ISA Server防火墻客戶端使用記要
在奧運期間,一些政府加強了上網行為監控,但傳統的防火墻,只能通過IP地址進行限制。而用戶很容易修改IP地址,事后也不能查找、定位用戶。基于此,我采用Windows Server 2003的Active Directory、DHCP、ISA Server,將計算機加入到域、讓只有加入到域的用戶(每人一個用戶名、密碼并登錄計算機)才能上網,其他用戶不能上網。這樣就做到了經過認證的用戶才能上網,并且出了事情,可以追察到人。同時,在奧運期間,由于許多用戶在線看比賽,經過實際測量,新華網的 視頻,每個視頻需要占用1M以上的帶寬,如果一個網絡中, 有20個人觀看視頻,會占用大量的網絡帶寬。采用Bandwidth_Splitter限制每個用戶帶寬在350K以內。
在整個奧運期間,這個方案經受住了考驗。
在大多數單位,都是通過限制工作站的IP地址,控制其上網行為,例如,根據部門、人員的不同,為其分配不同的地址或者地址段,在防火墻(或代理服務器)中設置上網策略。但這樣的設置,存在一些問題:
(1)因為知道網管對IP地址進行了限制,所以一些員工會將自己的IP地址改成不受限制的IP地址,以避開限制。這樣,經常造成網絡地址的沖突。
(2)為了解決員工隨意修改IP地址的問題,需要將IP地址與MAC地址綁定。但這樣需要對三層交換機進行調試,這樣會增加網管的負擔。另外,現在修改網卡的MAC地址也是非常容易的,這也不是解決問題的最終方法。
(3)如果只是通過IP地址限制上網,由于現在的筆記本電腦很多。如果外來人員,將隨身攜帶的筆記本接入網絡,設置一個IP地址,就可以訪問外網,這樣可能引發問題。
(4)當網絡出現問題時,如果只是基于IP地址進行排查,不容易定位故障源:因為IP地址是可以隨意設置的。
基于此,這種傳統的、基于IP地址進行限制的上網行為,需要做出改進。
為了解決上述問題,本文介紹聯合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的綜合解決方案,達到讓指定的用戶、在指定的時間、以指定的流量、訪問指定的網絡,本方案對用戶身份進行驗證,不對IP進行限制。即使用戶修改IP地址,也不會避開限制。本方案網絡拓撲如圖1所示。
圖1 網絡拓撲
解決思路如下:
(1)在網絡中需要有一臺Windows Server 2003的服務器,升級到Active Directory(域),用于提供身份驗證。所有的工作站需要加入該域。ISA Server是該域的“成員服務器”。
(2)網絡中提供一臺DHCP服務器,為工作站自動分配TCP/IP地址(可選)。
(3)在ISA Server中,創建訪問策略時,采用“身份驗證”方式,沒有經過身份驗證的計算機不能訪問指定的網絡(一般是訪問Internet)。
(4)因為ISA Server 2004、ISA Server 2006沒有提供“流量”限制功能,可以采用第三方的軟件“Bandwidth Splitter for Microsoft ISA Server”軟件,提供流量限制功能。
(5)所有的工作站,在訪問Internet時,需要采用“Web代理方式”或“ISA Server的防火墻客戶端”,否則不能通過“身份驗證”,也就不能訪問外網。
為了統一起見,網絡中重要服務器的參數如下:
Active Directory服務器的IP地址為192.168.7.7,ISA Server服務器的“內網”地址為10.10.0.1(三層交換機的默認路由所指定的地址),外網地址為61.182.x.y;DHCP服務器的地址為192.168.7.6(三層交換機中設置“DHCP中繼代理的”地址)。所有的工作站采用192.168.1.0/24~192.168.6.0/24的網段,DNS地址設置為192.168.7.7。 #p#
在ISA Server中,使用“Web代理客戶端”與“防火墻客戶端”,可以通過身份驗證。下面分別介紹一下這兩種客戶端的設置方法。
1 使用Web代理客戶端上網
(1)在網絡中一臺Windows Server 2003的服務器上,將DNS地址設置成127.0.0.1,運行dcpromo,將計算機升級到Active Directory。在本例中,DNS域名為jz.local。升級到域之后,按照單位的組織機構創建OU、子OU(與部門名稱相同),并在子OU中創建用戶,如圖2所示。
圖2 根據組織結構創建OU與用戶
(2)將ISA Server計算機加入到域。說明,不需要將計算機成為“額外的域控制器”,只要加入域,作“成員服務器”即可。然后按照傳統的方式,設置訪問策略,例如“允許內網訪問外網”,即在創建規則時,允許“內部”用戶訪問“外部”,但在設置“用戶”時,將默認的“所有用戶”刪除,而是添加“所有域用戶”或者“所有經過身份驗證的用戶”,如圖3所示。
圖3 用戶規則
這樣,原來的只根據IP地址的限制,變成了IP地址+用戶身份限制,但我們創建策略時,允許所有“內部”的用戶,這樣,起決定作用的就是“用戶身份”了。
(3)在“配置→網絡”中,雙擊“內部”,在打開的“內部 屬性”頁中,在“Web代理”選項卡中,選中“為此網絡啟用Web代理客戶端連接”,并且選中“啟用HTTP”,如圖4所示。
圖4 啟用Web代理并指定代理端口
設置策略之后,單擊“應用”按鈕,讓設置生效。
(4)返回到“Active Directory”服務器上,在“Active Directory用戶和計算機”中,編輯該OU所在的策略,在“用戶配置→Windows設置→Internet Explorer維護→連接”中,雙擊右側的“代理設置”,在彈出的對話框中,選中“啟用代理服務器設置”選項,在“HTTP”文本框中鍵入代理服務器的地址(在本例中為10.10.0.1)與端口(本例中為8080),如圖5所示。
圖5 編輯策略
(5)所有的工作站,加入到域之后,以域用戶登錄,其IE中的代理服務器地址,將會按照圖5中的進行設置,并且可以訪問Internet。如果沒有加入到域,則不能訪問Internet。 #p#
2 防火墻客戶端設置
如果網絡中的工作站,使用ISA Server的防火墻客戶端的方式訪問外網,除了需要按照上面進行設置外,還要進行下面的工作:
(1)在“防火墻客戶端”頁中,選中“啟用此網絡的防火墻客戶端支持”與“使用Web代理服務器”兩個選項,并且將“ISA服務器名稱或IP地址”(兩處)設置為ISA Server內網的IP地址,切記,不要用計算機的名稱,如圖6所示。
圖6 設置ISA服務器的內網IP地址
(2)在工作站上,安裝ISA Server的防火墻客戶端軟件(在ISA Server安裝光盤的“Client”文件夾中,可以用組策略發布該軟件)。安裝好后,雙擊右下角的“”圖標,在彈出的對話框中,在“設置”選項卡中,選中“手動指定的ISA服務器”文本框中,鍵入10.10.0.1,然后單擊“測試服務器”、“確定”按鈕即可,如圖7所示。
圖7 指定ISA Server服務器地址
如果不想讓用戶指定ISA Server服務器的地址,則可以使用ISA Server提供的“自動發現”功能。這需要進一步的配置。
(3)在ISA Server服務器上,在“自動發現”選項卡中,設置使用自動發現的端口號。如果該ISA Server服務器沒有發布Web服務器,并且本身也沒有Web服務器,則可以使用“DNS發現功能”,這時,可以使用80端口。但現在的情況,一般ISA Server都會發布Web服務器,所以不能使用80端口,這時候可以指定其他端口(當前服務器沒有使用的端口),例如,TCP的2501,如圖8所示。
圖8 設置DNS自動發現
在不使用80端口時,只能使用“DHCP”提供“ISA Server”的自動發現功能。
(4)切換到DHCP服務器上,右鍵單擊DHCP服務器的名稱,從彈出的快捷菜單中選擇“設置預定義的選項”,單擊“添加”按鈕,在“選項類型”對話框中,在“名稱”處鍵入大寫的WPAD,“數據類型”選擇“字符串”,“代碼”選擇252,在“描述”處鍵入http://10.10.0.1:2501/wpad.dat,然后單擊“確定”按鈕,如圖8所示。
圖8 添加WPAD選項
添加之后,右鍵單擊“服務器選項”,在彈出的“服務器 選項”中,選中添加的“252的WPAD”選項,如圖9所示。
圖9 啟用WPAD選項
【說明】還需要為每個VLAN創建作用域、設置作用域的地址范圍、子網掩碼、網關地址,并在“服務器選項”中,添加DNS地址為192.168.7.7,這些不一一介紹。
經過上述設置后,每臺工作站設置“自動獲得IP地址”與“DNS”地址,同時,ISA Server的“防火墻客戶端”,就可以自動通過DHCP的WPAD選項,自動指定ISA Server服務器的地址。 #p#
3 流量控制
***,在ISA Server服務器上安裝“Bandwidth Splitter for Microsoft ISA Server”流量控制軟件,并且設置策略,為不同的用戶或者用戶組,設置不同的流量即可。有關Bandwidth Splitter for Microsoft ISA Server的使用,不做詳細介紹,下面是安裝Bandwidth Splitter for Microsoft ISA Server之后的流量監控界面,如圖10所示。
圖10 流量監測圖
在使用流量限制后(還可以限制并發連接數量),當網絡中某人說他的計算機上網慢時,可以在流量控制列表中,根據顯示的“用戶名”查看該計算機的流量,以及訪問的網站,如果網絡速度慢是由于該用戶下載軟件或看視頻導致,則提醒該用戶。這樣,也彌補了ISA Server的不足。
4 其他設置
如果使用Web代理客戶端或者防火墻客戶端的計算機,網絡中有服務器,例如一些內部網站服務器,則在訪問這些內部網站時,不應該使用代理服務器,這時候,可以在ISA Server上進行設置。
在ISA Server服務器上,在“內部”屬性中,選中“直接訪問在‘域’選項卡中指定的計算機”和“直接訪問‘地址’選項卡中指定的計算機”,或者單擊“添加”按鈕,將內網服務器的地址添加到“直接訪問這些服務器或域”列表中即可,如圖11所示。
圖11 需要直接訪問的地址
***,如果網絡中有服務器、計算機,由于使用Web代理客戶端或防火墻客戶端出現訪問網絡問題,或者有的服務器只能使用NAT的客戶端,可以將這些服務器、計算機的IP地址創建一個“計算機集”,單獨針對這些計算機集創建訪問策略,并且這些訪問策略要在其他訪問策略的前面,這些是ISA Server的使用技巧,不做過多介紹。
如果客戶端使用QQ、MSN的比較多,可以在“共享上網”這條策略的前面,專門開放QQ、MSN協議端口,并且不加身份驗證。這樣,客戶端使用QQ、MSN時,不需要配置代理服務器。
【編輯推薦】
