的，还需要找IP地址。同样在“网络对象”中，右击“域名集”，选择“新建域名集”； 

 
在域名集中我添加了YAHOO的网站； 

 
然后在刚才建好的Denyed 
Clients这条策略上双击，修改它的目的网络属性，从“外部”改为“*.yahoo.com”； 

 
修改后的策略如下图所示，点击“应用”； 

 
现在再到客户机上，访问ISA中文站，是可以访问的； 

 
但是yahoo就不能访问了 

 
　 
　 

上一个：使用身份验证来禁止内部用户上网
下一个：如何配置ISA Server 的网络环境