使用IP地址來禁止內部使用者上網

 

在ISA Server 2004中，禁止客戶上網是很簡單的事情，你可以通過禁止IP和禁止使用者兩方面來進行設定。這篇文章中討論的是使用IP地址來禁止某些客戶上網，適合於IP地址固定的環境。
至於如何使用身分識別驗證來禁止使用者上網，會在本站的另外一篇文章“How to :使用身分識別驗證來禁止內部使用者上網”中進行介紹。

在訪問規則的設定上，又可以分為隱性禁止和顯式禁止兩種。隱性禁止就是不明確允許客戶訪問外部網路，適合於嚴格定義策略的環境，如在策略中只允許某些客戶上網，那麼其他客戶就自然不能上網了。顯式禁止則是明確禁止某些客戶訪問外部網路，適合於在寬鬆定義策略的環境中禁止某些客戶不能上網。
如果使用IP地址來禁止，表現就為是否明確這個IP上網或者是否明確禁止這個IP上網。

就策略的選用上來說，我個人傾向於後面的那種，可能是因為我比較懶的原因：）。不過相信在大多數網路環境中都是採用的寬鬆定義的策略，我下面就以明確禁止客戶上網來給大家講講如何進行設定。

一、通過IP來禁止

首先談禁止IP的部分，這個適合於固定IP配置的使用者。

操作步驟如下：

1、對需要禁止上網的客戶建立一個地址集或者電腦集；

2、對這些禁止的客戶需要訪問的目的地址建立一個位址範圍或網域名稱集；當然對於完全禁止這個客戶上網，那麼這一步可以省略，使用ISA內建的外部網路就可以了。

3、在防火牆策略中建立一個訪問規則；

在這篇文章中，我們以客戶機IP為192.168.0.41為例，先設定策略禁止它訪問外部網路，然後設定策略禁止它訪問YAHOO網站，不過可以訪問其他網站。

首先在防火牆策略右邊的工具箱裡面點開“網路對象”，然後右擊“電腦集”，然後選擇“建立電腦集”；

然後在“建立電腦集”對話方塊上點擊“添加”，然後選擇“電腦”；

在“添加電腦”對話方塊，輸入該電腦名稱字和IP地址，點擊“OK”；

建好的電腦集如所示，點擊“OK”；

然後右鍵點擊防火牆策略，選擇建立“訪問規則”，在建立訪問規則嚮導頁輸入規則的名字；

規則動作為阻止，然後在源網路中選擇剛才建立的Denyed Clients。

目的網路選擇外部；

按照提示進行，最後建立好的防火牆策略應該如所示，點擊“應用”儲存修改和更新防火牆設定；

注意看，第2條策略就是“無限制的Internet訪問”，這條策略允許所有的內部客戶訪問外部網路；

　

然後，在這個客戶上進行測試，如，這個客戶已經不能訪問網路了。

現在我們試試只是讓這個客戶不能訪問YAHOO的網站，而能夠訪問其他網站。

首先，得為禁止這個客戶訪問的目的地址建立一個集，我這兒圖省事，使用的是網域名稱集，如果使用其他的，還需要找IP地址。同樣在“網路對象”中，右擊“網域名稱集”，選擇“建立網域名稱集”；

在網域名稱集中我添加了YAHOO的網站；

然後在剛才建好的Denyed
Clients這條策略上雙擊，修改它的目的網路屬性，從“外部”改為“*.yahoo.com”；

修改後的策略如所示，點擊“應用”；

現在再到客戶機上，訪問ISA中文站，是可以訪問的；

但是yahoo就不能訪問了

　

　

抱歉：這篇文章配圖中，為規則及一些對象所起的名字有英文語法錯誤，不影響文章本身的內容。我英文差，請見諒:(。