日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在奧運期間，一些政府加強了上網行為監(jiān)控，但傳統(tǒng)的防火墻，只能通過IP地址進行限制。而用戶很容易修改IP地址，事后也不能查找、定位用戶?；诖?，我采用Windows Server 2003的Active Directory、DHCP、ISA Server，將計算機加入到域、讓只有加入到域的用戶（每人一個用戶名、密碼并登錄計算機）才能上網，其他用戶不能上網。這樣就做到了經過認證的用戶才能上網，并且出了事情，可以追察到人。同時，在奧運期間，由于許多用戶在線看比賽，經過實際測量，新華網的 視頻，每個視頻需要占用1M以上的帶寬，如果一個網絡中， 有20個人觀看視頻，會占用大量的網絡帶寬。采用Bandwidth_Splitter限制每個用戶帶寬在350K以內。

公司主營業(yè)務：網站建設、網站制作、移動網站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現互聯(lián)網宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出溫泉免費做網站回饋大家。

在整個奧運期間，這個方案經受住了考驗。

在大多數單位，都是通過限制工作站的IP地址，控制其上網行為，例如，根據部門、人員的不同，為其分配不同的地址或者地址段，在防火墻（或代理服務器）中設置上網策略。但這樣的設置，存在一些問題：

（1）因為知道網管對IP地址進行了限制，所以一些員工會將自己的IP地址改成不受限制的IP地址，以避開限制。這樣，經常造成網絡地址的沖突。

（2）為了解決員工隨意修改IP地址的問題，需要將IP地址與MAC地址綁定。但這樣需要對三層交換機進行調試，這樣會增加網管的負擔。另外，現在修改網卡的MAC地址也是非常容易的，這也不是解決問題的最終方法。

（3）如果只是通過IP地址限制上網，由于現在的筆記本電腦很多。如果外來人員，將隨身攜帶的筆記本接入網絡，設置一個IP地址，就可以訪問外網，這樣可能引發(fā)問題。

（4）當網絡出現問題時，如果只是基于IP地址進行排查，不容易定位故障源：因為IP地址是可以隨意設置的。

基于此，這種傳統(tǒng)的、基于IP地址進行限制的上網行為，需要做出改進。

為了解決上述問題，本文介紹聯(lián)合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的綜合解決方案，達到讓指定的用戶、在指定的時間、以指定的流量、訪問指定的網絡，本方案對用戶身份進行驗證，不對IP進行限制。即使用戶修改IP地址，也不會避開限制。本方案網絡拓撲如圖1所示。

圖1 網絡拓撲

解決思路如下：

（1）在網絡中需要有一臺Windows Server 2003的服務器，升級到Active Directory（域），用于提供身份驗證。所有的工作站需要加入該域。ISA Server是該域的“成員服務器”。

（2）網絡中提供一臺DHCP服務器，為工作站自動分配TCP/IP地址（可選）。

（3）在ISA Server中，創(chuàng)建訪問策略時，采用“身份驗證”方式，沒有經過身份驗證的計算機不能訪問指定的網絡（一般是訪問Internet）。

（4）因為ISA Server 2004、ISA Server 2006沒有提供“流量”限制功能，可以采用第三方的軟件“Bandwidth Splitter for Microsoft ISA Server”軟件，提供流量限制功能。

（5）所有的工作站，在訪問Internet時，需要采用“Web代理方式”或“ISA Server的防火墻客戶端”，否則不能通過“身份驗證”，也就不能訪問外網。

為了統(tǒng)一起見，網絡中重要服務器的參數如下：

Active Directory服務器的IP地址為192.168.7.7，ISA Server服務器的“內網”地址為10.10.0.1（三層交換機的默認路由所指定的地址），外網地址為61.182.x.y；DHCP服務器的地址為192.168.7.6（三層交換機中設置“DHCP中繼代理的”地址）。所有的工作站采用192.168.1.0/24～192.168.6.0/24的網段，DNS地址設置為192.168.7.7。 #p#

在ISA Server中，使用“Web代理客戶端”與“防火墻客戶端”，可以通過身份驗證。下面分別介紹一下這兩種客戶端的設置方法。

1 使用Web代理客戶端上網

（1）在網絡中一臺Windows Server 2003的服務器上，將DNS地址設置成127.0.0.1，運行dcpromo，將計算機升級到Active Directory。在本例中，DNS域名為jz.local。升級到域之后，按照單位的組織機構創(chuàng)建OU、子OU（與部門名稱相同），并在子OU中創(chuàng)建用戶，如圖2所示。

圖2 根據組織結構創(chuàng)建OU與用戶

（2）將ISA Server計算機加入到域。說明，不需要將計算機成為“額外的域控制器”，只要加入域，作“成員服務器”即可。然后按照傳統(tǒng)的方式，設置訪問策略，例如“允許內網訪問外網”，即在創(chuàng)建規(guī)則時，允許“內部”用戶訪問“外部”，但在設置“用戶”時，將默認的“所有用戶”刪除，而是添加“所有域用戶”或者“所有經過身份驗證的用戶”，如圖3所示。

圖3 用戶規(guī)則

這樣，原來的只根據IP地址的限制，變成了IP地址+用戶身份限制，但我們創(chuàng)建策略時，允許所有“內部”的用戶，這樣，起決定作用的就是“用戶身份”了。

（3）在“配置→網絡”中，雙擊“內部”，在打開的“內部 屬性”頁中，在“Web代理”選項卡中，選中“為此網絡啟用Web代理客戶端連接”，并且選中“啟用HTTP”，如圖4所示。

圖4 啟用Web代理并指定代理端口

設置策略之后，單擊“應用”按鈕，讓設置生效。

（4）返回到“Active Directory”服務器上，在“Active Directory用戶和計算機”中，編輯該OU所在的策略，在“用戶配置→Windows設置→Internet Explorer維護→連接”中，雙擊右側的“代理設置”，在彈出的對話框中，選中“啟用代理服務器設置”選項，在“HTTP”文本框中鍵入代理服務器的地址（在本例中為10.10.0.1）與端口（本例中為8080），如圖5所示。

圖5 編輯策略

（5）所有的工作站，加入到域之后，以域用戶登錄，其IE中的代理服務器地址，將會按照圖5中的進行設置，并且可以訪問Internet。如果沒有加入到域，則不能訪問Internet。 #p#

2 防火墻客戶端設置

如果網絡中的工作站，使用ISA Server的防火墻客戶端的方式訪問外網，除了需要按照上面進行設置外，還要進行下面的工作：

（1）在“防火墻客戶端”頁中，選中“啟用此網絡的防火墻客戶端支持”與“使用Web代理服務器”兩個選項，并且將“ISA服務器名稱或IP地址”（兩處）設置為ISA Server內網的IP地址，切記，不要用計算機的名稱，如圖6所示。

圖6 設置ISA服務器的內網IP地址

（2）在工作站上，安裝ISA Server的防火墻客戶端軟件（在ISA Server安裝光盤的“Client”文件夾中，可以用組策略發(fā)布該軟件）。安裝好后，雙擊右下角的“”圖標，在彈出的對話框中，在“設置”選項卡中，選中“手動指定的ISA服務器”文本框中，鍵入10.10.0.1，然后單擊“測試服務器”、“確定”按鈕即可，如圖7所示。

圖7 指定ISA Server服務器地址

如果不想讓用戶指定ISA Server服務器的地址，則可以使用ISA Server提供的“自動發(fā)現”功能。這需要進一步的配置。

（3）在ISA Server服務器上，在“自動發(fā)現”選項卡中，設置使用自動發(fā)現的端口號。如果該ISA Server服務器沒有發(fā)布Web服務器，并且本身也沒有Web服務器，則可以使用“DNS發(fā)現功能”，這時，可以使用80端口。但現在的情況，一般ISA Server都會發(fā)布Web服務器，所以不能使用80端口，這時候可以指定其他端口（當前服務器沒有使用的端口），例如，TCP的2501，如圖8所示。

圖8 設置DNS自動發(fā)現

在不使用80端口時，只能使用“DHCP”提供“ISA Server”的自動發(fā)現功能。

（4）切換到DHCP服務器上，右鍵單擊DHCP服務器的名稱，從彈出的快捷菜單中選擇“設置預定義的選項”，單擊“添加”按鈕，在“選項類型”對話框中，在“名稱”處鍵入大寫的WPAD，“數據類型”選擇“字符串”，“代碼”選擇252，在“描述”處鍵入http://10.10.0.1:2501/wpad.dat，然后單擊“確定”按鈕，如圖8所示。

圖8 添加WPAD選項

添加之后，右鍵單擊“服務器選項”，在彈出的“服務器 選項”中，選中添加的“252的WPAD”選項，如圖9所示。

圖9 啟用WPAD選項

【說明】還需要為每個VLAN創(chuàng)建作用域、設置作用域的地址范圍、子網掩碼、網關地址，并在“服務器選項”中，添加DNS地址為192.168.7.7，這些不一一介紹。

經過上述設置后，每臺工作站設置“自動獲得IP地址”與“DNS”地址，同時，ISA Server的“防火墻客戶端”，就可以自動通過DHCP的WPAD選項，自動指定ISA Server服務器的地址。 #p#

3 流量控制

***，在ISA Server服務器上安裝“Bandwidth Splitter for Microsoft ISA Server”流量控制軟件，并且設置策略，為不同的用戶或者用戶組，設置不同的流量即可。有關Bandwidth Splitter for Microsoft ISA Server的使用，不做詳細介紹，下面是安裝Bandwidth Splitter for Microsoft ISA Server之后的流量監(jiān)控界面，如圖10所示。

圖10 流量監(jiān)測圖

在使用流量限制后（還可以限制并發(fā)連接數量），當網絡中某人說他的計算機上網慢時，可以在流量控制列表中，根據顯示的“用戶名”查看該計算機的流量，以及訪問的網站，如果網絡速度慢是由于該用戶下載軟件或看視頻導致，則提醒該用戶。這樣，也彌補了ISA Server的不足。

4 其他設置

如果使用Web代理客戶端或者防火墻客戶端的計算機，網絡中有服務器，例如一些內部網站服務器，則在訪問這些內部網站時，不應該使用代理服務器，這時候，可以在ISA Server上進行設置。

在ISA Server服務器上，在“內部”屬性中，選中“直接訪問在‘域’選項卡中指定的計算機”和“直接訪問‘地址’選項卡中指定的計算機”，或者單擊“添加”按鈕，將內網服務器的地址添加到“直接訪問這些服務器或域”列表中即可，如圖11所示。

圖11 需要直接訪問的地址

***，如果網絡中有服務器、計算機，由于使用Web代理客戶端或防火墻客戶端出現訪問網絡問題，或者有的服務器只能使用NAT的客戶端，可以將這些服務器、計算機的IP地址創(chuàng)建一個“計算機集”，單獨針對這些計算機集創(chuàng)建訪問策略，并且這些訪問策略要在其他訪問策略的前面，這些是ISA Server的使用技巧，不做過多介紹。

如果客戶端使用QQ、MSN的比較多，可以在“共享上網”這條策略的前面，專門開放QQ、MSN協(xié)議端口，并且不加身份驗證。這樣，客戶端使用QQ、MSN時，不需要配置代理服務器。

網頁標題：ISAServer防火墻客戶端使用記要
鏈接URL：http://m.5511xx.com/article/coeehjs.html