使用IP地址来禁止内部用户上网

类别:编程语言 点击:0 评论:0 推荐:
 

在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。
至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。


在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。
如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。


就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。

一、通过IP来禁止

首先谈禁止IP的部分,这个适合于固定IP配置的用户。

操作步骤如下:

1、对需要禁止上网的客户新建一个地址集或者计算机集;


2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。

3、在防火墙策略中新建一个访问规则;


在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。

首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;



然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”;



在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”;



建好的计算机集如下图所示,点击“OK”;



然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字;



规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。



目的网络选择外部;



按照提示进行,最后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置;


注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;

 



然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。




现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。


首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。同样在“网络对象”中,右击“域名集”,选择“新建域名集”;



在域名集中我添加了YAHOO的网站;



然后在刚才建好的Denyed
Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*.yahoo.com”;



修改后的策略如下图所示,点击“应用”;



现在再到客户机上,访问ISA中文站,是可以访问的;



但是yahoo就不能访问了



 

 


抱歉:这篇文章配图中,为规则及一些对象所起的名字有英文语法错误,不影响文章本身的内容。我英文差,请见谅:(。

本文地址:http://com.8s8s.com/it/it22736.htm