最近公司要求对员工访问的网站进行限制,只允许使用指定的网站,于是应ISA的url集进行了设置。
 
具体要求是这样的:所有员工只允许访问指定网站,且可以正常使用skype和邮件,不允许上QQ,部分经理级的要求无限制。
公司的网络结构是:外网---ISA---内网,内网为工作组模式。
因为以前没有研究过ISA,所以感觉比较棘手,我觉得对于做网络的人来说,不会不要紧,只要好学,因为谁都不可能所有的网络应用都很精通,另外网上的热心人很多,他们无私的贡献出自己的经验分享给我们,正是靠着强大的互联网和热心人的奉献,我基本上实现了要求,具体过程如下:
首先配置ISA网卡:
ISA双网卡,一条连外网,网卡设置为电信给的数据(IP、掩码、网关、DNS),内网卡只配IP和掩码,IP与内网IP为同一网段,我配的只192.168.16.1,因为以前没有ISA的时候大家电脑的网管都设置的是192.168.16.1,想采用SNAT客户端代理,免得还要改网关,麻烦。。。
设好网卡就是配ISA了,过程如下:
一、开通所有人员到指定的URL集,因为ISA默认的规则是禁止所有协议从所有网络到所有网络,也就是什么都不允许,那我就加了一条允许--所有协议--内部---URL集-所有用户的协议,url集里添上需要开通的网站,包括邮箱客户端使用的pop3和smtp的网址,如果这里填写的是IP地址,最好新建一个计算机,IP填写为邮件服务器的IP,一起加到“到”的里面,与URL并列,其他需要访问的也可以一起添加进来,这里想说的是DNS,因为我们公司内部没有DNS服务器,全部填写的是电信给的DNS,所以这里也要把DNS服务器也一起添加进来。
二、允许skype,因为刚才那么设置一下还不能保证skype使用,因为skype采用的p2p的模式,没有固定的服务器,所以没法采用允许到skype服务器的方式,查找资料得出,skype可以采用443端口出入,443端口也就是https的协议的端口,所以再加了一条,允许--https协议--内部--外部--所有用户,测试skype可以登录了
三、禁用QQ,禁用QQ是采用了 http://hongwei.blog.51cto.com/533436/114979这篇博文的方法,建立QQ服务器的IP范围,将其禁用,再建立udp8000端口封堵协议,将其禁用
 
 
 
 
还有一篇也比较好,有兴趣的也可以看看 http://zhangzhengtao.blog.51cto.com/374502/86831
四、部分人员不限制,首先在ISA上新建计算机,IP填允许的那些人的IP,或者提前就将这些人划分在一个IP段里,在ISA上建一个地址范围也可以,然后建立策略允许--所有协议---计算机或地址范围--外网--所有用户。
设置完毕,但还有一个顺序的问题,我的顺序从上到下是不限制策略-----skype策略--禁用QQ策略---限制访问策略,我发现如果将禁用QQ策略放到最后,限制访问的员工QQ可以登录。
 
ISA url集设置的一点心得:
1.网址前边不能有空格
2.网址结尾不要有/,要不然/后面的将打不开,比如输入了 http://www.19lou.com/,则 http://www.19lou.com/home.sap将打不开,可以设置为 http://www.19lou.com或者 http://www.19lou.com/*
3.如果该网站有好几个主机名,比如 www.163.com和mail.163.com,那就直接设置为 http://*.163.com
4.如果网站的主机名和后面的后缀部分都变,那就直接设为*.xxxxx.*
以上设置的过程也许还有很多不足,比如安全性或者漏洞。但是对于我们公司来说已经可以可,不足的地方欢迎指出,大家一起讨论。