ISA策略详解规范企业员工网络行为.docx
- 文档编号:24973645
- 上传时间:2023-06-03
- 格式:DOCX
- 页数:14
- 大小:1.04MB
ISA策略详解规范企业员工网络行为.docx
《ISA策略详解规范企业员工网络行为.docx》由会员分享,可在线阅读,更多相关《ISA策略详解规范企业员工网络行为.docx(14页珍藏版)》请在冰豆网上搜索。
ISA策略详解规范企业员工网络行为
设计ISA控制策略规范企业员工网络行为
在企业局域网中往往需要对员工使用电脑进行严格限制,比如不允许登录某些网站,不允许使用QQ、MSN,限制某些端口不能玩网络游戏等等。
下面,笔者列举几个比较经典的利用ISA进行网络访问控制的实例。
一、彻底封闭BT下载
BT下载会占用大量的网络带宽,造成局域网的拥塞,因此是企业网管首先要限制的。
BT一般使用TCP的6881~6889的端口,因此我们就从端口入手在ISA建立相应的策略进行限制。
1.添加协议集
在ISA控制台窗口中,右键点击“防火墙策略”,选择“新建→访问规则”,弹出访问规则向导对话框,在“访问规则名称”栏中输入“禁用BT”,点击“下一步”按钮后,选择“拒绝”选项,接着在“协议”对话框中选择“所选的协议”。
点击“添加”按钮,在“添加协议”对话框中点击“新建→协议”,弹出协议定义向导对话框,在名称栏中输入“BT”,点击“下一步”按钮,进入“首要连接信息”对话框。
点击“新建”,弹出“新建/编辑协议连接”对话框,在“协议类型”中选择“TCP”,选择方向为“入站”,端口范围为“从6881到6889”,然后点击“确定”按钮,接下来一路点击“下一步”按钮,即可完成BT协议的定义。
图1
2.添加用户集
接着在添加协议对话框中展开“所有协议”,并添加BT协议,点击“下一步”按钮后,指定访问规则源。
点击“添加”按钮,弹出“添加网络实体”对话框,展开网络目录,选择“内部”。
点击“添加”按钮,接着点击“下一步”按钮,设置访问规则目标,在网络实体对话框中展开网络目录,添加“外部”,然后进入“用户集”对话框,选择“所有用户”并点击“完成”按钮。
图2
3.应用规则
最后在防火墙策略窗口中选中这一规则,并点击上方的“应用”按钮。
这样局域网内的用户就不能进行BT下载了。
如果BT软件使用的不是6881~6889的端口,该规则就会失效。
由于BT端口是可改变的,所以一旦BT下载端口发生改变,你就得立即查到新的端口,并将它封掉。
图3
二、禁止员工访问某些网站
利用ISA2006禁止用户是非常简单的事。
首先将要禁止上网的用户的IP收集起来放在一起做成计算机集,然后将要禁止访问的站点放在一起做成域名集,最后在防火墙策略里新建一个策略来禁止这些用户访问这些站点。
下面我们一步一步地来设置。
1.建立计算机集
点击ISAServer控制台界面窗口左边的“防火墙策略”来到设置防火墙策略页面,在右面点击“工具箱”标签,然后点击“网络对象”就可以看到如图4所示的界面。
图4
在“计算机集”上点右键,选择“新建计算机集”。
点击“添加”会显示一个菜单,在这里可以选择“计算机”、“地址范围”、“子网”,可以根据具体情况选择。
我们这里就选择“地址范围”。
然后根据要求填入名称“被禁止的计算机”,IP地址范围,点击“确定”回到上一个“新建计算机集规则元素”,填上名称“被禁止的计算机”点击“确定”,在计算机集里就可以看到刚刚添加的计算机集“被禁止的计算机”。
这样第一步就完成了。
图5
2.建立域名集
在刚才我们用的“计算机集”的上面可以看到“域名集”,在上面点右键,选择“新建域名集”打开“新建域名集策略元素”。
在“名称”里输入域名集的名称,我们假设那个网站是,我们输入“google”,然后在下面点击“新建”,再将域名改为“*”见图4,如果有多个域名,可以新建多个域。
我们这里只输入了一个。
最后点击“确定”就可以了。
我们在“域名集”里可以看到我们新建的“google”这个域名集。
图6
3.建立访问规则
点击ISAServer控制台界面窗口左边的“防火墙策略”,然后在菜单里选择“新建|访问规则”,在弹出的向导页面中输入访问规则名称,我们输入“禁止访问”。
点击“下一步”,在规则操作中选择“拒绝”,点击“下一步”。
在“协议”一页中选择“所有出站通讯”,也可以根据具体情况选择“所选的协议”,然后选择集体的协议,以禁止某些功能,比如Ping等等。
也可以点击“端口”,根据端口设置。
这里非常灵活。
我们这里选择的是所有的通讯,这样就不能访问该网站了。
图7
点击“下一步”,选择访问规则源,也就是我们刚才建的计算机集,点击“添加”,在计算机集中选择刚才创建的“被禁止的计算机”,然后下一步,添加访问目标,就是我们创建的域名集,点击“添加”在域名集中选择“google”,下一步是“用户集”,默认的是“所有用户”,这里可以进行编辑,如管理员除外等等。
我们这里用默认的,点击下一步就完成了访问规则的创建。
点击“完成”,我们即可在“防火墙策略规则”中看到我们创建的规则。
在上面点击右键选“属性”可以对它的属性进行设置。
比如添加一些被禁止的站点等等,这里还可以设置成按时间执行这个策略,如上班的时候不能访问,下了班可以访问这些站点。
在属性里点击“计划”标签见图7,在这里一周七天每天24个小时可以随意编辑。
在“计划”中可以选择“总是”、“工作时间”、“周末”。
如果感觉默认的时间不合适,可以点击“新建”建立合适的。
图8
设置完属性点击“确定”就可以了。
这时,在上面有一个黄色的三角图标,里面是感叹号,这里可以选择应用或丢弃刚才编辑的策略。
点击“应用”,稍等一会,我们编辑的策略就生效了。
三、禁止员工使用QQ
说到封锁QQ,这的确让不少网络管理员头疼,因为QQ可以使用多种协议通信,如:
UDP、TCP、HTTP、HTTPS,而且支持使用代理。
只要允许HTTP协议就可以登录,而在网络中又不能禁用所有的协议,那怎么办呢?
要禁止QQ登录,我们先看一下QQ的登录过程。
在默认情况下,QQ是使用UDP协议向服务器发送请求的,也可以使用HTTP代理进行通信。
我们不能禁止HTTP协议,所以最好的办法是封锁服务器IP,然后利用ISA2006对HTTP检查机制来禁止QQ使用代理登录。
1.封锁服务器IP地址
首先要找到QQ服务器的IP地址,QQ的服务器不止一个,大家可以到网上找一下,这里我暂时用下面这几个:
61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。
至于通过HTTP代理连接的服务器的URL,可以去找一下,也可以自己抓包看一下。
这里我们用这个地址。
和刚才一样要定义源集、目标集、策略。
源集和禁止访问网络的定义一样,内网的全部计算机。
在定义目标集时也定义成为计算机集,然后添加访问规则。
图9
2.禁止QQ使用HTTP代理登录
这里使用的是ISAServer的深层过滤机制,在“防火墙策略规则”中“无限制的Internet访问”上面点右键,选择“配置HTTP”,在打开的“为规则配置HTTP策略”上选择“签名”标签。
添加一个新的签名。
在“签名”中输入“”。
这样在使用代理登录时请求连接的URL中发现“”就会阻止。
图10
3.应用策略
再调整一下这个策略的属性,点击“应用”就成功地禁止了QQ。
要注意的一点是上面两种策略必须同时使用才能彻底禁止QQ,以后如果发现新的QQ服务器IP或是代理服务器的URL,随时加入策略中就可以了。
四、限制工作站带宽
由于局域网中某些员工进行非法下载或者在线视频占用大量带宽,异常流量造成造成网络拥堵,影响企业网络的正常应用。
对此,我们只需依靠第三方软件BandwidthSplitter及ISAServer2006结合即可完美进行流量控制。
安装完BS后,打开ISAServer2006,可以看到BS的管理控制台已经集成到ISAServer2006中。
点击BandwidthSplitter,它有4个功能项,分别是:
ShapingRules、QuotaRules、QuotaCounters和Monitoring。
下面结合实例来讲解它们的作用,并配置它们。
1.流量及其连接数限制
比如将IP地址为192.168.1.10的计算机的流量设置为50Kbits/s,它的连接数最多为20。
首先选择左侧窗格中的“防火墙策略”,并在右侧窗格中选择“工具箱”→“新建”→“计算机”,在弹出对话框中将名称设为lw,IP地址为192.168.1.10,描述为受限用户,然后点击确定。
图11
再用右键单击BandwidthSplitter下的ShapingRules项,选择“新建”→“Rule”,在弹出的“新建带宽控制规则向导中”填入规则名称“lw小于50K”,在“AppliesTo”项中选择“IP addresssetsspecifiedbelow”,点“Add”并从列表里找到刚才建好的名称为“lw”的计算机。
然后点击下一步,在“Destinations”项中从列表里添加“外部”,点下一步,在“Schedule”项中选择“Always”,然后,在“Shaping”中选“Shapetotaltraffic(incoming+outgoing)”,Total值设为“50”,勾选“Don'tshapecachedwebcontent”。
点下一步,在“Connectionsetting”项中勾选“Limitnumberofconcurrentconnections”,将“Connectionlimit”值设为20;在“shapingtype”项中选择“Assignbandwidthindividuallytoeachapplicableuser/address”。
点下一步,在“Extraparameters”项中选择默认,然后点击下一步。
图12
此时在左侧窗格中就出现了刚才配置的“lw小于50K”的流量控制策略,单击ISAServer2006控制台工具栏上的绿色按钮“Applychanges”,提示应用完成之后,这个流量控制策略就生效了。
打开“Monitoring”项,可以看到IP地址为192.168.1.10的计算机的实时流量一直被控制在50Kbits/s以下,连接数也在20个以下。
在“Monitoring”项上点右键,勾选“ConnectionsDetails”我们可以查看到,每一台计算机当前的连接情况的附加信息,包括协议、目标主机IP、端口等详细内容。
图13
2.设定总流量上限
例如将IP地址为192.168.1.10的计算机每周的流量总额限定为300MB。
首先,用右键单击BandwidthSplitter下的QuotaRules项,选择“新建”→“Rule”,操作同前述例子基本一致,按向导提示一步步填写相关内容即可。
只是在“TrafficQuota”选项中有所不同,选择“Limittotaltraffic(incoming+outgoing)”,Total的值设为300MB,勾选“Don'taccountcachedwebcontent”,将“Resetperiod”值设为“Weekly”,并勾选“Transferremaindertothenextperiod”,其余相同,完成后应用即可。
打开“QuotaCounters”项,我们在右侧窗格中可以看到IP地址为192.168.1.10的计算机的策略应用情况,及本周还有多少流量可以使用。
图14
总结
笔者列举的这四个例子,只是利用ISA进行网络访问控制的特例。
其实ISA2006是一个性能强大的企业防火墙,大家在实际应用中可以量身定制相应的防火墙策略,进行针对性的网络访问控制。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISA 策略 详解 规范 企业 员工 网络 行为