ISA 规则实例详解.docx

ISA 规则实例详解.docx

《ISA 规则实例详解.docx》由会员分享，可在线阅读，更多相关《ISA 规则实例详解.docx（24页珍藏版）》请在冰豆网上搜索。

ISA规则实例详解

ISA规则实例详解

在论坛里面经常看到有人问怎样封QQ，怎样封BT，怎样配置VPN服务器，在这里，我利用我们公司的ISA规则给大家讲解一下。

注意：

我所有的访问规则都没有限定内容类型的，因为它可能给HTTP访问带来一些的困难，我是在HTTP过滤里面设置的不允许访问的文件扩展名。

我的ISA设置是根据需要允许特定的用户利用特定的协议在特定的时间内访问特定的网络。

规则一：

这个规则是内网所有用户在所有时间都可以用HTTP、HTTP、POP3、SMTP协议访问公司的指定内部服务器：

以上是规则的协议元素

以上是访问源，我是设定允许所有内部网用户

以上是服务器地址

以上是访问的内容类型。

规则二：

特殊用户在特殊时间访问外网：

公司的一个领导特殊时间要访问外网，这是为他建的规则，以上的允许的协议

以上是访问源，我新建的计算机，然后输入他的IP地址。

因为讨厌3721，所以把它封了，这个领导访问外部网的时候，有一个叫3721的URL集例外，也可以把不允许访问的地址放在里面

规则三：

制定特殊的用户下载压缩文件：

因为在HTTP过虑里面禁止了下载，我专门为有下载需要的用户建了一个下载规则，你可能有疑问，为什么不在另外的规则里面允许下载，因为有的人下载可能是临时的，只要加入这个规则就可以了。

只允许特定的计算机用HTTP访问外网，还限定了特定的时间。

如果允许下载的计算机不只是一个，可以建一个计算机集。

我只允许了下载.rar和.ZIP文件，这些都禁止了。

可能你会问到封QQ的问题，因为QQ使用的是443端口和UDP协议的端口，我只允许了HTTP访问，不会登录QQ的；还有BT的问题，我还没有给公司的局域网封BT，过两天再说吧，封BT我认为只要禁止下载BT的种子就行了，扩展名是.torrent，禁止下载这个文件就基本封掉BT了，但可能别人利用QQ等、下载压缩的种子文件也能使用BT；还有一种办法，就是封掉BT的请求URL：

http:

//*.*.*/announce，我发现相当大一部份的BT客户端在下载文件的过程中都要请求这个地址，不知道封这个地址有没有效，有兴趣的朋友可以试试。

除了封BT服务器以外，我也没有什么好的办法了，请有较好办法的朋友共享你的办法。

这里好像扯远了一些，我们言归正转：

规则四：

内网计算机软件在线更新：

如上图只用到HTTP协议。

PS：

我喜欢把DNS协议带上。

如上图，我只允许updataclient这个计算机集的用户升级。

以上是允许升级时连接的站点，

如上图，然后我限制了升级的时间。

如上图，为了防止他们到升级站点上面乱下载东西，我把扩展名也限制了。

规则五：

因为公司的人说晚上太无聊了，那就给他们晚上开通一段时间上网吧，不过也限制了。

如上图，我也限制了使用协议，在HTTP筛选里面也配置了访问的扩展名。

如上图，允许所有内部用户到外部吧，但不能上QQ哦，其实这里把QQIP和QQURL两个东西拿掉也不能上QQ的，可能还有可能利用HTTP代理上网，我就在HTTP筛选里面使用签名封锁QQ出现的新问题及对策做了点手脚：

上面的connect要用大写的。

如上图，还是不允许他们下载文件

如上图，

哪上图，只允许两个小时，够了吧？

规则六：

好朋友允许上QQ吧？

这个规则是允许上QQ的，

如上图，现在的QQ大部分是用443端口吧？

如上图，建一个计算机集，里面包含好友的IP地址就行了。

HTTPS协议是不可能作HTTP筛选的。

如上图，允许他们访问QQ服务器。

限时就不说了，内容类型就不用限定了。

规则七：

有用户说晚上要上网，原因是收发邮件，那就让他们收发邮件吧：

如上图，以上是允许的协议

如上图，新建一个计算机集，包含他（她）们就行了。

如上图，到外部网站，但不能访问QQ服务器，这里可以不用加QQIP这个计算机集，不允许下载3721插件。

如上图，晚上还要上网，那就让你上吧，反正你也不能浏览网站。

规则八：

公司领导上网，这里就不放图片了，因为这个规则很简单，只需要建一个公司领导的IP集，把公司领导的计算机IP地址放进去，不限访问协议和访问内容就可以了。

不要用HTTP筛选。

规则九：

公司一般用户访问外网，此规则受限的地方较多：

如上图，只用了这些协议，很多规则我都启用了NETBIOS协议，这个是被防火墙客户端使用的。

如上图，新建一个计算机集，包含受限上网的用户。

如上图，到外部地址，但还是不允许访问QQ服务器的IP地址。

如上图，还是用Gurry的办法加一道保险，封掉QQ。

如上图，HTTP筛选里面还是禁止下载文件。

如上图，还是限制此规则有效的时间。

以上的内部网计算机对外网的访问规则，我还利用ISA2004建了VPN访问服务，下面是设置过程：

新建一个用户，默认user组就可以了，但这里需要把VPN允许访问的用户加入特殊的组并且允许它拨入：

如上图，然后启用客户端访问，客户端数量自己填。

以上是允许VPN访问的用户组，好像只能为两个组，另一个组我忘记了，我是用的这个组，刚才user那人用户属于这个组，所以它可以访问VPN。

如上图，然后启动PPTP协议，IPSEC是站点到站点的连接协议。

这里用不上，反正我试过不能用上。

不需要用用户映射。

另外补充说一下，PPTP协议是使用的1723端口，如果你要把你的VPN服务器发布到外网，那就发布1723端口吧。

上面就是远程访问的配置了，我们公司的VPN客户端都是一些“老大”不要限制他们好了。

上面的就是设置VPN客户端的IP地址了，ISA2004是不允许VPN客户端和内网用户在同一个IP段上面的，点下面的“高级”，为VPN客户端配置DNS服务器。

“身份验证”和“RADIUS”我没有配置。

那么在访问规则里面是怎样配置VPN呢？

下面就是我的配置：

如上图，允许VPN客户端访问

如上图，访问地址是VPN客户端、内部网络和外部网络，因为是老大们才用的，所以除了时间以外的其它地方就不要限制了吧。

在“配置”下面的“插件”里面，我启用了sock4代理，因为局域网内有的人用foxmail，我以前没有试用NAT或firewallclient行不行，反正这种是行的。

以上是sock4代理的设置方法。