ISA Server防火墙客户端实现只有经过身份认证的才允许上网
在奥运期间,一些政府加强了上网行为监控,但传统的防火墙,只能通过IP地址进行限制。而用户很容易修改IP地址,事后也不能查找、定位用户。基于此,我采用Windows Server 2003的Active Directory、DHCP、ISA Server,将计算机加入到域、让只有加入到域的用户(每人一个用户名、密码并登录计算机)才能上网,其他用户不能上网。这样就做到了经过认证的用户才能上网,并且出了事情,可以追察到人。同时,在奥运期间,由于许多用户在线看比赛,经过实际测量,新华网的 视频,每个视频需要占用1M以上的带宽,如果一个网络中, 有20个人观看视频,会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。在整个奥运期间,这个方案经受住了考验。 在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:
(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。 (2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。
(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。 www.cnwan.com.cn
(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。
基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。 内容来自cnwan.com.cn
为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。
图1 网络拓扑 解决思路如下:
(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。 copyright cnwan.com.cn
(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。 (3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。
(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。
(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。 为了统一起见,网络中重要服务器的参数如下:
Active Directory服务器的IP地址为192.168.7.7,ISA Server服务器的“内网”地址为10.10.0.1(三层交换机的默认路由所指定的地址),外网地址为
61.182.x.y;DHCP服务器的地址为192.168.7.6(三层交换机中设置“DHCP中继代理的”地址)。所有的工作站采用192.168.1.0/24~192.168.6.0/24的网段,DNS地址设置为192.168.7.7。 菜鸟网
在ISA Server中,使用“Web代理客户端”与“防火墙客户端”,可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。 1 使用Web代理客户端上网
(1)在网络中一台Windows Server 2003的服务器上,将DNS地址设置成127.0.0.1,运行dcpromo,将计算机升级到Active Directory。在本例中,DNS域名为jz.local。升级到域之后,按照单位的组织机构创建OU、子OU(与部门名称相同),并在子OU中创建用户,如图2所示。
图2 根据组织结构创建OU与用户 copyright cnwan.com.cn
(2)将ISA Server计算机加入到域。说明,不需要将计算机成为“额外的域控制器”,只要加入域,作“成员服务器”即可。然后按照传统的方式,设置访问策略,例如“允许内网访问外网”,即在创建规则时,允许“内部”用户访问“外部”,但在设置“用户”时,将默认的“所有用户”删除,而是添加“所有域用户”或者“所有经过身份验证的用户”,如图3所示。
图3 用户规则 菜鸟网
这样,原来的只根据IP地址的限制,变成了IP地址+用户身份限制,但我们创建策略时,允许所有“内部”的用户,这样,起决定作用的就是“用户身份”了。 (3)在“配置→网络”中,双击“内部”,在打开的“内部 属性”页中,在“Web代理”选项卡中,选中“为此网络启用Web代理客户端连接”,并且选中“启用HTTP”,如图4所示。
图4 启用Web代理并指定代理端口
设置策略之后,单击“应用”按钮,让设置生效。 内容来自cnwan.com.cn
(4)返回到“Active Directory”服务器上,在“Active Directory用户和计算机”中,编辑该OU所在的策略,在“用户配置→Windows设置→Internet Explorer维护→连接”中,双击右侧的“代理设置”,在弹出的对话框中,选中“启用代理服务器设置”选项,在“HTTP”文本框中键入代理服务器的地址(在本例中为10.10.0.1)与端口(本例中为8080),如图5所示。
图5 编辑策略
(5)所有的工作站,加入到域之后,以域用户登录,其IE中的代理服务器地址,将会按照图5中的进行设置,并且可以访问Internet。如果没有加入到域,则不能访问Internet。
2 防火墙客户端设置 cnwan.com.cn
如果网络中的工作站,使用ISA Server的防火墙客户端的方式访问外网,除了需要按照上面进行设置外,还要进行下面的工作:
(1)在“防火墙客户端”页中,选中“启用此网络的防火墙客户端支持”与“使用Web代理服务器”两个选项,并且将“ISA服务器名称或IP地址”(两处)设置为ISA Server内网的IP地址,切记,不要用计算机的名称,如图6所示。