最近公司要求对员工访问的网站进行限制,只允许使用指定的网站,于是应ISA的url集进行了设置。
具体要求是这样的:所有员工只允许访问指定网站,且可以正常使用skype和邮件,不允许上QQ,部分经理级的要求无限制。
公司的网络结构是:外网---ISA---内网,内网为工作组模式。
因为以前没有研究过ISA,所以感觉比较棘手,我觉得对于做网络的人来说,不会不要紧,只要好学,因为谁都不可能所有的网络应用都很精通,另外网上的热心人很多,他们无私的贡献出自己的经验分享给我们,正是靠着强大的互联网和热心人的奉献,我基本上实现了要求,具体过程如下:
首先配置ISA网卡:
ISA双网卡,一条连外网,网卡设置为电信给的数据(IP、掩码、网关、DNS),内网卡只配IP和掩码,IP与内网IP为同一网段,我配的只192.168.16.1,因为以前没有ISA的时候大家电脑的网管都设置的是192.168.16.1,想采用SNAT客户端代理,免得还要改网关,麻烦。。。
设好网卡就是配ISA了,过程如下:
一、开通所有人员到指定的URL集,因为ISA默认的规则是禁止所有协议从所有网络到所有网络,也就是什么都不允许,那我就加了一条允许--所有协议--内部---URL集-所有用户的协议,url集里添上需要开通的网站,包括邮箱客户端使用的pop3和smtp的网址,如果这里填写的是IP地址,最好新建一个计算机,IP填写为邮件服务器的IP,一起加到“到”的里面,与URL并列,其他需要访问的也可以一起添加进来,这里想说的是DNS,因为我们公司内部没有DNS服务器,全部填写的是电信给的DNS,所以这里也要把DNS服务器也一起添加进来。
二、允许skype,因为刚才那么设置一下还不能保证skype使用,因为skype采用的p2p的模式,没有固定的服务器,所以没法采用允许到skype服务器的方式,查找资料得出,skype可以采用443端口出入,443端口也就是https的协议的端口,所以再加了一条,允许--https协议--内部--外部--所有用户,测试skype可以登录了
三、禁用QQ,禁用QQ是采用了http://hongwei.blog.51cto.com/533436/114979这篇博文的方法,建立QQ服务器的IP范围,将其禁用,再建立udp8000端口封堵协议,将其禁用
还有一篇也比较好,有兴趣的也可以看看http://zhangzhengtao.blog.51cto.com/374502/86831
返回栏目页:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Firewall/