实验拓朴如下图:
查看ISA Server上的IP地址:
创建域帐户:
内部客户机配置为Web Proxy客户端:
新建拒绝访问外网的用户集:
键入用户集名称:
添加用户:
将test_1添加:
新建访问规则,用来拒绝用户对外网的访问:
键入访问规则名称:
选择“所有出站通讯”:
添加“访问规则源”:
添加“访问规则目标”:
添加“用户集”,将“所有用户”删除:
将之前新建的用户集new_deny添加进来:
这时我们的一条规则便建好了,点击“应用”保存这一规则:
以test_1用户身份登录域中,查验是否可访问外部网络:
使用IP地址来禁止内部用户访问外网:
将内部客户机配置为SecureNAT客户端:
使用test_1登录计算机进行测试能否访问外部网站:
该用户无法访问外部网站。
用test_2登录域中计算机查验是否访问外部网站:
同样也无法访问(因为ISA防火墙默认进行了阻止)。
我们若要使test_2允许访问外网,则设置如下规则:
将HTTP、DNS协议添加进来:
添加源为内部:
添加目标为外部:
我这里使用默认设置(所有用户均可以使用走向外部的DNS、HTTP协议):
完成之后,将新建的允许规则下移(使前面建的规则优先使用):
应用其规则:
再使用test_2进行外部网站的访问:
成功了,当然这时若使用test_1帐户登录进行外部Web站点的访问还是拒绝的。
注意:如果不成功可以考虑在客户机上安装ISA Server 2004客户端软件(若服务器已经安装ISA客户端软件共享程序,则直接以ISA为文件服务器访问它,运行安装客户端程序)
使用IP地址来禁止内部用户访问外网:
上面设置的规则已经可以进行外部Web网站,这时我们可以设置规则将其禁止访问外部Web:
同样键入规则名称:
将DNS、HTTP协议添加进来:
添加访问规则源:
新建计算机集:
将新建的计算机集添加进来:
目标选择为外部:
用户集,这里选择默认的所有用户:
完成之后,点击“应用”保存设置:
再次使用test_2进行访问外部Web网站:
这时我们的拒绝规则起到作用了,实验成功完成了喽!
本文转自 tomsjack 51CTO博客,原文链接:http://blog.51cto.com/tom110/191583
