很多單位在使用ISA2006時，都希望用ISA對員工上網進行約束，今天我們就為大家介紹一些限制用戶上網的技巧。由于在域和工作組環(huán)境下使用的方法有所不同，因此我們將內容分為兩部分，一部分介紹在工作組環(huán)境下如何操作，另一部分則針對域環(huán)境。

　　我們從工作組開始介紹，在工作組環(huán)境下，控制用戶上網大多采用兩種手段，IP地址或用戶身份驗證，多數管理員會傾向于利用IP控制。

　　一 利用IP+Arp靜態(tài)綁定

　　工作組環(huán)境下進行身份驗證并不方便，因此管理員一般會采用IP地址進行訪問控制。根據源IP限制訪問者是包過濾防火墻的基本功能，從技術上看實現(xiàn)起來很簡單。如果我們希望只有Perth能上網，那我們就可以創(chuàng)建一個允許上網的計算機集合，然后將Perth加入此集合即可。

　　在ISA服務器上打開ISA服務器管理，在防火墻策略工具箱中選擇新建“計算機集”，如下圖所示。

　　為計算機集取名為“允許上網的計算機”，點擊添加計算機，準備把Perth加進來。

　　輸入Perth的名稱和IP地址，點擊“確定“，這樣我們就創(chuàng)建了一個計算機集合，集合內包括Perth。

　　創(chuàng)建了計算機集合后，我們來修改一下訪問規(guī)則，現(xiàn)有的訪問規(guī)則是允許內網和本地主機可任意訪問。在訪問規(guī)則屬性中切換到“從”標簽，如下圖所示，選擇“內部”，點擊“刪除”，然后把剛創(chuàng)建的計算機集合添加進來。

　　修改后的規(guī)則如下圖所示。

　　在Perth上訪問百度，一切正常，如下圖所示。

　　換到Istanbul上訪問，如下圖所示，Istanbul無法訪問Internet。

　　看起來我們達到了用IP控制用戶上網的目的，問題已經解決，其實不然。由于目前ISA只是依靠IP地址進行訪問控制，過不了多久，ISA管理員就會發(fā)現(xiàn)有“聰明”人開始盜用IP，冒充合法用戶-。為了應對這種情況，我們可以考慮使用ARP靜態(tài)綁定來解決這個問題，即在ISA服務器上記錄合法客戶機的MAC地址。在本例中，我們讓ISA記錄Perth的MAC地址。如下圖所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s進行靜態(tài)綁定，這樣就不用擔心用戶盜用IP了。

　　二 用戶身份驗證

　　工作組環(huán)境下進行用戶身份驗證并不方便，但不等于無法進行用戶身份驗證，在工作組中進行身份驗證可以使用鏡像賬號的方式，即在ISA服務器和客戶機上創(chuàng)建用戶名和口令都完全一致的用戶賬號。例如我們允許員工張強-，張強使用的計算機是Istanbul，那我們可以進行如下操作。

　　A 在ISA服務器上為張強創(chuàng)建用戶賬號

　　在ISA的計算機管理中，定位本地用戶和組，如下圖所示，選擇創(chuàng)建新用戶。

　　用戶名為zhangqiang，口令為Itet2008。

　　B 在ISA服務器上創(chuàng)建允許上網的用戶集

　　在防火墻策略工具箱中，展開用戶，如下圖所示，點擊新建。

　　為新建用戶集取名為“允許上網用戶”。

　　在新創(chuàng)建的用戶集中添加“Windows用戶和組”，如下圖所示。

　　在用戶集中添加beijing\zhangqiang，如下圖所示。

　　創(chuàng)建完用戶集，點擊完成。

　　接下來我們要修改訪問規(guī)則，只允許指定用戶集-。還是對那條允許內網用戶任意訪問的訪問規(guī)則進行修改，這次不修改訪問的源網絡了，如下圖所示，我們對源網絡不進行任何限制。

　　這次限制的重點放在了用戶上，在規(guī)則屬性中切換到用戶標簽，將“所有用戶”刪除。

　　將“允許上網用戶”添加進來，如下圖所示。

　　D 在Istanbul上創(chuàng)建張強的鏡像賬號

　　現(xiàn)在內網的訪問用戶必須向ISA證明自己是ISA服務器上的用戶張強才能被允許-，那怎么才能證明呢?其實很簡單，只要客戶機上的某個用戶賬號，其用戶名和口令和ISA服務器上張強的用戶名和口令完全一致，ISA就會認為這兩個賬號是同一用戶。這里面涉及到集成驗證中的NTLM原理，以后我會寫篇博文發(fā)出來，現(xiàn)在大家只要知道如何操作就可以了。

　　在Istanbul上創(chuàng)建用戶賬號張強，如下圖所示，用戶名為zhangqiang，口令為Itet2008。

　　做完上述工作后，我們就可以在Istanbul來試驗一下了。首先，我們需要以張強的身份登錄，其次，由于SNAT不支持用戶驗證，因此我們測試時需使用Web代理或防火墻客戶端。如下圖所示，我們在客戶機上使用Web代理。

　　在Istanbul上訪問百度，如下圖所示，訪問成功!

　　在ISA上打開實時日志，如下圖所示，ISA認為是本機的張強用戶在訪問，鏡像賬號起作用了!

　　三 Web代理與基本身份驗證

　　在上面的鏡像賬號例子中，訪問者利用了集成驗證證明了自己的身份，其實ISA也支持基本身份驗證。曾經有朋友問過這個問題，ISA能否在用戶使用瀏覽器上網時彈出一個窗口，訪問者必須答對用戶名和口令才可以上網?這個需求是可以滿足的，只要訪問者使用Web代理以及我們將Web代理的身份驗證方法改為基本身份驗證即可。

　　在ISA服務器中查看內部網絡屬性，如下圖所示，切換到Web代理標簽，點擊“身份驗證”。

　　將Web代理使用的身份驗證方式從“集成”改為“基本”，如下圖所示。

　　防火墻策略生效后，在客戶機上測試一下，如下圖所示，客戶機訪問互聯(lián)網時，ISA彈出對話框要求輸入用戶名和口令進行身份驗證，我們輸入了張強的用戶名和口令。

　　身份驗證通過，用戶可以訪問互聯(lián)網了!

　　以上我們簡單介紹了如何在工作組環(huán)境下控制用戶上網，接下來我們要考慮在域環(huán)境下如何操作。相比較工作組而言，域環(huán)境下控制用戶上網是很容易做到的，既然有域控制器負責集中的用戶身份驗證，既方便又安全，如果不加以利用豈不太過可惜。在域環(huán)境下控制用戶上網基本都是依靠用戶身份驗證，除了有極個別的SNAT用戶我們需要用IP控制。具體的處理思路也很簡單，在域中創(chuàng)建一個全局組，例如取名為Internet Access。然后將允許上網的域用戶加入此全局組，最后在ISA中創(chuàng)建一個允許訪問互聯(lián)網的用戶集，把全局組Internet Access加入允許訪問互聯(lián)網的用戶集即可。

　　域環(huán)境拓撲如下圖所示，Denver是域控制器和DNS服務器，Perth是域內工作站，Beijing是加入域的ISA2006服務器。

　　一 DNS設置問題

　　ISA有兩塊網卡，兩塊網卡上究竟應該怎么設置TCP/IP參數，尤其是DNS應該怎么設置?這是個容易被忽略但又很重要的問題，因為DNS既負責定位內網的域控制器，也要負責解析互聯(lián)網上的域名，設置不好輕則影響內網登錄，重則嚴重影響大家上網的速度。我們推薦的設置方式是只在內網網卡設置DNS，外網網卡不設置DNS服務器。

　　在本例中，ISA服務器的內網網卡的TCP/IP參數是 IP為10.1.1.254 ，子網掩碼為255.255.255.0，DNS為10.1.1.5;外網網卡的TCP/IP參數是IP為192.168.1.254，子網掩碼為255.255.255.0，網關為192.168.1.1。這樣一來，內網的DNS既負責為AD提供SRV記錄，也負責解析互聯(lián)網上的域名，結構簡單，易于糾錯。

　　有朋友認為只有電信提供的DNS服務器才能解析互聯(lián)網上的域名，這種看法是不對的。我們在內網中搭建的DNS服務器只要能訪問互聯(lián)網，它就可以解析互聯(lián)網上的所有域名。根據DNS原理分析，如果DNS服務器遇到一個域名自己無法解析，它就會把這個解析請求送到根服務器，根服務器采用迭代方式指導DNS服務器解析出目標域名。因此，想要內網的DNS服務器能解析出互聯(lián)網上的域名，只要允許內網DNS服務器能訪問互聯(lián)網即可。

　　A 我們應該在ISA上創(chuàng)建一條訪問規(guī)則，允許DNS服務器任意訪問，并且將這條規(guī)則放到第一位，如下圖所示。

　　B 為了提高DNS的解析速度，可以考慮在DNS服務器上設置轉發(fā)器，將用戶發(fā)來的DNS解析請求轉發(fā)到電信的DNS服務器上。

　　轉發(fā)器的設置如下，在Denver上打開DNS管理器，右鍵點擊服務器，選擇“屬性”，如下圖所示。

　　在屬性中切換到“轉發(fā)器”，在轉發(fā)器IP地址處填寫電信DNS服務器的IP，填寫完畢后點擊添加，如下圖所示。這樣我們就設置好了轉發(fā)器，以后Denver解析不了的域名將轉發(fā)給202.106.46.151，利用電信DNS的緩存來加快解析速度。

　　二 依靠身份驗證限制用戶

　　解決了DNS的問題后，我們就可以利用身份驗證來限制用戶訪問了。

　　A 創(chuàng)建允許訪問互聯(lián)網的全局組

　　在域控制器上打開“Active Directory用戶和計算機”，如下圖所示，在Users容器中選擇新建組。

　　組的名稱為Internet Access，組的類型為全局組。

　　如下圖所示，點擊完成結束組的創(chuàng)建。

　　我們只需將允許訪問互聯(lián)網的用戶加入Internet Access即可，如下圖所示。

　　B 創(chuàng)建允許訪問互聯(lián)網的用戶集

　　在ISA服務器防火墻策略的工具箱中展開用戶，如下圖所示，選擇“新建”。

　　啟動用戶集創(chuàng)建向導，為用戶集取個名字。

　　在用戶集中選擇添加“Windows用戶和組”，如下圖所示。

　　我們將查找位置設為“整個目錄”，對象名稱輸入“Internet Access”，如下圖所示。

　　確定將Contoso.com域中的Internet Access組加入新創(chuàng)建的用戶集。

　　完成用戶集的創(chuàng)建。

　　C 修改訪問規(guī)則

　　創(chuàng)建完用戶集后，我們修改訪問規(guī)則，ISA原先有一條訪問規(guī)則允許內網用戶任意訪問，我們對規(guī)則進行修改，限制只有特定用戶集的成員才可以

　　在訪問規(guī)則屬性中切換到“用戶”標簽，如下圖所示，刪除“所有用戶”集合。

　　點擊添加，將“允許訪問互聯(lián)網的用戶”加進來，如下圖所示。

　　這樣就相當于ISA服務器將訪問互聯(lián)網的權限賦予了Internet Access組，凡是加入組的用戶都將繼承到這個權限，他們通過ISA訪問互聯(lián)網時將不會遇到任何障礙，也不會被提示輸入口令進行身份驗證，您看，在域環(huán)境下用戶的透明驗證是不是真的很方便呢?

　　總結：限制用戶-是ISA管理員經常遇到的管理需求，一般情況下不是用IP就是靠身份驗證，身份驗證在域中實現(xiàn)易如反掌，在工作組中實現(xiàn)就要靠鏡像賬號了。