设计ISA控制策略规范企业员工网络行为.docVIP

　　设计ISA控制策略 规范企业员工网络行为～教育资源库 　　在企业局域网中往往需要对员工使用电脑进行严格限制，比如不允许登录某些网站，不允许使用、MSN，限制某些端口不能玩网络游戏等等。下面，笔者列举几个比较经典的利用ISA进行网络访问控制的实例。 　　一、彻底封闭BT下载 　　BT下载会占用大量的网络带宽，造成局域网的拥塞，因此是企业网管首先要限制的。BT一般使用TCP的6881～6889的端口，因此我们就从端口入手在ISA建立相应的策略进行限制。 　　1.添加协议集 　　在ISA控制台窗口中，右键点击防火墙策略，选择新建rarr;访问规则，弹出访问规则向导对话框，在访问规则名称栏中输入禁用BT，点击下一步按钮后，选择拒绝选项，接着在协议对话框中选择所选的协议。 　　点击添加按钮，在添加协议对话框中点击新建rarr;协议，弹出协议定义向导对话框，在名称栏中输入BT，点击下一步按钮，进入首要连接信息对话框。点击新建，弹出新建/编辑协议连接对话框，在协议类型中选择TCP，选择方向为入站，端口范围为从6881到6889，然后点击确定按钮，接下来一路点击下一步按钮，即可完成BT协议的定义。 　　 　　图1 　　2.添加用户集 　　接着在添加协议对话框中展开所有协议，并添加BT协议，点击下一步按钮后，指定访问规则源。点击添加按钮，弹出添加网络实体对话框，展开网络目录，选择内部。点击添加按钮，接着点击下一步按钮，设置访问规则目标，在网络实体对话框中展开网络目录，添加外部，然后进入用户集对话框，选择所有用户并点击完成按钮。 　　 　　图2 　　3.应用规则 　　最后在防火墙策略窗口中选中这一规则，并点击上方的应用按钮。这样局域网内的用户就不能进行BT下载了。如果BT软件使用的不是6881～6889的端口，该规则就会失效。由于BT端口是可改变的，所以一旦BT下载端口发生改变，你就得立即查到新的端口，并将它封掉。 　　 　　图3 　　二、禁止员工访问某些网站 　　利用ISA 2006禁止用户是非常简单的事。首先将要禁止上网的用户的IP收集起来放在一起做成计算机集，然后将要禁止访问的站点放在一起做成域名集，最后在防火墙策略里新建一个策略来禁止这些用户访问这些站点。 　　下面我们一步一步地来设置。 　　1.建立计算机集 　　点击ISA Server控制台界面窗口左边的防火墙策略来到设置防火墙策略页面，在右面点击工具箱标签，然后点击网络对象就可以看到如图4所示的界面。 　　 　　图4 　　在计算机集上点右键，选择新建计算机集。点击添加会显示一个菜单，在这里可以选择计算机、地址范围、子网，可以根据具体情况选择。我们这里就选择地址范围。然后根据要求填入名称被禁止的计算机，IP地址范围，点击确定回到上一个新建计算机集规则元素，填上名称被禁止的计算机点击确定，在计算机集里就可以看到刚刚添加的计算机集被禁止的计算机。这样第一步就完成了。 　　 　　图5 　　2.建立域名集 　　在刚才我们用的计算机集的上面可以看到域名集，在上面点右键，选择新建域名集打开新建域名集策略元素。在名称里输入域名集的名称，我们假设那个网站是.google.，我们输入google，然后在下面点击新建r 1234下一页 友情提醒：，特别！dquo;，再将域名改为*.google.见图4，如果有多个域名，可以新建多个域。我们这里只输入了一个。最后点击确定就可以了。我们在域名集里可以看到我们新建的google这个域名集。 　　 　　图6 　　3.建立访问规则 　　点击ISA Server控制台界面窗口左边的防火墙策略，然后在菜单里选择新建|访问规则，在弹出的向导页面中输入访问规则名称，我们输入禁止访问google.。点击下一步，在规则操作中选择拒绝，点击下一步。在协议一页中选择所有出站通讯，也可以根据具体情况选择所选的协议，然后选择集体的协议，以禁止某些功能，比如Ping等等。也可以点击端口，根据端口设置。这里非常灵活。我们这里选择的是所有的通讯，这样就不能访问该网站了。 　　 　　图7 　　点击下一步，选择访问规则源，也就是我们刚才建的计算机集，点击添加,在计算机集中选择刚才创建的被禁止的计算机，然后下一步，添加访问目标，就是我们创建的域名集，点击添加在域名集中选择google，下一步是用户集，默认的是所有用户，这里可以进行编辑，如管理员除外等等。我们这里用默认的，点击下一步就完成了访问规则的创建。点击完成，我们即可在防火墙策略规则中看到我们创建的规则。在上面点击右键选属性可以对它的属性进行设置。比如添加一些被禁止的站点等等，这里还可以设置成按时间执行这个策略，如上