前期工作:
按照使用ISA实现用户级验证一(
[url]http://waringid.blog.51cto.com/65148/49574[/url])
使用ISA实现用户级验证二( [url]http://waringid.blog.51cto.com/65148/49588[/url])
设置好相关参数,现在开始配置ISA2006.在本文中设置" test_it_dept"下的所有用户都可以通过代理上网,但是不允许" test\administrator"访问Google这个网站.
使用ISA实现用户级验证二( [url]http://waringid.blog.51cto.com/65148/49588[/url])
设置好相关参数,现在开始配置ISA2006.在本文中设置" test_it_dept"下的所有用户都可以通过代理上网,但是不允许" test\administrator"访问Google这个网站.
一:设置ISA的外网卡能通过DHCP获取IP
打开ISA2006,选择"查看"-"显示系统策略",加入外网网络,加入后的结果如图示:
二:建立测试用户集
选择最右边的面板-"工具箱"-"用户"-"新建"
"Test it Dept"包括用户zshan,isaadmin;
"Domain Test User"包括用户administrator
"Test it Dept"包括用户zshan,isaadmin;
"Domain Test User"包括用户administrator
三:建立测试域名集
选择最右边的面板-"工具箱"-"域名集"-"新建"
四:新建内部访问外网的访问策略
选取左边面板的"防火墙策略",在右边面板上新建访问策略,新建允许内部网络访问外部网络的策略.具体参数如图示:
五:新建禁止administrator访问google.com网站策略
注意:每新增加一条策略,要点"应用"才能生效
方法同上所示,如图:
方法同上所示,如图:
六:测试结果
以administrator登陆的结果
以isaadmin登陆的情况
PS:
所有的硬件防火墙在使用基于用户级认证的功能时都不能解决一个用户名在多台计算机上登陆的情况.所以使用软件+硬件结合的方式比较好控制.因为使用软件ISA的方法,用户的验证是在系统登陆时进行的,所以只需控制系统登陆的事件就可以了,在AD的用户中有设置"登陆到.."这个选项,可以设定每个用户只能登陆到哪些计算机或是确定为哪一台.当然,如果有更好的方法希望大家一起讨论.