在奧運期間，一些政府加強了上網(wǎng)行為監(jiān)控，但傳統(tǒng)的防火墻，只能通過IP地址進行限制。而用戶很容易修改IP地址，事后也不能查找、定位用戶。基于此，我采用Windows Server 2003的Active Directory、DHCP、ISA Server，將計算機加入到域、讓只有加入到域的用戶（每人一個用戶名、密碼并登錄計算機）才能上網(wǎng)，其他用戶不能上網(wǎng)。這樣就做到了經(jīng)過認證的用戶才能上網(wǎng)，并且出了事情，可以追察到人。同時，在奧運期間，由于許多用戶在線看比賽，經(jīng)過實際測量，新華網(wǎng)的 視頻，每個視頻需要占用1M以上的帶寬，如果一個網(wǎng)絡(luò)中， 有20個人觀看視頻，會占用大量的網(wǎng)絡(luò)帶寬。采用Bandwidth_Splitter限制每個用戶帶寬在350K以內(nèi)。

在整個奧運期間，這個方案經(jīng)受住了考驗。

在大多數(shù)單位，都是通過限制工作站的IP地址，控制其上網(wǎng)行為，例如，根據(jù)部門、人員的不同，為其分配不同的地址或者地址段，在防火墻（或代理服務(wù)器）中設(shè)置上網(wǎng)策略。但這樣的設(shè)置，存在一些問題：

（1）因為知道網(wǎng)管對IP地址進行了限制，所以一些員工會將自己的IP地址改成不受限制的IP地址，以避開限制。這樣，經(jīng)常造成網(wǎng)絡(luò)地址的沖突。

（2）為了解決員工隨意修改IP地址的問題，需要將IP地址與MAC地址綁定。但這樣需要對三層交換機進行調(diào)試，這樣會增加網(wǎng)管的負擔(dān)。另外，現(xiàn)在修改網(wǎng)卡的MAC地址也是非常容易的，這也不是解決問題的最終方法。

（3）如果只是通過IP地址限制上網(wǎng)，由于現(xiàn)在的筆記本電腦很多。如果外來人員，將隨身攜帶的筆記本接入網(wǎng)絡(luò)，設(shè)置一個IP地址，就可以訪問外網(wǎng)，這樣可能引發(fā)問題。

（4）當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時，如果只是基于IP地址進行排查，不容易定位故障源：因為IP地址是可以隨意設(shè)置的。

基于此，這種傳統(tǒng)的、基于IP地址進行限制的上網(wǎng)行為，需要做出改進。

為了解決上述問題，本文介紹聯(lián)合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的綜合解決方案，達到讓指定的用戶、在指定的時間、以指定的流量、訪問指定的網(wǎng)絡(luò)，本方案對用戶身份進行驗證，不對IP進行限制。即使用戶修改IP地址，也不會避開限制。本方案網(wǎng)絡(luò)拓撲如圖1所示。

圖1 網(wǎng)絡(luò)拓撲

解決思路如下：

（1）在網(wǎng)絡(luò)中需要有一臺Windows Server 2003的服務(wù)器，升級到Active Directory（域），用于提供身份驗證。所有的工作站需要加入該域。ISA Server是該域的“成員服務(wù)器”。

（2）網(wǎng)絡(luò)中提供一臺DHCP服務(wù)器，為工作站自動分配TCP/IP地址（可選）。

（3）在ISA Server中，創(chuàng)建訪問策略時，采用“身份驗證”方式，沒有經(jīng)過身份驗證的計算機不能訪問指定的網(wǎng)絡(luò)（一般是訪問Internet）。

（4）因為ISA Server 2004、ISA Server 2006沒有提供“流量”限制功能，可以采用第三方的軟件“Bandwidth Splitter for Microsoft ISA Server”軟件，提供流量限制功能。

（5）所有的工作站，在訪問Internet時，需要采用“Web代理方式”或“ISA Server的防火墻客戶端”，否則不能通過“身份驗證”，也就不能訪問外網(wǎng)。

為了統(tǒng)一起見，網(wǎng)絡(luò)中重要服務(wù)器的參數(shù)如下：

Active Directory服務(wù)器的IP地址為192.168.7.7，ISA Server服務(wù)器的“內(nèi)網(wǎng)”地址為10.10.0.1（三層交換機的默認路由所指定的地址），外網(wǎng)地址為61.182.x.y；DHCP服務(wù)器的地址為192.168.7.6（三層交換機中設(shè)置“DHCP中繼代理的”地址）。所有的工作站采用192.168.1.0/24～192.168.6.0/24的網(wǎng)段，DNS地址設(shè)置為192.168.7.7。 #p#

在ISA Server中，使用“Web代理客戶端”與“防火墻客戶端”，可以通過身份驗證。下面分別介紹一下這兩種客戶端的設(shè)置方法。

1 使用Web代理客戶端上網(wǎng)

（1）在網(wǎng)絡(luò)中一臺Windows Server 2003的服務(wù)器上，將DNS地址設(shè)置成127.0.0.1，運行dcpromo，將計算機升級到Active Directory。在本例中，DNS域名為jz.local。升級到域之后，按照單位的組織機構(gòu)創(chuàng)建OU、子OU（與部門名稱相同），并在子OU中創(chuàng)建用戶，如圖2所示。

圖2 根據(jù)組織結(jié)構(gòu)創(chuàng)建OU與用戶

（2）將ISA Server計算機加入到域。說明，不需要將計算機成為“額外的域控制器”，只要加入域，作“成員服務(wù)器”即可。然后按照傳統(tǒng)的方式，設(shè)置訪問策略，例如“允許內(nèi)網(wǎng)訪問外網(wǎng)”，即在創(chuàng)建規(guī)則時，允許“內(nèi)部”用戶訪問“外部”，但在設(shè)置“用戶”時，將默認的“所有用戶”刪除，而是添加“所有域用戶”或者“所有經(jīng)過身份驗證的用戶”，如圖3所示。

圖3 用戶規(guī)則

這樣，原來的只根據(jù)IP地址的限制，變成了IP地址+用戶身份限制，但我們創(chuàng)建策略時，允許所有“內(nèi)部”的用戶，這樣，起決定作用的就是“用戶身份”了。

（3）在“配置→網(wǎng)絡(luò)”中，雙擊“內(nèi)部”，在打開的“內(nèi)部 屬性”頁中，在“Web代理”選項卡中，選中“為此網(wǎng)絡(luò)啟用Web代理客戶端連接”，并且選中“啟用HTTP”，如圖4所示。

圖4 啟用Web代理并指定代理端口

設(shè)置策略之后，單擊“應(yīng)用”按鈕，讓設(shè)置生效。

（4）返回到“Active Directory”服務(wù)器上，在“Active Directory用戶和計算機”中，編輯該OU所在的策略，在“用戶配置→Windows設(shè)置→Internet Explorer維護→連接”中，雙擊右側(cè)的“代理設(shè)置”，在彈出的對話框中，選中“啟用代理服務(wù)器設(shè)置”選項，在“HTTP”文本框中鍵入代理服務(wù)器的地址（在本例中為10.10.0.1）與端口（本例中為8080），如圖5所示。

圖5 編輯策略

（5）所有的工作站，加入到域之后，以域用戶登錄，其IE中的代理服務(wù)器地址，將會按照圖5中的進行設(shè)置，并且可以訪問Internet。如果沒有加入到域，則不能訪問Internet。 #p#

2 防火墻客戶端設(shè)置

如果網(wǎng)絡(luò)中的工作站，使用ISA Server的防火墻客戶端的方式訪問外網(wǎng)，除了需要按照上面進行設(shè)置外，還要進行下面的工作：

（1）在“防火墻客戶端”頁中，選中“啟用此網(wǎng)絡(luò)的防火墻客戶端支持”與“使用Web代理服務(wù)器”兩個選項，并且將“ISA服務(wù)器名稱或IP地址”（兩處）設(shè)置為ISA Server內(nèi)網(wǎng)的IP地址，切記，不要用計算機的名稱，如圖6所示。

圖6 設(shè)置ISA服務(wù)器的內(nèi)網(wǎng)IP地址

（2）在工作站上，安裝ISA Server的防火墻客戶端軟件（在ISA Server安裝光盤的“Client”文件夾中，可以用組策略發(fā)布該軟件）。安裝好后，雙擊右下角的“”圖標(biāo)，在彈出的對話框中，在“設(shè)置”選項卡中，選中“手動指定的ISA服務(wù)器”文本框中，鍵入10.10.0.1，然后單擊“測試服務(wù)器”、“確定”按鈕即可，如圖7所示。

圖7 指定ISA Server服務(wù)器地址

如果不想讓用戶指定ISA Server服務(wù)器的地址，則可以使用ISA Server提供的“自動發(fā)現(xiàn)”功能。這需要進一步的配置。

（3）在ISA Server服務(wù)器上，在“自動發(fā)現(xiàn)”選項卡中，設(shè)置使用自動發(fā)現(xiàn)的端口號。如果該ISA Server服務(wù)器沒有發(fā)布Web服務(wù)器，并且本身也沒有Web服務(wù)器，則可以使用“DNS發(fā)現(xiàn)功能”，這時，可以使用80端口。但現(xiàn)在的情況，一般ISA Server都會發(fā)布Web服務(wù)器，所以不能使用80端口，這時候可以指定其他端口（當(dāng)前服務(wù)器沒有使用的端口），例如，TCP的2501，如圖8所示。

圖8 設(shè)置DNS自動發(fā)現(xiàn)

在不使用80端口時，只能使用“DHCP”提供“ISA Server”的自動發(fā)現(xiàn)功能。

（4）切換到DHCP服務(wù)器上，右鍵單擊DHCP服務(wù)器的名稱，從彈出的快捷菜單中選擇“設(shè)置預(yù)定義的選項”，單擊“添加”按鈕，在“選項類型”對話框中，在“名稱”處鍵入大寫的WPAD，“數(shù)據(jù)類型”選擇“字符串”，“代碼”選擇252，在“描述”處鍵入http://10.10.0.1:2501/wpad.dat，然后單擊“確定”按鈕，如圖8所示。

圖8 添加WPAD選項

添加之后，右鍵單擊“服務(wù)器選項”，在彈出的“服務(wù)器 選項”中，選中添加的“252的WPAD”選項，如圖9所示。

圖9 啟用WPAD選項

【說明】還需要為每個VLAN創(chuàng)建作用域、設(shè)置作用域的地址范圍、子網(wǎng)掩碼、網(wǎng)關(guān)地址，并在“服務(wù)器選項”中，添加DNS地址為192.168.7.7，這些不一一介紹。

經(jīng)過上述設(shè)置后，每臺工作站設(shè)置“自動獲得IP地址”與“DNS”地址，同時，ISA Server的“防火墻客戶端”，就可以自動通過DHCP的WPAD選項，自動指定ISA Server服務(wù)器的地址。 #p#

3 流量控制

***，在ISA Server服務(wù)器上安裝“Bandwidth Splitter for Microsoft ISA Server”流量控制軟件，并且設(shè)置策略，為不同的用戶或者用戶組，設(shè)置不同的流量即可。有關(guān)Bandwidth Splitter for Microsoft ISA Server的使用，不做詳細介紹，下面是安裝Bandwidth Splitter for Microsoft ISA Server之后的流量監(jiān)控界面，如圖10所示。

圖10 流量監(jiān)測圖

在使用流量限制后（還可以限制并發(fā)連接數(shù)量），當(dāng)網(wǎng)絡(luò)中某人說他的計算機上網(wǎng)慢時，可以在流量控制列表中，根據(jù)顯示的“用戶名”查看該計算機的流量，以及訪問的網(wǎng)站，如果網(wǎng)絡(luò)速度慢是由于該用戶下載軟件或看視頻導(dǎo)致，則提醒該用戶。這樣，也彌補了ISA Server的不足。

4 其他設(shè)置

如果使用Web代理客戶端或者防火墻客戶端的計算機，網(wǎng)絡(luò)中有服務(wù)器，例如一些內(nèi)部網(wǎng)站服務(wù)器，則在訪問這些內(nèi)部網(wǎng)站時，不應(yīng)該使用代理服務(wù)器，這時候，可以在ISA Server上進行設(shè)置。

在ISA Server服務(wù)器上，在“內(nèi)部”屬性中，選中“直接訪問在‘域’選項卡中指定的計算機”和“直接訪問‘地址’選項卡中指定的計算機”，或者單擊“添加”按鈕，將內(nèi)網(wǎng)服務(wù)器的地址添加到“直接訪問這些服務(wù)器或域”列表中即可，如圖11所示。

圖11 需要直接訪問的地址

***，如果網(wǎng)絡(luò)中有服務(wù)器、計算機，由于使用Web代理客戶端或防火墻客戶端出現(xiàn)訪問網(wǎng)絡(luò)問題，或者有的服務(wù)器只能使用NAT的客戶端，可以將這些服務(wù)器、計算機的IP地址創(chuàng)建一個“計算機集”，單獨針對這些計算機集創(chuàng)建訪問策略，并且這些訪問策略要在其他訪問策略的前面，這些是ISA Server的使用技巧，不做過多介紹。

如果客戶端使用QQ、MSN的比較多，可以在“共享上網(wǎng)”這條策略的前面，專門開放QQ、MSN協(xié)議端口，并且不加身份驗證。這樣，客戶端使用QQ、MSN時，不需要配置代理服務(wù)器。

【編輯推薦】

1. 實現(xiàn)ISA防火墻網(wǎng)絡(luò)負載均衡的故障轉(zhuǎn)移
2. 如何利用SSH隧道穿越你的企業(yè)級防火墻