ISA规则详解.docx

1、ISA规则详解ISA 规则详解 在论坛里面经常看到有人问怎样封QQ ，怎样封BT，怎样配置 VPN 服务器，在这里，我利用我们公司的 ISA 规则给大家讲解一下 。 注意：我所有的访问规则都没有限定内容类型的，因为它可能给 HTTP 访问带来一些的困难，我是在 HTTP 过滤里面设置的不允许访问的文件扩展名。我的 ISA 设置是根据需要允许特定的用户利用特定的协议在特定的时间内访问特定的网络。 规则一：这个规则是内网所有用户在所有时间都可以用 HTTP 、 HTTP 、 POP3 、 SMTP 协议访问公司的指定内部服务器 ： 以上是规则的协议元素 以上是访问源，我是设定允许所有内部网用户 以

2、上是服务器地址 以上是访问的内容类型。 规则二：特殊用户在特殊时间访问外网： 公司的一个领导特殊时间要访问外网，这是为他建的规则，以上的允许的协议 以上是访问源，我新建的计算机，然后输入他的 IP 地址。 因为讨厌 3721 ，所以把它封了，这个领导访问外部网的时候，有一个叫 3721 的 URL 集例外，也可以把不允许访问的地址放在里面 规则三：制定特殊的用户下载压缩文件： 因为在 HTTP 过虑里面禁止了下载，我专门为有下载需要的用户建了一个下载规则，你可能有疑问，为什么不在另外的规则里面允许下载，因为有的人下载可能是临时的，只要加入这个规则就可以了。 只允许特定的计算机用 HTTP 访问

3、外网，还限定了特定的时间。如果允许下载的计算机不只是一个，可以建一个计算机集。我只允许了下载 .rar 和 .ZIP 文件，这些都禁止了。可能你会问到封 QQ 的问题，因为 QQ 使用的是 443 端口和 UDP 协议的端口，我只允许了 HTTP 访问，不会登录 QQ 的；还有 BT 的问题，我还没有给公司的局域网封 BT ，过两天再说吧，封 BT 我认为只要禁止下载 BT 的种子就行了，扩展名是 .torrent ，禁止下载这个文件就基本封掉 BT 了，但可能别人利用 QQ 等、下载压缩的种子文件也能使用 BT ；还有一种办法，就是封掉 BT 的请求URL： http:/*.*.*/anno

4、unce ，我发现相当大一部份的 BT 客户端在下载文件的过程中都要请求这个地址，不知道封这个地址有没有效，有兴趣的朋友可以试试。除了封 BT 服务器以外，我也没有什么好的办法了，请有较好办法的朋友共享你的办法。这里好像扯远了一些，我们言归正转： 规则四：内网计算机软件在线更新： 如上图只用到 HTTP 协议。 PS ：我喜欢把 DNS 协议带上。 如上图，我只允许 updata client 这个计算机集的用户升级。 以上是允许升级时连接的站点， 如上图，然后我限制了升级的时间。 如上图，为了防止他们到升级站点上面乱下载东西，我把扩展名也限制了。 规则五：因为公司的人说晚上太无聊了，那就给他

5、们晚上开通一段时间上网吧，不过也限制了。 如上图，我也限制了使用协议，在 HTTP 筛选里面也配置了访问的扩展名，哦，忘记了说一下进入 HTTP 筛选的方法，点下载的那个筛选，然后点配置 HTTP 就行了。如上图，允许所有内部用户到外部吧，但不能上 QQ 哦，其实这里把 QQIP 和 QQURL 两个东西拿掉也不能上 QQ 的，可能还有可能利用 HTTP 代理上网，我就在 HTTP 筛选里面按Gurry写的文章使用签名封锁QQ出现的新问题及对策做了点手脚： 上面的 connect 要用大写的。如上图，还是不允许他们下载文件 如上图，这个也是抄的Gurry的办法。 哪上图，只允许两个小时，够了吧

6、？ 规则六：好朋友允许上 QQ 吧？这个规则是允许上 QQ 的， 如上图，现在的 QQ 大部分是用 443 端口吧？ 如上图，建一个计算机集，里面包含好友的 IP 地址就行了。 HTTPS 协议是不可能作 HTTP 筛选的。 如上图，允许他们访问 QQ 服务器。 限时就不说了，内容类型就不用限定了。 规则七：有用户说晚上要上网，原因是收发邮件，那就让他们收发邮件吧： 如上图，以上是允许的协议 如上图，新建一个计算机集，包含他 ( 她 ) 们就行了。 如上图，到外部网站，但不能访问 QQ 服务器，这里可以不用加 QQ IP 这个计算机集，不允许下载 3721 插件。 如上图，晚上还要上网，那就让

7、你上吧，反正你也不能浏览网站。 规则八：公司领导上网，这里就不放图片了，因为这个规则很简单，只需要建一个公司领导的 IP 集，把公司领导的计算机 IP 地址放进去，不限访问协议和访问内容就可以了。不要用 HTTP 筛选。 规则九：公司一般用户访问外网，此规则受限的地方较多： 如上图，只用了这些协议，很多规则我都启用了 NETBIOS 协议，这个是被防火墙客户端使用的。 如上图，新建一个计算机集，包含受限上网的用户。 如上图，到外部地址，但还是不允许访问 QQ 服务器的 IP 地址。 如上图，还是用Gurry的办法加一道保险，封掉 QQ 。 如上图，HTTP 筛选里面还是禁止下载文件。 如上图，

8、还是限制此规则有效的时间。 以上的内部网计算机对外网的访问规则，我还利用 ISA2004 建了 VPN 访问服务，下面是设置过程： 新建一个用户，默认 user 组就可以了，但这里需要把 VPN 允许访问的用户加入特殊的组并且允许它拨入： 如上图，然后启用客户端访问，客户端数量自己填。 以上是允许 VPN 访问的用户组，好像只能为两个组，另一个组我忘记了，我是用的这个组，刚才 user 那人用户属于这个组，所以它可以访问 VPN 。 如上图，然后启动 PPTP 协议， IPSEC 是站点到站点的连接协议。这里用不上，反正我试过不能用上。不需要用用户映射。另外补充说一下， PPTP 协议是使用的

9、 1723 端口，如果你要把你的 VPN 服务器发布到外网，那就发布 1723 端口吧。 上面就是远程访问的配置了，我们公司的 VPN 客户端都是一些“老大”不要限制他们好了。 上面的就是设置 VPN 客户端的 IP 地址了， ISA2004 是不允许 VPN 客户端和内网用户在同一个 IP 段上面的，点下面的“高级”，为 VPN 客户端配置 DNS 服务器。 “身份验证”和“ RADIUS ”我没有配置。 那么在访问规则里面是怎样配置 VPN 呢？下面就是我的配置： 如上图，允许 VPN 客户端访问 如上图，访问地址是 VPN 客户端、内部网络和外部网络，因为是老大们才用的，所以除了时间以外

10、的其它地方就不要限制了吧。 在“配置”下面的“插件”里面，我启用了 sock4 代理，因为局域网内有的人用 foxmail ，我以前没有试用 NAT 或 firewall client 行不行，反正这种是行的。 以上是 sock4 代理的设置方法。 其它的地方配置都不怎么重要了，在这里我 也就不多说了，花了很多时间才搞出这么一篇文章，只是希望对 ISA 新手有所帮助，希望你们能从我的文档里面学到一些东西，这样我的心血也没有白费了。另外，为了 ISA 服务器的安全，最好设置的目的地不要包含 ISA 本机。我语文学得不好，如果我在表达上面有问题，还请谅解，在理解上面如果有什么不清楚的话，可以来信问我，唉，写得头有点痛了。有兴趣的朋友可以和我交流这方面的知识： pskill