使用
ISA
限制内部用户上网,主要有两种方式,一种是通过
IP
地址限制,一种是通过身份验证限制。
ISA
默认是不允许任何内部用户访问外网的,所以我们只需要建立规则允许授权用户上网就可以了。这里我们先来探讨一下通过
IP
地址限制内部用户上网,具体操作步骤如下:
1.
建立一个上网用户的计算机集,点击“
Toolbox—Network Objects—New—Computer set
”,如下图:
2.
输入计算机集名称,点击“
Add—Computer
”,添加需要访问外网的计算机,如下图:
3.
输入计算机名称(也可以是用户名,这个名称只是用来标示该
IP
地址)和
IP
地址,点
OK
完成。如下图:
4
.将需要上网的用户都按上面的步骤添加进来,完成后点击
OK.
5.
建立允许访问的域名,点击“
Toolbox—Network Objects—Domain Name Set
”,如下图:
6.
输入域名集名称,添加允许访问的域名。点击
OK
完成。
7.
建立访问规则,点击“
Firewall Policy—New—Access Rule
”,如下图:
8.
输入规则名称,如下图:
9.
选择执行方式,因为默认是禁止的,这里我们要开放给用户使用,所以选
Allow
,如下图:
10.
在“
Protocols
”对话框中,可以按需求选择需要的协议,比如
HTTP
,
HTTPS
等,如下图:
11.
在“
Access Rule Sources
()”对话框中,选择我们刚才建立的计算机集。如下图:
12.
在“
Access Rule Destinations
()”对话框中,选择我们刚才建立的域名集,如下图:
如果不限制用户访问的站点,开通所有外部站点给用户,那么这里只要选择“
External
(外部)”就可以了。如下图:
13.
在“
User Sets
(用户设置)”对话框中也可以选择允许使用的用户,如果这里做了设置,那么就必须是属于这个用户集中的用户才能访问外网。
14.
点击
Finish
完成设置,点击
Apply
应用,策略就生效了。
另外,如果需要对访问时间进行限制,比如,只有上班的时候可以访问外网,那么只需要在刚才建立的规则上点击鼠标右键,选属性,在“
Schedule
”菜单中,按需求选择相应的时间,如下图:
对于一些安全性要求比较高的电脑,我们可能还需要对访问内容做限制,这个我们也可以通过右键刚才的策略,选择属性,然后在“
Content Types
”菜单中定义我们允许访问的内容类型。如下图:
本文转自Tonyguo 51CTO博客,原文链接:http://blog.51cto.com/tonyguo/155865,如需转载请自行联系原作者
