ISAServer防火墙客户端经过身份认证上网

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

ISAServer防火墙客户端实现只有经过身份认证的才允许上网在奥运期间,一些政府加强了上网行为监控,但传统的防火墙,只能通过IP地址进行限制。而用户很容易修改IP地址,事后也不能查找、定位用户。基于此,我采用WindowsServer2003的ActiveDirectory、DHCP、ISAServer,将计算机加入到域、让只有加入到域的用户(每人一个用户名、密码并登录计算机)才能上网,其他用户不能上网。这样就做到了经过认证的用户才能上网,并且出了事情,可以追察到人。同时,在奥运期间,由于许多用户在线看比赛,经过实际测量,新华网的视频,每个视频需要占用1M以上的带宽,如果一个网络中,有20个人观看视频,会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。在整个奥运期间,这个方案经受住了考验。在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。内容来自cnwan.com.cn为了解决上述问题,本文介绍联合使用ISAServer、DHCP、DNS、WindowsServer2003ActiveDirectory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。图1网络拓扑解决思路如下:(1)在网络中需要有一台WindowsServer2003的服务器,升级到ActiveDirectory(域),用于提供身份验证。所有的工作站需要加入该域。ISAServer是该域的“成员服务器”。copyrightcnwan.com.cn(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。(3)在ISAServer中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。(4)因为ISAServer2004、ISAServer2006没有提供“流量”限制功能,可以采用第三方的软件“BandwidthSplitterforMicrosoftISAServer”软件,提供流量限制功能。(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISAServer的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。为了统一起见,网络中重要服务器的参数如下:ActiveDirectory服务器的IP地址为192.168.7.7,ISAServer服务器的“内网”地址为10.10.0.1(三层交换机的默认路由所指定的地址),外网地址为61.182.x.y;DHCP服务器的地址为192.168.7.6(三层交换机中设置“DHCP中继代理的”地址)。所有的工作站采用192.168.1.0/24~192.168.6.0/24的网段,DNS地址设置为192.168.7.7。菜鸟网在ISAServer中,使用“Web代理客户端”与“防火墙客户端”,可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。1使用Web代理客户端上网(1)在网络中一台WindowsServer2003的服务器上,将DNS地址设置成127.0.0.1,运行dcpromo,将计算机升级到ActiveDirectory。在本例中,DNS域名为jz.local。升级到域之后,按照单位的组织机构创建OU、子OU(与部门名称相同),并在子OU中创建用户,如图2所示。图2根据组织结构创建OU与用户copyrightcnwan.com.cn(2)将ISAServer计算机加入到域。说明,不需要将计算机成为“额外的域控制器”,只要加入域,作“成员服务器”即可。然后按照传统的方式,设置访问策略,例如“允许内网访问外网”,即在创建规则时,允许“内部”用户访问“外部”,但在设置“用户”时,将默认的“所有用户”删除,而是添加“所有域用户”或者“所有经过身份验证的用户”,如图3所示。图3用户规则菜鸟网这样,原来的只根据IP地址的限制,变成了IP地址+用户身份限制,但我们创建策略时,允许所有“内部”的用户,这样,起决定作用的就是“用户身份”了。(3)在“配置→网络”中,双击“内部”,在打开的“内部属性”页中,在“Web代理”选项卡中,选中“为此网络启用Web代理客户端连接”,并且选中“启用HTTP”,如图4所示。图4启用Web代理并指定代理端口设置策略之后,单击“应用”按钮,让设置生效。内容来自cnwan.com.cn(4)返回到“ActiveDirectory”服务器上,在“ActiveDirectory用户和计算机”中,编辑该OU所在的策略,在“用户配置→Windows设置→InternetExplorer维护→连接”中,双击右侧的“代理设置”,在弹出的对话框中,选中“启用代理服务器设置”选项,在“HTTP”文本框中键入代理服务器的地址(在本例中为10.10.0.1)与端口(本例中为8080),如图5所示。图5编辑策略(5)所有的工作站,加入到域之后,以域用户登录,其IE中的代理服务器地址,将会按照图5中的进行设置,并且可以访问Internet。如果没有加入到域,则不能访问Internet。2防火墙客户端设置cnwan.com.cn如果网络中的工作站,使用ISAServer的防火墙客户端的方式访问外网,除了需要按照上面进行设置外,还要进行下面的工作:(1)在“防火墙客户端”页中,选中“启用此网络的防火墙客户端支持”与“使用Web代理服务器”两个选项,并且将“ISA服务器名称或IP地址”(两处)设置为ISAServer内网的IP地址,切记,不要用计算机的名称,如图6所示。图6设置ISA服务器的内网IP地址(责任编辑:天歌)ISAServer防火墙客户端实现只有经过身份认证的才允许上网(2)时间:2010-05-1316:26来源:51CTO.com作者:天歌点击:次TAG标签:ISA(2)在工作站上,安装ISAServer的防火墙客户端软件(在ISAServer安装光盘的Client文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的图标,(2)在工作站上,安装ISAServer的防火墙客户端软件(在ISAServer安装光盘的“Client”文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的“”图标,在弹出的对话框中,在“设置”选项卡中,选中“手动指定的ISA服务器”文本框中,键入10.10.0.1,然后单击“测试服务器”、“确定”按钮即可,如图7所示。图7指定ISAServer服务器地址cnwan.com.cn如果不想让用户指定ISAServer服务器的地址,则可以使用ISAServer提供的“自动发现”功能。这需要进一步的配置。(3)在ISAServer服务器上,在“自动发现”选项卡中,设置使用自动发现的端口号。如果该ISAServer服务器没有发布Web服务器,并且本身也没有Web服务器,则可以使用“DNS发现功能”,这时,可以使用80端口。但现在的情况,一般ISAServer都会发布Web服务器,所以不能使用80端口,这时候可以指定其他端口(当前服务器没有使用的端口),例如,TCP的2501,如图8所示。图7设置DNS自动发现在不使用80端口时,只能使用“DHCP”提供“ISAServer”的自动发现功能。(4)切换到DHCP服务器上,右键单击DHCP服务器的名称,从弹出的快捷菜单中选择“设置预定义的选项”,单击“添加”按钮,在“选项类型”对话框中,在“名称”处键入大写的WPAD,“数据类型”选择“字符串”,“代码”选择252,在“描述”处键入,然后单击“确定”按钮,如图8所示。图8添加WPAD选项添加之后,右键单击“服务器选项”,在弹出的“服务器选项”中,选中添加的“252的WPAD”选项,如图9所示。图9启用WPAD选项【说明】还需要为每个VLAN创建作用域、设置作用域的地址范围、子网掩码、网关地址,并在“服务器选项”中,添加DNS地址为192.168.7.7,这些不一一介绍。经过上述设置后,每台工作站设置“自动获得IP地址”与“DNS”地址,同时,ISAServer的“防火墙客户端”,就可以自动通过DHCP的WPAD选项,自动指定ISAServer服务器的地址。3流量控制最后,在ISAServer服务器上安装“BandwidthSplitterforMicrosoftISAServer”流量控制软件,并且设置策略,为不同的用户或者用户组,设置不同的流量即可。有关BandwidthSplitterforMicrosoftISAServer的使用,不做详细介绍,下面是安装BandwidthSplitterforMicrosoftISAServer之后的流量监控界面,如图10所示。图10流量监测图在使用流量限制后(还可以限制并发连接数量),当网络中某人说他的计算机上网慢时,可以在流量控制列表中,根据显示的“用户名”查看该计算机的流量,以及访问的网站,如果网络速度慢是由于该用户下载软件或看视频导致,则提醒该用户。这样,也弥补了ISAServer的不足。cnwan.com.cn4其他设置如果使用Web代理客户端或者防火墙客户端的计算机,网络中有服务器,例如一些内部网站服务器,则在访问这些内部网站时,不应该使用代理服务器,这时候,可以在ISAServer上进行设置。在ISAServer服务器上,在“内部”属性中,选中“直接访问在‘域’选项卡中指定的计算机”和“直接访问‘地址’选项卡中指定的计算机”,或者单击“添加”按钮,将内网服务器的地址添加到“直接访问这些服务器或域”列表中即可,如图11所示。图11需要直接访问的地址最后,如果网络中有服务器、计算机,由于使用Web代理客户端或防火墙客户端出现访问网络问题,或者有的服务器只能使用NAT的客户端,可以将这些服务器、计算机的IP地址创建一个“计算机集”,单独针对这些计算机集创建访问策略,并且这些访问策略要在其他访问策略的前面,这些是ISAServer的使用技巧,不做过多介绍。如果客户端使用QQ、MSN的比较多,可以在“共享上网”这条策略的前面,专门开放QQ、MSN协议端口,并且不加身份验证。这样,客户端使用QQ、MSN时,不需要配置代理服务器。

1 / 11
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功