网管用ISA控制，规范企业员工网络行为

鸿鹄

在企业局域网中往往需要对员工使用电脑进行严格限制，比如不允许登录某些网站，不允许使用QQ、MSN，限制某些端口不能玩网络游戏等等。下面，笔者列举几个比较经典的利用ISA进行网络访问控制的实例。
　　一、彻底封闭BT下载
　　BT下载会占用大量的网络带宽，造成局域网的拥塞，因此是企业网管首先要限制的。BT一般使用TCP的6881～6889的端口，因此我们就从端口入手在ISA建立相应的策略进行限制。
　　1.添加协议集
　　在ISA控制台窗口中，右键点击“防火墙策略”，选择“新建→访问规则”，弹出访问规则向导对话框，在“访问规则名称”栏中输入“禁用BT”，点击“下一步”按钮后，选择“拒绝”选项，接着在“协议”对话框中选择“所选的协议”。
　　点击“添加”按钮，在“添加协议”对话框中点击“新建→协议”，弹出协议定义向导对话框，在名称栏中输入“BT”，点击“下一步”按钮，进入“首要连接信息”对话框。点击“新建”，弹出“新建/编辑协议连接”对话框，在“协议类型”中选择“TCP”，选择方向为“入站”，端口范围为“从6881到6889”，然后点击“确定”按钮，接下来一路点击“下一步”按钮，即可完成BT协议的定义。

图1

　　2.添加用户集
　　接着在添加协议对话框中展开“所有协议”，并添加BT协议，点击“下一步”按钮后，指定访问规则源。点击“添加”按钮，弹出“添加网络实体”对话框，展开网络目录，选择“内部”。点击“添加”按钮，接着点击“下一步”按钮，设置访问规则目标，在网络实体对话框中展开网络目录，添加“外部”，然后进入“用户集”对话框，选择“所有用户”并点击“完成”按钮。

图23.应用规则

　　最后在防火墙策略窗口中选中这一规则，并点击上方的“应用”按钮。这样局域网内的用户就不能进行BT下载了。如果BT软件使用的不是6881～6889的端口，该规则就会失效。由于BT端口是可改变的，所以一旦BT下载端口发生改变，你就得立即查到新的端口，并将它封掉。

图3

　　二、禁止员工访问某些网站
　　利用ISA 2006禁止用户是非常简单的事。首先将要禁止上网的用户的IP收集起来放在一起做成计算机集，然后将要禁止访问的站点放在一起做成域名集，最后在防火墙策略里新建一个策略来禁止这些用户访问这些站点。
　　下面我们一步一步地来设置。
　　1.建立计算机集
　　点击ISA Server控制台界面窗口左边的“防火墙策略”来到设置防火墙策略页面，在右面点击“工具箱”标签，然后点击“网络对象”就可以看到如图4所示的界面。

在“计算机集”上点右键，选择“新建计算机集”。点击“添加”会显示一个菜单，在这里可以选择“计算机”、“地址范围”、“子网”，可以根据具体情况选择。我们这里就选择“地址范围”。然后根据要求填入名称“被禁止的计算机”，IP地址范围，点击“确定”回到上一个“新建计算机集规则元素”，填上名称“被禁止的计算机”点击“确定”，在计算机集里就可以看到刚刚添加的计算机集“被禁止的计算机”。这样第一步就完成了。

图5

　　2.建立域名集
　　在刚才我们用的“计算机集”的上面可以看到“域名集”，在上面点右键，选择“新建域名集”打开“新建域名集策略元素”。在“名称”里输入域名集的名称，我们假设那个网站是www.google.com，我们输入“google”，然后在下面点击“新建”，再将域名改为“*.google.com”见图4，如果有多个域名，可以新建多个域。我们这里只输入了一个。最后点击“确定”就可以了。我们在“域名集”里可以看到我们新建的“google”这个域名集。

图6

        3.建立访问规则

　　点击ISA Server控制台界面窗口左边的“防火墙策略”，然后在菜单里选择“新建|访问规则”，在弹出的向导页面中输入访问规则名称，我们输入“禁止访问google.com”。点击“下一步”，在规则操作中选择“拒绝”，点击“下一步”。在“协议”一页中选择“所有出站通讯”，也可以根据具体情况选择“所选的协议”，然后选择集体的协议，以禁止某些功能，比如Ping等等。也可以点击“端口”，根据端口设置。这里非常灵活。我们这里选择的是所有的通讯，这样就不能访问该网站了。

图7

　　点击“下一步”，选择访问规则源，也就是我们刚才建的计算机集，点击“添加”,在计算机集中选择刚才创建的“被禁止的计算机”，然后下一步，添加访问目标，就是我们创建的域名集，点击“添加”在域名集中选择“google”，下一步是“用户集”，默认的是“所有用户”，这里可以进行编辑，如管理员除外等等。我们这里用默认的，点击下一步就完成了访问规则的创建。点击“完成”，我们即可在“防火墙策略规则”中看到我们创建的规则。在上面点击右键选“属性”可以对它的属性进行设置。比如添加一些被禁止的站点等等，这里还可以设置成按时间执行这个策略，如上班的时候不能访问，下了班可以访问这些站点。在属性里点击“计划”标签见图7，在这里一周七天每天24个小时可以随意编辑。在“计划”中可以选择“总是”、“工作时间”、“周末”。如果感觉默认的时间不合适，可以点击“新建”建立合适的。

图8

      设置完属性点击“确定”就可以了。这时，在上面有一个黄色的三角图标，里面是感叹号，这里可以选择应用或丢弃刚才编辑的策略。点击“应用”，稍等一会，我们编辑的策略就生效了。 三、禁止员工使用QQ

　　说到封锁QQ，这的确让不少网络管理员头疼，因为QQ可以使用多种协议通信，如：UDP、TCP、HTTP、HTTPS，而且支持使用代理。只要允许HTTP协议就可以登录，而在网络中又不能禁用所有的协议，那怎么办呢?
　　要禁止QQ登录，我们先看一下QQ的登录过程。在默认情况下，QQ是使用UDP协议向服务器发送请求的，也可以使用HTTP代理进行通信。我们不能禁止HTTP协议，所以最好的办法是封锁服务器IP，然后利用ISA 2006对HTTP检查机制来禁止QQ使用代理登录。
　　1.封锁服务器IP地址
　　首先要找到QQ服务器的IP地址，QQ的服务器不止一个，大家可以到网上找一下，这里我暂时用下面这几个：61.144.238.145、61.144.238.146、202.104.129.254、218.17.209.23。至于通过HTTP代理连接的服务器的URL，可以去找一下，也可以自己抓包看一下。这里我们用tencent.com这个地址。和刚才一样要定义源集、目标集、策略。源集和禁止访问网络的定义一样，内网的全部计算机。在定义目标集时也定义成为计算机集,然后添加访问规则。

图9

　　2.禁止QQ使用HTTP代理登录
这里使用的是ISA Server的深层过滤机制，在“防火墙策略规则”中“无限制的Internet访问”上面点右键，选择“配置HTTP”，在打开的“为规则配置HTTP策略”上选择“签名”标签。添加一个新的签名。在“签名”中输入“tencent.com”。这样在使用代理登录时请求连接的URL中发现“tencent.com”就会阻止。

图10

　　3.应用策略
　　再调整一下这个策略的属性，点击“应用”就成功地禁止了QQ。要注意的一点是上面两种策略必须同时使用才能彻底禁止QQ，以后如果发现新的QQ服务器IP或是代理服务器的URL，随时加入策略中就可以了。
　　四、限制工作站带宽
　　由于局域网中某些员工进行非法下载或者在线视频占用大量带宽，异常流量造成造成网络拥堵，影响企业网络的正常应用。对此，我们只需依靠第三方软件Bandwidth Splitter与ISA Server 2006结合即可完美进行流量控制。
　　安装完BS后，打开ISA Server 2006，可以看到BS的管理控制台已经集成到ISA Server 2006中。点击Bandwidth Splitter，它有4个功能项，分别是：Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面结合实例来讲解它们的作用，并配置它们。1.流量及其连接数限制

　　比如将IP地址为192.168.1.10的计算机的流量设置为50Kbits/s，它的连接数最多为20。首先选择左侧窗格中的“防火墙策略”，并在右侧窗格中选择“工具箱”→“新建”→“计算机”，在弹出对话框中将名称设为lw，IP地址为192.168.1.10，描述为受限用户，然后点击确定。


　　再用右键单击Bandwidth Splitter下的Shaping Rules项，选择“新建”→“Rule”，在弹出的“新建带宽控制规则向导中”填入规则名称“lw 小于 50K”，在“Applies To”项中选择“IP　address sets specified below”，点“Add”并从列表里找到刚才建好的名称为“lw”的计算机。然后点击下一步，在“Destinations”项中从列表里添加“外部”，点下一步，在“Schedule”项中选择“Always”，然后，在“Shaping”中选“Shape total traffic(incoming+outgoing)”，Total值设为“50”，勾选“Don't shape cached web content”。点下一步，在“Connection setting”项中勾选“Limit number of concurrent connections”，将“Connection limit”值设为20;在“shaping type”项中选择“Assign bandwidth individually to each applicable user/address”。点下一步，在“Extra parameters”项中选择默认，然后点击下一步。

qdf1982

cctvzhong123