银月城三巨头 好杀吗:ISA限制用户上网的技巧：ISA2006系列之八 - 岳雷的微软网络课堂 - 51CTO技...

ISA访问控制技巧
很多单位在使用ISA2006时，都希望用ISA对员工上网进行约束，今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同，因此我们将内容分为两部分，一部分介绍在工作组环境下如何操作，另一部分则针对域环境。
我们从工作组开始介绍，在工作组环境下，控制用户上网大多采用两种手段，IP地址或用户身份验证，多数管理员会倾向于利用IP控制。
工作组环境的实验拓扑如下图所示，Beijing是ISA2006服务器，Perth和Istanbul是工作组内的两台计算机。

一  利用IP+Arp静态绑定
工作组环境下进行身份验证并不方便，因此管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能，从技术上看实现起来很简单。如果我们希望只有Perth能上网，那我们就可以创建一个允许上网的计算机集合，然后将Perth加入此集合即可。
在ISA服务器上打开ISA服务器管理，在防火墙策略工具箱中选择新建“计算机集”，如下图所示。

为计算机集取名为“允许上网的计算机”，点击添加计算机，准备把Perth加进来。

输入Perth的名称和IP地址，点击“确定“，这样我们就创建了一个计算机集合，集合内包括Perth。

创建了计算机集合后，我们来修改一下访问规则，现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签，如下图所示，选择“内部”，点击“删除”，然后把刚创建的计算机集合添加进来。

修改后的规则如下图所示。

在Perth上访问百度，一切正常，如下图所示。

换到Istanbul上访问，如下图所示，Istanbul无法访问Internet。

看起来我们达到了用IP控制用户上网的目的，问题已经解决，其实不然。由于目前ISA只是依靠IP地址进行访问控制，过不了多久，ISA管理员就会发现有“聪明”人开始盗用IP，冒充合法用户访问外网。为了应对这种情况，我们可以考虑使用ARP静态绑定来解决这个问题，即在ISA服务器上记录合法客户机的MAC地址。在本例中，我们让ISA记录Perth的MAC地址。如下图所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s进行静态绑定，这样就不用担心用户盗用IP了。

二 用户身份验证
工作组环境下进行用户身份验证并不方便，但不等于无法进行用户身份验证，在工作组中进行身份验证可以使用镜像账号的方式，即在ISA服务器和客户机上创建用户名和口令都完全一致的用户账号。例如我们允许员工张强访问外网，张强使用的计算机是Istanbul，那我们可以进行如下操作。
A 在ISA服务器上为张强创建用户账号
在ISA的计算机管理中，定位本地用户和组，如下图所示，选择创建新用户。

用户名为zhangqiang，口令为Itet2008。

B 在ISA服务器上创建允许上网的用户集
在防火墙策略工具箱中，展开用户，如下图所示，点击新建。

为新建用户集取名为“允许上网用户”。

在新创建的用户集中添加“Windows用户和组”，如下图所示。

在用户集中添加beijing\zhangqiang，如下图所示。

创建完用户集，点击完成。


接下来我们要修改访问规则，只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改，这次不修改访问的源网络了，如下图所示，我们对源网络不进行任何限制。

这次限制的重点放在了用户上，在规则属性中切换到用户标签，将“所有用户”删除。

将“允许上网用户”添加进来，如下图所示。

D 在Istanbul上创建张强的镜像账号
现在内网的访问用户必须向ISA证明自己是ISA服务器上的用户张强才能被允许访问外网，那怎么才能证明呢？其实很简单，只要客户机上的某个用户账号，其用户名和口令和ISA服务器上张强的用户名和口令完全一致，ISA就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM原理，以后我会写篇博文发出来，现在大家只要知道如何操作就可以了。
在Istanbul上创建用户账号张强，如下图所示，用户名为zhangqiang，口令为Itet2008。

做完上述工作后，我们就可以在Istanbul来试验一下了。首先，我们需要以张强的身份登录，其次，由于SNAT不支持用户验证，因此我们测试时需使用Web代理或防火墙客户端。如下图所示，我们在客户机上使用Web代理。

在Istanbul上访问百度，如下图所示，访问成功！

在ISA上打开实时日志，如下图所示，ISA认为是本机的张强用户在访问，镜像账号起作用了！

三 Web代理与基本身份验证
在上面的镜像账号例子中，访问者利用了集成验证证明了自己的身份，其实ISA也支持基本身份验证。曾经有朋友问过这个问题，ISA能否在用户使用浏览器上网时弹出一个窗口，访问者必须答对用户名和口令才可以上网？这个需求是可以满足的，只要访问者使用Web代理以及我们将Web代理的身份验证方法改为基本身份验证即可。
在ISA服务器中查看内部网络属性，如下图所示，切换到Web代理标签，点击“身份验证”。

将Web代理使用的身份验证方式从“集成”改为“基本”，如下图所示。

防火墙策略生效后，在客户机上测试一下，如下图所示，客户机访问互联网时，ISA弹出对话框要求输入用户名和口令进行身份验证，我们输入了张强的用户名和口令。

身份验证通过，用户可以访问互联网了！

以上我们简单介绍了如何在工作组环境下控制用户上网，接下来我们要考虑在域环境下如何操作。相比较工作组而言，域环境下控制用户上网是很容易做到的，既然有域控制器负责集中的用户身份验证，既方便又安全，如果不加以利用岂不太过可惜。在域环境下控制用户上网基本都是依靠用户身份验证，除了有极个别的SNAT用户我们需要用IP控制。具体的处理思路也很简单，在域中创建一个全局组，例如取名为Internet Access。然后将允许上网的域用户加入此全局组，最后在ISA中创建一个允许访问互联网的用户集，把全局组Internet Access加入允许访问互联网的用户集即可。
域环境拓扑如下图所示，Denver是域控制器和DNS服务器，Perth是域内工作站，Beijing是加入域的ISA2006服务器。

一 DNS设置问题
ISA有两块网卡，两块网卡上究竟应该怎么设置TCP/IP参数，尤其是DNS应该怎么设置？这是个容易被忽略但又很重要的问题，因为DNS既负责定位内网的域控制器，也要负责解析互联网上的域名，设置不好轻则影响内网登录，重则严重影响大家上网的速度。我们推荐的设置方式是只在内网网卡设置DNS，外网网卡不设置DNS服务器。
在本例中，ISA服务器的内网网卡的TCP/IP参数是 IP为10.1.1.254 ，子网掩码为255.255.255.0，DNS为10.1.1.5；外网网卡的TCP/IP参数是IP为192.168.1.254，子网掩码为255.255.255.0，网关为192.168.1.1。这样一来，内网的DNS既负责为AD提供SRV记录，也负责解析互联网上的域名，结构简单，易于纠错。
有朋友认为只有电信提供的DNS服务器才能解析互联网上的域名，这种看法是不对的。我们在内网中搭建的DNS服务器只要能访问互联网，它就可以解析互联网上的所有域名。根据DNS原理分析，如果DNS服务器遇到一个域名自己无法解析，它就会把这个解析请求送到根服务器，根服务器采用迭代方式指导DNS服务器解析出目标域名。因此，想要内网的DNS服务器能解析出互联网上的域名，只要允许内网DNS服务器能访问互联网即可。
A 我们应该在ISA上创建一条访问规则，允许DNS服务器任意访问，并且将这条规则放到第一位，如下图所示。

B 为了提高DNS的解析速度，可以考虑在DNS服务器上设置转发器，将用户发来的DNS解析请求转发到电信的DNS服务器上。
转发器的设置如下，在Denver上打开DNS管理器，右键点击服务器，选择“属性”，如下图所示。

在属性中切换到“转发器”，在转发器IP地址处填写电信DNS服务器的IP，填写完毕后点击添加，如下图所示。这样我们就设置好了转发器，以后Denver解析不了的域名将转发给202.106.46.151，利用电信DNS的缓存来加快解析速度。

二 依靠身份验证限制用户
解决了DNS的问题后，我们就可以利用身份验证来限制用户访问了。
A 创建允许访问互联网的全局组
在域控制器上打开“Active Directory用户和计算机”，如下图所示，在Users容器中选择新建组。

组的名称为Internet Access，组的类型为全局组。

如下图所示，点击完成结束组的创建。

我们只需将允许访问互联网的用户加入Internet Access即可，如下图所示。

B 创建允许访问互联网的用户集
在ISA服务器防火墙策略的工具箱中展开用户，如下图所示，选择“新建”。

启动用户集创建向导，为用户集取个名字。

在用户集中选择添加“Windows用户和组”，如下图所示。

我们将查找位置设为“整个目录”，对象名称输入“Internet Access”，如下图所示。

确定将Contoso.com域中的Internet Access组加入新创建的用户集。

完成用户集的创建。

C 修改访问规则
创建完用户集后，我们修改访问规则，ISA原先有一条访问规则允许内网用户任意访问，我们对规则进行修改，限制只有特定用户集的成员才可以访问外网。
在访问规则属性中切换到“用户”标签，如下图所示，删除“所有用户”集合。

点击添加，将“允许访问互联网的用户”加进来，如下图所示。

这样就相当于ISA服务器将访问互联网的权限赋予了Internet Access组，凡是加入组的用户都将继承到这个权限，他们通过ISA访问互联网时将不会遇到任何障碍，也不会被提示输入口令进行身份验证，您看，在域环境下用户的透明验证是不是真的很方便呢？
总结：限制用户访问外网是ISA管理员经常遇到的管理需求，一般情况下不是用IP就是靠身份验证，身份验证在域中实现易如反掌，在工作组中实现就要靠镜像账号了。
本文出自 “岳雷的微软网络课堂” 博客，转载请与作者联系！
本文出自 51CTO.COM技术博客
上一篇用防火墙客户端限制使用SKYPE：ISA2006系列之七　　下一篇举例详解ISA的HTTP过滤功能：ISA2006系列之九
类别：ISA ┆技术圈( 4) ┆ 阅读( 10252) ┆ 评论( 74) ┆推送到技术圈 ┆返回首页
相关文章
详解ISA2006三种客户端：ISA2006系列之二
WPAD原理介绍暨故障排查：ISA2006系列之三
实例详解ISA防火墙策略元素：ISA2006系列之五
用防火墙客户端限制使用SKYPE：ISA2006系列之七

使用ISA实现用户级验证二
使用ISA实现用户级验证完成篇
isa2006 file
ISA2006标准版的常规安装和无人值守安装：IS..
用DHCP部署WPAD：ISA2006系列之四
文章评论
1   <<   1   3    页数 ( 1/4 )
[1楼]      [匿名]struggle1=1
2008-07-07 10:18:20
在工作组确实不好管理，绑定MAC对于一些“聪明”人来说效果也不大 嘿嘿 还是AD环境的管理方便安全
短消息通知评论者
[2楼]      yuelei
2008-07-07 21:18:53
不错，如果用户会修改MAC，那就只能结合行政手段了。
短消息通知评论者
[3楼]      [匿名]cince
2008-07-08 10:13:29
呵呵 isa限制的功能还是挺强的
短消息通知评论者
[4楼]      hexiaoyu
2008-07-24 15:13:51
岳老师:
我现在是ISA服务器是通过,控制域用户组上网,
现在有一条规则是所有用户,一条是域用户,我启用域用户时,上网非常慢,准确说奇慢 但是我在启用所有用户时,上网很快,我想问一下,是在哪里没有配制好,盼回复,能不能发短信给我.谢谢,
短消息通知评论者
[5楼]      yuelei
2008-07-25 10:45:20
回hexiaoyu，我没有遇到过这种问题，但根据你的故障现象描述，猜想是否问题在域控制器身份验证上，建议 1 明确到底是用web代理慢还是防火墙客户端慢 2 尝试在ISA上写一条访问规则，允许本地主机和域控制器任意访问，将这条规则放在第一位。
短消息通知评论者
[6楼]      zilongshang
2008-09-03 10:40:47
好东西，收藏了～～～！
短消息通知评论者
[7楼]      [匿名]wuyanhua
2008-09-04 16:53:20
用IP管理方便很多，只要在策略上做好不让下面的机器有更改IP的权限就可以了。
短消息通知评论者
[8楼]      best_Safe
2008-09-19 22:57:04
BZ真牛人！
短消息通知评论者
[9楼]      zilongshang
2008-09-21 18:18:03
好好学习，天天向上
短消息通知评论者
[10楼]      C192168
2008-10-21 12:50:23
岳老师，
文中你提到了Internet Access组，那么使用什么命令可以方便的导出用户信息啊？即里面的成员，和成员所在的AD目录
谢谢。
博主回复:
可以试试resource kit中的ldifde.exe
2008-10-21 21:13:24
短消息通知评论者
[11楼]      hulei79
2008-10-22 16:17:30
如果用户全部在域内,
采用身份验证的方式是不是,就一定要使用WEB代理上网?
SNAT模式下,有没有办法采取身份验证的方式控制用户上网?
博主回复:
使用身份验证除了使用Web代理，也可以使用防火墙客户端。ISA没有在SNAT的模式下提供身份验证功能。
2008-10-22 20:37:23
短消息通知评论者
[12楼]      C192168
2008-10-23 10:25:42
我能不能在XP客户端来实现ldifde.exe 工具啊，我不想直接在域控上来操作？
thanks
短消息通知评论者
[13楼]      C192168
2008-10-24 11:57:52
岳老师，或者我这样说，我想在XP客户端（域成员）上，来导出Internet Access组的里面的members以及成员所在的AD folder？
可以怎么来实现呢，thanks
博主回复:
我没有在XP上试过，但在成员服务器上用过，理论上分析只要在XP上用一个有权限的域用户登录，例如域管理员，运行ldifde就可以导出AD数据。
2008-10-25 12:10:21
短消息通知评论者
[14楼]      inkomi
2008-11-13 18:33:39
回一下上面的 C192168的朋友，你可试下在XP上安装adminpak.msi,进行远程管理服务器。岳老师看看我说的这个方法行不行？
另有一个问题请教岳老师，工作组模式下实行帐号镜像的方式进行验证，如果工作组的电脑用户改了密码，ISA端的用户密码与之不符，还能实现验证吗？
短消息通知评论者
[15楼]      bingquan
2008-12-17 22:57:26
老师讲解的很详细！
短消息通知评论者
[16楼]      [匿名]新海元
2009-01-09 13:33:34
老师，你好！
有个问题想请教一下。我这里的实际环境是这样的：限定某域用户有完全上网权限，无论是登陆到那台电脑，所有协开放。要实现这个应用，这时候必须用到防火墙客户端才对吧？如果用Web代理客户端就只能使用HTTP、HTTPS和FTP之类的应用对吧？但是如果用防火墙客户端的话，好像不能用迅雷、Foxmail之类的软件，检查ISA日志似乎无法和外界连接。请问，要怎么样设置这些软件的网络设置才能解决这个问题。
其实在ISA的防火墙策略使用域用户验证是为了避免用SNAT，SNAT的话开放某IP有完全上网权限的话容易造成IP盗窃。
希望老师详细解答，谢谢！
博主回复:
ISA的防火墙客户端可以支持迅雷和Foxmail啊，没听说有问题啊！是否ISA的防火墙客户端设置得有问题，你上网实际用的还是Web代理客户端，你可以尝试在IE中取消Web代理，也不要配置默认网关，看看还能够上网。如果不能，那么你的防火墙客户端就没有发挥作用。域用户验证可以很方便地根据用户令牌来设置访问控制，可以很轻松地控制用户上网，灵活性远远超过用IP进行限制。
2009-01-09 21:14:41
短消息通知评论者
[17楼]      haoloveju
2009-02-18 20:48:48
想起很多学过的东东
差点都忘没了
哈哈
短消息通知评论者
[18楼]      longlili
2009-02-27 17:36:45
岳老师：
您好！我有几个问题一直困惑着，希望您能帮我解答。
1 ISA是根据IP和用户名限制上网的，我不需要加DNS协议内网也可以正常访问外网啊？是不是因为我加了一条内网之间完全互访的策略的缘故？
2 本地访问内网与内网间互访是一个概念吗？我对这个问题一直不敢确定。
多谢岳老师能给予帮助。
博主回复:
1 如果你设定了允许内网使用所有通讯访问外网，那么所有通讯中已经包括了DNS协议
2 本地访问内网指的是ISA访问内网，内网访问内网指定的内网的一台计算机访问内网的另外一台计算机，不是一回事。例如ISA的内网中包括了10.1.1.0和172.168.1.0两个网段，那么10.1.1.8访问172.168.1.8就属于内网访问内网。
2009-02-27 19:40:22
短消息通知评论者
[19楼]      [匿名]freebomb110
2009-02-27 17:37:28
一 利用IP＋Arp静态绑定
这一个方法似乎不能成功.
这是我遇到的一个情况.
http://www.isacn.org/bbs/index.php?showtopic=49504&st=0&p=334246&#entry334246
博主回复:
我使用IP＋ARP绑定是为了防止别人盗用IP，例如ISA做了192.168.1.2的静态ARP绑定后，如果有人盗用192.168.1.2的IP，那么ISA在对192.168.1.2发送数据时就会向静态绑定的MAC地址发送，而不是盗用者的MAC地址，这样就达到了防止别人盗用IP的目的。你是准备用IP＋MAC防止特定IP的用户上网，从原理分析无法达到目的，用户修改了IP后，ISA发现访问请求中的源网络和拒绝规则中的源网络不同，根本就不会使用这条规则来匹配访问请求，ISA做的静态ARP根本没有用武之地。感觉要限制这个特定用户，在交换机上限制MAC地址可能更方便一下。
2009-02-27 19:49:22
短消息通知评论者
[20楼]      longlili
2009-03-03 16:07:19
谢谢岳老师。
短消息通知评论者