一、徹底封閉BT下載
BT下載會占用大量的網絡帶寬,造成局域網的擁塞,因此是企業網管首先要限制的。BT一般使用TCP的6881~6889的端口,因此我們就從端口入手在ISA建立相應的策略進行限制。
1.添加協議集
在ISA控制臺窗口中,右鍵點擊“防火墻策略”,選擇“新建→訪問規則”,彈出訪問規則向導對話框,在“訪問規則名稱”欄中輸入“禁用BT”,點擊“下一步”按鈕后,選擇“拒絕”選項,接著在“協議”對話框中選擇“所選的協議”。
點擊“添加”按鈕,在“添加協議”對話框中點擊“新建→協議”,彈出協議定義向導對話框,在名稱欄中輸入“BT”,點擊“下一步”按鈕,進入“首要連接信息”對話框。點擊“新建”,彈出“新建/編輯協議連接”對話框,在“協議類型”中選擇“TCP”,選擇方向為“入站”,端口范圍為“從6881到6889”,然后點擊“確定”按鈕,接下來一路點擊“下一步”按鈕,即可完成BT協議的定義。
圖1
2.添加用戶集
接著在添加協議對話框中展開“所有協議”,并添加BT協議,點擊“下一步”按鈕后,指定訪問規則源。點擊“添加”按鈕,彈出“添加網絡實體”對話框,展開網絡目錄,選擇“內部”。點擊“添加”按鈕,接著點擊“下一步”按鈕,設置訪問規則目標,在網絡實體對話框中展開網絡目錄,添加“外部”,然后進入“用戶集”對話框,選擇“所有用戶”并點擊“完成”按鈕。
圖2
#p#副標題#e#
3.應用規則
最后在防火墻策略窗口中選中這一規則,并點擊上方的“應用”按鈕。這樣局域網內的用戶就不能進行BT下載了。如果BT軟件使用的不是6881~6889的端口,該規則就會失效。由于BT端口是可改變的,所以一旦BT下載端口發生改變,你就得立即查到新的端口,并將它封掉。
圖3
二、禁止員工訪問某些網站
利用ISA 2006禁止用戶是非常簡單的事。首先將要禁止上網的用戶的IP收集起來放在一起做成計算機集,然后將要禁止訪問的站點放在一起做成域名集,最后在防火墻策略里新建一個策略來禁止這些用戶訪問這些站點。
下面我們一步一步地來設置。
1.建立計算機集
點擊ISA Server控制臺界面窗口左邊的“防火墻策略”來到設置防火墻策略頁面,在右面點擊“工具箱”標簽,然后點擊“網絡對象”就可以看到如圖4所示的界面。
圖4
#p#副標題#e#
在“計算機集”上點右鍵,選擇“新建計算機集”。點擊“添加”會顯示一個菜單,在這里可以選擇“計算機”、“地址范圍”、“子網”,可以根據具體情況選擇。我們這里就選擇“地址范圍”。然后根據要求填入名稱“被禁止的計算機”,IP地址范圍,點擊“確定”回到上一個“新建計算機集規則元素”,填上名稱“被禁止的計算機”點擊“確定”,在計算機集里就可以看到剛剛添加的計算機集“被禁止的計算機”。這樣第一步就完成了。
圖5
2.建立域名集
在剛才我們用的“計算機集”的上面可以看到“域名集”,在上面點右鍵,選擇“新建域名集”打開“新建域名集策略元素”。在“名稱”里輸入域名集的名稱,我們假設那個網站是www.google.com,我們輸入“google”,然后在下面點擊“新建”,再將域名改為“*.google.com”見圖4,如果有多個域名,可以新建多個域。我們這里只輸入了一個。最后點擊“確定”就可以了。我們在“域名集”里可以看到我們新建的“google”這個域名集。
圖6
#p#副標題#e#
3.建立訪問規則
點擊ISA Server控制臺界面窗口左邊的“防火墻策略”,然后在菜單里選擇“新建|訪問規則”,在彈出的向導頁面中輸入訪問規則名稱,我們輸入“禁止訪問google.com”。點擊“下一步”,在規則操作中選擇“拒絕”,點擊“下一步”。在“協議”一頁中選擇“所有出站通訊”,也可以根據具體情況選擇“所選的協議”,然后選擇集體的協議,以禁止某些功能,比如Ping等等。也可以點擊“端口”,根據端口設置。這里非常靈活。我們這里選擇的是所有的通訊,這樣就不能訪問該網站了。
圖7
點擊“下一步”,選擇訪問規則源,也就是我們剛才建的計算機集,點擊“添加”,在計算機集中選擇剛才創建的“被禁止的計算機”,然后下一步,添加訪問目標,就是我們創建的域名集,點擊“添加”在域名集中選擇“google”,下一步是“用戶集”,默認的是“所有用戶”,這里可以進行編輯,如管理員除外等等。我們這里用默認的,點擊下一步就完成了訪問規則的創建。點擊“完成”,我們即可在“防火墻策略規則”中看到我們創建的規則。在上面點擊右鍵選“屬性”可以對它的屬性進行設置。比如添加一些被禁止的站點等等,這里還可以設置成按時間執行這個策略,如上班的時候不能訪問,下了班可以訪問這些站點。在屬性里點擊“計劃”標簽見圖7,在這里一周七天每天24個小時可以隨意編輯。在“計劃”中可以選擇“總是”、“工作時間”、“周末”。如果感覺默認的時間不合適,可以點擊“新建”建立合適的。
圖8
#p#副標題#e#
設置完屬性點擊“確定”就可以了。這時,在上面有一個黃色的三角圖標,里面是感嘆號,這里可以選擇應用或丟棄剛才編輯的策略。點擊“應用”,稍等一會,我們編輯的策略就生效了。
三、禁止員工使用QQ
說到封鎖QQ,這的確讓不少網絡管理員頭疼,因為QQ可以使用多種協議通信,如:UDP、TCP、HTTP、HTTPS,而且支持使用代理。只要允許HTTP協議就可以登錄,而在網絡中又不能禁用所有的協議,那怎么辦呢?
要禁止QQ登錄,我們先看一下QQ的登錄過程。在默認情況下,QQ是使用UDP協議向服務器發送請求的,也可以使用HTTP代理進行通信。我們不能禁止HTTP協議,所以最好的辦法是封鎖服務器IP,然后利用ISA 2006對HTTP檢查機制來禁止QQ使用代理登錄。
1.封鎖服務器IP地址
首先要找到QQ服務器的IP地址,QQ的服務器不止一個,大家可以到網上找一下,這里我暫時用下面這幾個:61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通過HTTP代理連接的服務器的URL,可以去找一下,也可以自己抓包看一下。這里我們用tencent.com這個地址。和剛才一樣要定義源集、目標集、策略。源集和禁止訪問網絡的定義一樣,內網的全部計算機。在定義目標集時也定義成為計算機集,然后添加訪問規則。
圖9
2.禁止QQ使用HTTP代理登錄
#p#副標題#e#
這里使用的是ISA Server的深層過濾機制,在“防火墻策略規則”中“無限制的Internet訪問”上面點右鍵,選擇“配置HTTP”,在打開的“為規則配置HTTP策略”上選擇“簽名”標簽。添加一個新的簽名。在“簽名”中輸入“tencent.com”。這樣在使用代理登錄時請求連接的URL中發現“tencent.com”就會阻止。
圖10
3.應用策略
再調整一下這個策略的屬性,點擊“應用”就成功地禁止了QQ。要注意的一點是上面兩種策略必須同時使用才能徹底禁止QQ,以后如果發現新的QQ服務器IP或是代理服務器的URL,隨時加入策略中就可以了。
四、限制工作站帶寬
由于局域網中某些員工進行非法下載或者在線視頻占用大量帶寬,異常流量造成造成網絡擁堵,影響企業網絡的正常應用。對此,我們只需依靠第三方軟件Bandwidth Splitter與ISA Server 2006結合即可完美進行流量控制。
安裝完BS后,打開ISA Server 2006,可以看到BS的管理控制臺已經集成到ISA Server 2006中。點擊Bandwidth Splitter,它有4個功能項,分別是:Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面結合實例來講解它們的作用,并配置它們。
#p#副標題#e#
1.流量及其連接數限制
比如將IP地址為192.168.1.10的計算機的流量設置為50Kbits/s,它的連接數最多為20。首先選擇左側窗格中的“防火墻策略”,并在右側窗格中選擇“工具箱”→“新建”→“計算機”,在彈出對話框中將名稱設為lw,IP地址為192.168.1.10,描述為受限用戶,然后點擊確定。
圖11
再用右鍵單擊Bandwidth Splitter下的Shaping Rules項,選擇“新建”→“Rule”,在彈出的“新建帶寬控制規則向導中”填入規則名稱“lw 小于 50K”,在“Applies To”項中選擇“IP address sets specified below”,點“Add”并從列表里找到剛才建好的名稱為“lw”的計算機。然后點擊下一步,在“Destinations”項中從列表里添加“外部”,點下一步,在“Schedule”項中選擇“Always”,然后,在“Shaping”中選“Shape total traffic(incoming+outgoing)”,Total值設為“50”,勾選“Don't shape cached web content”。點下一步,在“Connection setting”項中勾選“Limit number of concurrent connections”,將“Connection limit”值設為20;在“shaping type”項中選擇“Assign bandwidth individually to each applicable user/address”。點下一步,在“Extra parameters”項中選擇默認,然后點擊下一步。
圖12
#p#副標題#e#
此時在左側窗格中就出現了剛才配置的“lw 小于 50K”的流量控制策略,單擊ISA Server 2006控制臺工具欄上的綠色按鈕“Apply changes”,提示應用完成之后,這個流量控制策略就生效了。打開“Monitoring”項,可以看到IP地址為192.168.1.10的計算機的實時流量一直被控制在50Kbits/s以下,連接數也在20個以下。在“Monitoring”項上點右鍵,勾選“Connections Details”我們可以查看到,每一臺計算機當前的連接情況的附加信息,包括協議、目標主機IP、端口等詳細內容。
圖13
2.設定總流量上限
例如將IP地址為192.168.1.10的計算機每周的流量總額限定為300MB。首先,用右鍵單擊Bandwidth Splitter下的Quota Rules項,選擇“新建”→“Rule”,操作同前述例子基本一致,按向導提示一步步填寫相關內容即可。只是在“Traffic Quota”選項中有所不同,選擇“Limit total traffic(incoming+outgoing)”,Total的值設為300MB,勾選“Don't account cached web content”,將“Reset period”值設為“Weekly”,并勾選“Transfer remainder to the next period”,其余相同,完成后應用即可。打開“Quota Counters”項,我們在右側窗格中可以看到IP地址為192.168.1.10的計算機的策略應用情況,及本周還有多少流量可以使用。
圖14
總結
筆者列舉的這四個例子,只是利用ISA進行網絡訪問控制的特例。其實ISA 2006是一個性能強大的企業防火墻,大家在實際應用中可以量身定制相應的防火墻策略,進行針對性的網絡訪問控制。
