windows权限之ISA限制用户上网的技巧

ISA访问控制技巧

 

不少单位在使用ISA2006时，都但愿用ISA对员工上网进行约束，今天咱们就为你们介绍一些限制用户上网的技巧。因为在域和工做组环境下使用的方法有所不一样，所以咱们将内容分为两部分，一部分介绍在工做组环境下如何操做，另外一部分则针对域环境。

咱们从工做组开始介绍，在工做组环境下，控制用户上网大多采用两种手段，IP地址或用户身份验证，多数管理员会倾向于利用IP控制。

工做组环境的实验拓扑以下图所示，Beijing是ISA2006服务器，Perth和Istanbul是工做组内的两台计算机。

 

一  利用IP+Arp静态绑定

工做组环境下进行身份验证并不方便，所以管理员通常会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能，从技术上看实现起来很简单。若是咱们但愿只有Perth能上网，那咱们就能够建立一个容许上网的计算机集合，而后将Perth加入此集合便可。

在ISA服务器上打开ISA服务器管理，在防火墙策略工具箱中选择新建“计算机集”，以下图所示。

 

 

为计算机集取名为“容许上网的计算机”，点击添加计算机，准备把Perth加进来。

 

 

输入Perth的名称和IP地址，点击“肯定“，这样咱们就建立了一个计算机集合，集合内包括Perth。

 

 

建立了计算机集合后，咱们来修改一下访问规则，现有的访问规则是容许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签，以下图所示，选择“内部”，点击“删除”，而后把刚建立的计算机集合添加进来。

 

 

修改后的规则以下图所示。

 

 

在Perth上访问百度，一切正常，以下图所示。

 

 

换到Istanbul上访问，以下图所示，Istanbul没法访问Internet。

 

 

看起来咱们达到了用IP控制用户上网的目的，问题已经解决，其实否则。因为目前ISA只是依靠IP地址进行访问控制，过不了多久，ISA管理员就会发现有“聪明”人开始盗用IP，冒充合法用户访问外网。为了应对这种状况，咱们能够考虑使用ARP静态绑定来解决这个问题，即在ISA服务器上记录合法客户机的MAC地址。在本例中，咱们让ISA记录Perth的MAC地址。以下图所示，ISA先ping Perth，而后用Arp –a查出Perth的MAC地址，最后用Arp –s进行静态绑定，这样就不用担忧用户盗用IP了。

 

 

二 用户身份验证

工做组环境下进行用户身份验证并不方便，但不等于没法进行用户身份验证，在工做组中进行身份验证可使用镜像帐号的方式，即在ISA服务器和客户机上建立用户名和口令都彻底一致的用户帐号。例如咱们容许员工张强访问外网，张强使用的计算机是Istanbul，那咱们能够进行以下操做。

A 在ISA服务器上为张强建立用户帐号

在ISA的计算机管理中，定位本地用户和组，以下图所示，选择建立新用户。

 

 

用户名为zhangqiang，口令为Itet2008。

 

 

B 在ISA服务器上建立容许上网的用户集

在防火墙策略工具箱中，展开用户，以下图所示，点击新建。

 

 

为新建用户集取名为“容许上网用户”。

 

 

在新建立的用户集中添加“Windows用户和组”，以下图所示。

 

 

在用户集中添加beijing\zhangqiang，以下图所示。

 

 

建立完用户集，点击完成。

 

 

 

接下来咱们要修改访问规则，只容许指定用户集访问外网。仍是对那条容许内网用户任意访问的访问规则进行修改，此次不修改访问的源网络了，以下图所示，咱们对源网络不进行任何限制。

 

 

此次限制的重点放在了用户上，在规则属性中切换到用户标签，将“全部用户”删除。

 

 

将“容许上网用户”添加进来，以下图所示。

 

 

D 在Istanbul上建立张强的镜像帐号

如今内网的访问用户必须向ISA证实本身是ISA服务器上的用户张强才能被容许访问外网，那怎么才能证实呢？其实很简单，只要客户机上的某个用户帐号，其用户名和口令和ISA服务器上张强的用户名和口令彻底一致，ISA就会认为这两个帐号是同一用户。这里面涉及到集成验证中的NTLM原理，之后我会写篇博文发出来，如今你们只要知道如何操做就能够了。

在Istanbul上建立用户帐号张强，以下图所示，用户名为zhangqiang，口令为Itet2008。

 

 

作完上述工做后，咱们就能够在Istanbul来试验一下了。首先，咱们须要以张强的身份登陆，其次，因为SNAT不支持用户验证，所以咱们测试时需使用Web代理或防火墙客户端。以下图所示，咱们在客户机上使用Web代理。

 

 

在Istanbul上访问百度，以下图所示，访问成功！

 

 

在ISA上打开实时日志，以下图所示，ISA认为是本机的张强用户在访问，镜像帐号起做用了！

 

 

三 Web代理与基自己份验证

在上面的镜像帐号例子中，访问者利用了集成验证证实了本身的身份，其实ISA也支持基自己份验证。曾经有朋友问过这个问题，ISA可否在用户使用浏览器上网时弹出一个窗口，访问者必须答对用户名和口令才能够上网？这个需求是能够知足的，只要访问者使用Web代理以及咱们将Web代理的身份验证方法改成基自己份验证便可。

在ISA服务器中查看内部网络属性，以下图所示，切换到Web代理标签，点击“身份验证”。

 

 

将Web代理使用的身份验证方式从“集成”改成“基本”，以下图所示。

 

 

防火墙策略生效后，在客户机上测试一下，以下图所示，客户机访问互联网时，ISA弹出对话框要求输入用户名和口令进行身份验证，咱们输入了张强的用户名和口令。

 

 

身份验证经过，用户能够访问互联网了！

 

 

以上咱们简单介绍了如何在工做组环境下控制用户上网，接下来咱们要考虑在域环境下如何操做。相比较工做组而言，域环境下控制用户上网是很容易作到的，既然有域控制器负责集中的用户身份验证，既方便又安全，若是不加以利用岂不太过惋惜。在域环境下控制用户上网基本都是依靠用户身份验证，除了有极个别的SNAT用户咱们须要用IP控制。具体的处理思路也很简单，在域中建立一个全局组，例如取名为Internet Access。而后将容许上网的域用户加入此全局组，最后在ISA中建立一个容许访问互联网的用户集，把全局组Internet Access加入容许访问互联网的用户集便可。

域环境拓扑以下图所示，Denver是域控制器和DNS服务器，Perth是域内工做站，Beijing是加入域的ISA2006服务器。

 

 

一 DNS设置问题

ISA有两块网卡，两块网卡上究竟应该怎么设置TCP/IP参数，尤为是DNS应该怎么设置？这是个容易被忽略但又很重要的问题，由于DNS既负责定位内网的域控制器，也要负责解析互联网上的域名，设置很差轻则影响内网登陆，重则严重影响你们上网的速度。咱们推荐的设置方式是只在内网网卡设置DNS，外网网卡不设置DNS服务器。

在本例中，ISA服务器的内网网卡的TCP/IP参数是 IP为 10.1.1 .254 ，子网掩码为255.255.255.0，DNS为10.1.1.5；外网网卡的TCP/IP参数是IP为192.168.1.254，子网掩码为255.255.255.0，网关为192.168.1.1。这样一来，内网的DNS既负责为AD提供SRV记录，也负责解析互联网上的域名，结构简单，易于纠错。

有朋友认为只有电信提供的DNS服务器才能解析互联网上的域名，这种见解是不对的。咱们在内网中搭建的DNS服务器只要能访问互联网，它就能够解析互联网上的全部域名。根据DNS原理分析，若是DNS服务器遇到一个域名本身没法解析，它就会把这个解析请求送到根服务器，根服务器采用迭代方式指导DNS服务器解析出目标域名。所以，想要内网的DNS服务器能解析出互联网上的域名，只要容许内网DNS服务器能访问互联网便可。

A 咱们应该在ISA上建立一条访问规则，容许DNS服务器任意访问，而且将这条规则放到第一位，以下图所示。

 

B 为了提升DNS的解析速度，能够考虑在DNS服务器上设置转发器，将用户发来的DNS解析请求转发到电信的DNS服务器上。

转发器的设置以下，在Denver上打开DNS管理器，右键点击服务器，选择“属性”，如下图所示。

 

在属性中切换到“转发器”，在转发器IP地址处填写电信DNS服务器的IP，填写完毕后点击添加，以下图所示。这样咱们就设置好了转发器，之后Denver解析不了的域名将转发给202.106.46.151，利用电信DNS的缓存来加快解析速度。

 

 

二 依靠身份验证限制用户

解决了DNS的问题后，咱们就能够利用身份验证来限制用户访问了。

A 建立容许访问互联网的全局组

在域控制器上打开“Active Directory用户和计算机”，以下图所示，在Users容器中选择新建组。

 

组的名称为Internet Access，组的类型为全局组。

 

 

以下图所示，点击完成结束组的建立。

 

 

咱们只需将容许访问互联网的用户加入Internet Access便可，以下图所示。

 

 

 

B 建立容许访问互联网的用户集

在ISA服务器防火墙策略的工具箱中展开用户，以下图所示，选择“新建”。

 

 

启动用户集建立向导，为用户集取个名字。

 

 

在用户集中选择添加“Windows用户和组”，以下图所示。

 

 

咱们将查找位置设为“整个目录”，对象名称输入“Internet Access”，以下图所示。

 

 

肯定将Contoso.com域中的Internet Access组加入新建立的用户集。

 

 

完成用户集的建立。

 

 

C 修改访问规则

建立完用户集后，咱们修改访问规则，ISA原先有一条访问规则容许内网用户任意访问，咱们对规则进行修改，限制只有特定用户集的成员才能够访问外网。

在访问规则属性中切换到“用户”标签，以下图所示，删除“全部用户”集合。

 

 

点击添加，将“容许访问互联网的用户”加进来，以下图所示。

 

 

这样就至关于ISA服务器将访问互联网的权限赋予了Internet Access组，凡是加入组的用户都将继承到这个权限，他们经过ISA访问互联网时将不会遇到任何障碍，也不会被提示输入口令进行身份验证，您看，在域环境下用户的透明验证是否是真的很方便呢？

 

总结：限制用户访问外网是ISA管理员常常遇到的管理需求，通常状况下不是用IP就是靠身份验证，身份验证在域中实现易如反掌，在工做组中实现就要靠镜像帐号了。