返回
isa用防火墙客户端限制上网技巧

isa用防火墙客户端限制上网技巧

ID:6632736

大小:1.01 MB

页数:22页

时间:2018-01-20

isa用防火墙客户端限制上网技巧_第1页
isa用防火墙客户端限制上网技巧_第2页
isa用防火墙客户端限制上网技巧_第3页
isa用防火墙客户端限制上网技巧_第4页
isa用防火墙客户端限制上网技巧_第5页
资源描述:

《isa用防火墙客户端限制上网技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、isa用防火墙客户端限制上网技巧很多单位在使用ISA2006时,都希望用ISA对员工上网进行约束,今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同,因此我们将内容分为两部分,一部分介绍在工作组环境下如何操作,另一部分则针对域环境。我们从工作组开始介绍,在工作组环境下,控制用户上网大多采用两种手段,IP地址或用户身份验证,多数管理员会倾向于利用IP控制。工作组环境的实验拓扑如下图所示,Beijing是ISA2006服务器,Perth和Istanbul是工作组内的两台计算机。一利用IP+Ar

2、p静态绑定工作组环境下进行身份验证并不方便,因此管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。如果我们希望只有Perth能上网,那我们就可以创建一个允许上网的计算机集合,然后将Perth加入此集合即可。在ISA服务器上打开ISA服务器管理,在防火墙策略工具箱中选择新建“计算机集”,如下图所示。22为计算机集取名为“允许上网的计算机”,点击添加计算机,准备把Perth加进来。输入Perth的名称和IP地址,点击“确定“,这样我们就创建了一个计算机集合,集合内包括

3、Perth。22创建了计算机集合后,我们来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选择“内部”,点击“删除”,然后把刚创建的计算机集合添加进来。修改后的规则如下图所示。22在Perth上访问百度,一切正常,如下图所示。22换到Istanbul上访问,如下图所示,Istanbul无法访问Internet。看起来我们达到了用IP控制用户上网的目的,问题已经解决,其实不然。由于目前ISA只是依靠IP地址进行访问控制,过不了多久,ISA管理员就会发现有“聪明”人

4、开始盗用IP,冒充合法用户访问外网。为了应对这种情况,我们可以考虑使用ARP静态绑定来解决这个问题,即在ISA服务器上记录合法客户机的MAC地址。在本例中,我们让ISA记录Perth的MAC地址。如下图所示,ISA先pingPerth,然后用Arp–a查出Perth的MAC地址,最后用Arp–s进行静态绑定,这样就不用担心用户盗用IP了。22二用户身份验证工作组环境下进行用户身份验证并不方便,但不等于无法进行用户身份验证,在工作组中进行身份验证可以使用镜像账号的方式,即在ISA服务器和客户机上创建用户名和口令都完全一致的用

5、户账号。例如我们允许员工张强访问外网,张强使用的计算机是Istanbul,那我们可以进行如下操作。A在ISA服务器上为张强创建用户账号在ISA的计算机管理中,定位本地用户和组,如下图所示,选择创建新用户。22用户名为zhangqiang,口令为Itet2008。B在ISA服务器上创建允许上网的用户集在防火墙策略工具箱中,展开用户,如下图所示,点击新建。22为新建用户集取名为“允许上网用户”。在新创建的用户集中添加“Windows用户和组”,如下图所示。22在用户集中添加beijingzhangqiang,如下图所示。创建

6、完用户集,点击完成。22接下来我们要修改访问规则,只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改,这次不修改访问的源网络了,如下图所示,我们对源网络不进行任何限制。22这次限制的重点放在了用户上,在规则属性中切换到用户标签,将“所有用户”删除。22将“允许上网用户”添加进来,如下图所示。22D在Istanbul上创建张强的镜像账号现在内网的访问用户必须向ISA证明自己是ISA服务器上的用户张强才能被允许访问外网,那怎么才能证明呢?其实很简单,只要客户机上的某个用户账号,其用户名和口令和ISA服务

7、器上张强的用户名和口令完全一致,ISA就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM原理,以后我会写篇博文发出来,现在大家只要知道如何操作就可以了。在Istanbul上创建用户账号张强,如下图所示,用户名为zhangqiang,口令为Itet2008。22做完上述工作后,我们就可以在Istanbul来试验一下了。首先,我们需要以张强的身份登录,其次,由于SNAT不支持用户验证,因此我们测试时需使用Web代理或防火墙客户端。如下图所示,我们在客户机上使用Web代理。在Istanbul上访问百度,如下图所示,访

8、问成功!22在ISA上打开实时日志,如下图所示,ISA认为是本机的张强用户在访问,镜像账号起作用了!三Web代理与基本身份验证在上面的镜像账号例子中,访问者利用了集成验证证明了自己的身份,其实ISA也支持基本身份验证。曾经有朋友问过这个问题,ISA能否在用户使用浏览器上网时弹出一个窗口,访问者必须答对用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。