返回
ISA访问控制技巧

ISA访问控制技巧

ID:44062979

大小:1.38 MB

页数:26页

时间:2019-10-18

ISA访问控制技巧_第1页
ISA访问控制技巧_第2页
ISA访问控制技巧_第3页
ISA访问控制技巧_第4页
ISA访问控制技巧_第5页
资源描述:

《ISA访问控制技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ISA访问控制技巧 很多单位在使用ISA2006时,都希望用ISA对员工上网进行约束,今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同,因此我们将内容分为两部分,一部分介绍在工作组环境下如何操作,另一部分则针对域环境。我们从工作组开始介绍,在工作组环境下,控制用户上网大多采用两种手段,IP地址或用户身份验证,多数管理员会倾向于利用IP控制。工作组环境的实验拓扑如下图所示,Beijing是ISA2006服务器,Perth和Istanbul是工作组内的两台计算机。 一 利用IP+Arp

2、静态绑定工作组环境下进行身份验证并不方便,因此管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。如果我们希望只有Perth能上网,那我们就可以创建一个允许上网的计算机集合,然后将Perth加入此集合即可。在ISA服务器上打开ISA服务器管理,在防火墙策略工具箱中选择新建“计算机集”,如下图所示。 为计算机集取名为“允许上网的计算机”,点击添加计算机,准备把Perth加进来。 输入Perth的名称和IP地址,点击“确定“,这样我们就创建了一个计算机集合,集合内

3、包括Perth。 创建了计算机集合后,我们来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选择“内部”,点击“删除”,然后把刚创建的计算机集合添加进来。 修改后的规则如下图所示。 在Perth上访问百度,一切正常,如下图所示。 换到Istanbul上访问,如下图所示,Istanbul无法访问Internet。 看起来我们达到了用IP控制用户上网的目的,问题已经解决,其实不然。由于目前ISA只是依靠IP地址进行访问控制,过不了多久,ISA管理员就会发现有“

4、聪明”人开始盗用IP,冒充合法用户访问外网。为了应对这种情况,我们可以考虑使用ARP静态绑定来解决这个问题,即在ISA服务器上记录合法客户机的MAC地址。在本例中,我们让ISA记录Perth的MAC地址。如下图所示,ISA先pingPerth,然后用Arp–a查出Perth的MAC地址,最后用Arp–s进行静态绑定,这样就不用担心用户盗用IP了。 二用户身份验证工作组环境下进行用户身份验证并不方便,但不等于无法进行用户身份验证,在工作组中进行身份验证可以使用镜像账号的方式,即在ISA服务器和客户机上创建用户名和口令都

5、完全一致的用户账号。例如我们允许员工张强访问外网,张强使用的计算机是Istanbul,那我们可以进行如下操作。A在ISA服务器上为张强创建用户账号在ISA的计算机管理中,定位本地用户和组,如下图所示,选择创建新用户。 用户名为zhangqiang,口令为Itet2008。 B在ISA服务器上创建允许上网的用户集在防火墙策略工具箱中,展开用户,如下图所示,点击新建。 为新建用户集取名为“允许上网用户”。 在新创建的用户集中添加“Windows用户和组”,如下图所示。 在用户集中添加beijingzhangqiang,

6、如下图所示。 创建完用户集,点击完成。 接下来我们要修改访问规则,只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改,这次不修改访问的源网络了,如下图所示,我们对源网络不进行任何限制。 这次限制的重点放在了用户上,在规则属性中切换到用户标签,将“所有用户”删除。 将“允许上网用户”添加进来,如下图所示。 D在Istanbul上创建张强的镜像账号现在内网的访问用户必须向ISA证明自己是ISA服务器上的用户张强才能被允许访问外网,那怎么才能证明呢?其实很简单,只要客户机上的某个用户账号,其用户名和

7、口令和ISA服务器上张强的用户名和口令完全一致,ISA就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM原理,以后我会写篇博文发出来,现在大家只要知道如何操作就可以了。在Istanbul上创建用户账号张强,如下图所示,用户名为zhangqiang,口令为Itet2008。 做完上述工作后,我们就可以在Istanbul来试验一下了。首先,我们需要以张强的身份登录,其次,由于SNAT不支持用户验证,因此我们测试时需使用Web代理或防火墙客户端。如下图所示,我们在客户机上使用Web代理。 在Istanbul上访

8、问百度,如下图所示,访问成功! 在ISA上打开实时日志,如下图所示,ISA认为是本机的张强用户在访问,镜像账号起作用了! 三Web代理与基本身份验证在上面的镜像账号例子中,访问者利用了集成验证证明了自己的身份,其实ISA也支持基本身份验证。曾经有朋友问过这个问题,ISA能否在用户使用浏览器上网时弹出一个窗口,访问者必须答对用户名和口令才可以上网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。