在奧運(yùn)期間，一些政府加強(qiáng)了上網(wǎng)行為監(jiān)控，但傳統(tǒng)的防火墻，只能通過IP地址進(jìn)行限制。而用戶很容易修改IP地址，事后也不能查找、定位用戶?；诖?，我采用Windows Server 2003的Active Directory、DHCP、ISA Server，將計(jì)算機(jī)加入到域、讓只有加入到域的用戶（每人一個(gè)用戶名、密碼并登錄計(jì)算機(jī)）才能上網(wǎng)，其他用戶不能上網(wǎng)。這樣就做到了經(jīng)過認(rèn)證的用戶才能上網(wǎng)，并且出了事情，可以追察到人。同時(shí)，在奧運(yùn)期間，由于許多用戶在線看比賽，經(jīng)過實(shí)際測量，新華網(wǎng)的 視頻，每個(gè)視頻需要占用1M以上的帶寬，如果一個(gè)網(wǎng)絡(luò)中， 有20個(gè)人觀看視頻，會(huì)占用大量的網(wǎng)絡(luò)帶寬。采用Bandwidth_Splitter限制每個(gè)用戶帶寬在350K以內(nèi)。

在整個(gè)奧運(yùn)期間，這個(gè)方案經(jīng)受住了考驗(yàn)。

在大多數(shù)單位，都是通過限制工作站的IP地址，控制其上網(wǎng)行為，例如，根據(jù)部門、人員的不同，為其分配不同的地址或者地址段，在防火墻（或代理服務(wù)器）中設(shè)置上網(wǎng)策略。但這樣的設(shè)置，存在一些問題：

（1）因?yàn)橹谰W(wǎng)管對(duì)IP地址進(jìn)行了限制，所以一些員工會(huì)將自己的IP地址改成不受限制的IP地址，以避開限制。這樣，經(jīng)常造成網(wǎng)絡(luò)地址的沖突。

（2）為了解決員工隨意修改IP地址的問題，需要將IP地址與MAC地址綁定。但這樣需要對(duì)三層交換機(jī)進(jìn)行調(diào)試，這樣會(huì)增加網(wǎng)管的負(fù)擔(dān)。另外，現(xiàn)在修改網(wǎng)卡的MAC地址也是非常容易的，這也不是解決問題的最終方法。

（3）如果只是通過IP地址限制上網(wǎng)，由于現(xiàn)在的筆記本電腦很多。如果外來人員，將隨身攜帶的筆記本接入網(wǎng)絡(luò)，設(shè)置一個(gè)IP地址，就可以訪問外網(wǎng)，這樣可能引發(fā)問題。

（4）當(dāng)網(wǎng)絡(luò)出現(xiàn)問題時(shí)，如果只是基于IP地址進(jìn)行排查，不容易定位故障源：因?yàn)镮P地址是可以隨意設(shè)置的。

基于此，這種傳統(tǒng)的、基于IP地址進(jìn)行限制的上網(wǎng)行為，需要做出改進(jìn)。

為了解決上述問題，本文介紹聯(lián)合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的綜合解決方案，達(dá)到讓指定的用戶、在指定的時(shí)間、以指定的流量、訪問指定的網(wǎng)絡(luò)，本方案對(duì)用戶身份進(jìn)行驗(yàn)證，不對(duì)IP進(jìn)行限制。即使用戶修改IP地址，也不會(huì)避開限制。本方案網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 網(wǎng)絡(luò)拓?fù)?/P>

解決思路如下：

（1）在網(wǎng)絡(luò)中需要有一臺(tái)Windows Server 2003的服務(wù)器，升級(jí)到Active Directory（域），用于提供身份驗(yàn)證。所有的工作站需要加入該域。ISA Server是該域的“成員服務(wù)器”。

（2）網(wǎng)絡(luò)中提供一臺(tái)DHCP服務(wù)器，為工作站自動(dòng)分配TCP/IP地址（可選）。

（3）在ISA Server中，創(chuàng)建訪問策略時(shí)，采用“身份驗(yàn)證”方式，沒有經(jīng)過身份驗(yàn)證的計(jì)算機(jī)不能訪問指定的網(wǎng)絡(luò)（一般是訪問Internet）。

（4）因?yàn)镮SA Server 2004、ISA Server 2006沒有提供“流量”限制功能，可以采用第三方的軟件“Bandwidth Splitter for Microsoft ISA Server”軟件，提供流量限制功能。

（5）所有的工作站，在訪問Internet時(shí)，需要采用“Web代理方式”或“ISA Server的防火墻客戶端”，否則不能通過“身份驗(yàn)證”，也就不能訪問外網(wǎng)。

為了統(tǒng)一起見，網(wǎng)絡(luò)中重要服務(wù)器的參數(shù)如下：

Active Directory服務(wù)器的IP地址為192.168.7.7，ISA Server服務(wù)器的“內(nèi)網(wǎng)”地址為10.10.0.1（三層交換機(jī)的默認(rèn)路由所指定的地址），外網(wǎng)地址為61.182.x.y；DHCP服務(wù)器的地址為192.168.7.6（三層交換機(jī)中設(shè)置“DHCP中繼代理的”地址）。所有的工作站采用192.168.1.0/24～192.168.6.0/24的網(wǎng)段，DNS地址設(shè)置為192.168.7.7。 #p#

在ISA Server中，使用“Web代理客戶端”與“防火墻客戶端”，可以通過身份驗(yàn)證。下面分別介紹一下這兩種客戶端的設(shè)置方法。

1 使用Web代理客戶端上網(wǎng)

（1）在網(wǎng)絡(luò)中一臺(tái)Windows Server 2003的服務(wù)器上，將DNS地址設(shè)置成127.0.0.1，運(yùn)行dcpromo，將計(jì)算機(jī)升級(jí)到Active Directory。在本例中，DNS域名為jz.local。升級(jí)到域之后，按照單位的組織機(jī)構(gòu)創(chuàng)建OU、子OU（與部門名稱相同），并在子OU中創(chuàng)建用戶，如圖2所示。

圖2 根據(jù)組織結(jié)構(gòu)創(chuàng)建OU與用戶

（2）將ISA Server計(jì)算機(jī)加入到域。說明，不需要將計(jì)算機(jī)成為“額外的域控制器”，只要加入域，作“成員服務(wù)器”即可。然后按照傳統(tǒng)的方式，設(shè)置訪問策略，例如“允許內(nèi)網(wǎng)訪問外網(wǎng)”，即在創(chuàng)建規(guī)則時(shí)，允許“內(nèi)部”用戶訪問“外部”，但在設(shè)置“用戶”時(shí)，將默認(rèn)的“所有用戶”刪除，而是添加“所有域用戶”或者“所有經(jīng)過身份驗(yàn)證的用戶”，如圖3所示。

圖3 用戶規(guī)則

這樣，原來的只根據(jù)IP地址的限制，變成了IP地址+用戶身份限制，但我們創(chuàng)建策略時(shí)，允許所有“內(nèi)部”的用戶，這樣，起決定作用的就是“用戶身份”了。

（3）在“配置→網(wǎng)絡(luò)”中，雙擊“內(nèi)部”，在打開的“內(nèi)部 屬性”頁中，在“Web代理”選項(xiàng)卡中，選中“為此網(wǎng)絡(luò)啟用Web代理客戶端連接”，并且選中“啟用HTTP”，如圖4所示。

圖4 啟用Web代理并指定代理端口

設(shè)置策略之后，單擊“應(yīng)用”按鈕，讓設(shè)置生效。

（4）返回到“Active Directory”服務(wù)器上，在“Active Directory用戶和計(jì)算機(jī)”中，編輯該OU所在的策略，在“用戶配置→Windows設(shè)置→Internet Explorer維護(hù)→連接”中，雙擊右側(cè)的“代理設(shè)置”，在彈出的對(duì)話框中，選中“啟用代理服務(wù)器設(shè)置”選項(xiàng)，在“HTTP”文本框中鍵入代理服務(wù)器的地址（在本例中為10.10.0.1）與端口（本例中為8080），如圖5所示。

圖5 編輯策略

（5）所有的工作站，加入到域之后，以域用戶登錄，其IE中的代理服務(wù)器地址，將會(huì)按照?qǐng)D5中的進(jìn)行設(shè)置，并且可以訪問Internet。如果沒有加入到域，則不能訪問Internet。 #p#

2 防火墻客戶端設(shè)置

如果網(wǎng)絡(luò)中的工作站，使用ISA Server的防火墻客戶端的方式訪問外網(wǎng)，除了需要按照上面進(jìn)行設(shè)置外，還要進(jìn)行下面的工作：

（1）在“防火墻客戶端”頁中，選中“啟用此網(wǎng)絡(luò)的防火墻客戶端支持”與“使用Web代理服務(wù)器”兩個(gè)選項(xiàng)，并且將“ISA服務(wù)器名稱或IP地址”（兩處）設(shè)置為ISA Server內(nèi)網(wǎng)的IP地址，切記，不要用計(jì)算機(jī)的名稱，如圖6所示。

圖6 設(shè)置ISA服務(wù)器的內(nèi)網(wǎng)IP地址

（2）在工作站上，安裝ISA Server的防火墻客戶端軟件（在ISA Server安裝光盤的“Client”文件夾中，可以用組策略發(fā)布該軟件）。安裝好后，雙擊右下角的“”圖標(biāo)，在彈出的對(duì)話框中，在“設(shè)置”選項(xiàng)卡中，選中“手動(dòng)指定的ISA服務(wù)器”文本框中，鍵入10.10.0.1，然后單擊“測試服務(wù)器”、“確定”按鈕即可，如圖7所示。

圖7 指定ISA Server服務(wù)器地址

如果不想讓用戶指定ISA Server服務(wù)器的地址，則可以使用ISA Server提供的“自動(dòng)發(fā)現(xiàn)”功能。這需要進(jìn)一步的配置。

（3）在ISA Server服務(wù)器上，在“自動(dòng)發(fā)現(xiàn)”選項(xiàng)卡中，設(shè)置使用自動(dòng)發(fā)現(xiàn)的端口號(hào)。如果該ISA Server服務(wù)器沒有發(fā)布Web服務(wù)器，并且本身也沒有Web服務(wù)器，則可以使用“DNS發(fā)現(xiàn)功能”，這時(shí)，可以使用80端口。但現(xiàn)在的情況，一般ISA Server都會(huì)發(fā)布Web服務(wù)器，所以不能使用80端口，這時(shí)候可以指定其他端口（當(dāng)前服務(wù)器沒有使用的端口），例如，TCP的2501，如圖8所示。

圖8 設(shè)置DNS自動(dòng)發(fā)現(xiàn)

在不使用80端口時(shí)，只能使用“DHCP”提供“ISA Server”的自動(dòng)發(fā)現(xiàn)功能。

（4）切換到DHCP服務(wù)器上，右鍵單擊DHCP服務(wù)器的名稱，從彈出的快捷菜單中選擇“設(shè)置預(yù)定義的選項(xiàng)”，單擊“添加”按鈕，在“選項(xiàng)類型”對(duì)話框中，在“名稱”處鍵入大寫的WPAD，“數(shù)據(jù)類型”選擇“字符串”，“代碼”選擇252，在“描述”處鍵入http://10.10.0.1:2501/wpad.dat，然后單擊“確定”按鈕，如圖8所示。

圖8 添加WPAD選項(xiàng)

添加之后，右鍵單擊“服務(wù)器選項(xiàng)”，在彈出的“服務(wù)器 選項(xiàng)”中，選中添加的“252的WPAD”選項(xiàng)，如圖9所示。

圖9 啟用WPAD選項(xiàng)

【說明】還需要為每個(gè)VLAN創(chuàng)建作用域、設(shè)置作用域的地址范圍、子網(wǎng)掩碼、網(wǎng)關(guān)地址，并在“服務(wù)器選項(xiàng)”中，添加DNS地址為192.168.7.7，這些不一一介紹。

經(jīng)過上述設(shè)置后，每臺(tái)工作站設(shè)置“自動(dòng)獲得IP地址”與“DNS”地址，同時(shí)，ISA Server的“防火墻客戶端”，就可以自動(dòng)通過DHCP的WPAD選項(xiàng)，自動(dòng)指定ISA Server服務(wù)器的地址。 #p#

3 流量控制

***，在ISA Server服務(wù)器上安裝“Bandwidth Splitter for Microsoft ISA Server”流量控制軟件，并且設(shè)置策略，為不同的用戶或者用戶組，設(shè)置不同的流量即可。有關(guān)Bandwidth Splitter for Microsoft ISA Server的使用，不做詳細(xì)介紹，下面是安裝Bandwidth Splitter for Microsoft ISA Server之后的流量監(jiān)控界面，如圖10所示。

圖10 流量監(jiān)測圖

在使用流量限制后（還可以限制并發(fā)連接數(shù)量），當(dāng)網(wǎng)絡(luò)中某人說他的計(jì)算機(jī)上網(wǎng)慢時(shí)，可以在流量控制列表中，根據(jù)顯示的“用戶名”查看該計(jì)算機(jī)的流量，以及訪問的網(wǎng)站，如果網(wǎng)絡(luò)速度慢是由于該用戶下載軟件或看視頻導(dǎo)致，則提醒該用戶。這樣，也彌補(bǔ)了ISA Server的不足。

4 其他設(shè)置

如果使用Web代理客戶端或者防火墻客戶端的計(jì)算機(jī)，網(wǎng)絡(luò)中有服務(wù)器，例如一些內(nèi)部網(wǎng)站服務(wù)器，則在訪問這些內(nèi)部網(wǎng)站時(shí)，不應(yīng)該使用代理服務(wù)器，這時(shí)候，可以在ISA Server上進(jìn)行設(shè)置。

在ISA Server服務(wù)器上，在“內(nèi)部”屬性中，選中“直接訪問在‘域’選項(xiàng)卡中指定的計(jì)算機(jī)”和“直接訪問‘地址’選項(xiàng)卡中指定的計(jì)算機(jī)”，或者單擊“添加”按鈕，將內(nèi)網(wǎng)服務(wù)器的地址添加到“直接訪問這些服務(wù)器或域”列表中即可，如圖11所示。

圖11 需要直接訪問的地址

***，如果網(wǎng)絡(luò)中有服務(wù)器、計(jì)算機(jī)，由于使用Web代理客戶端或防火墻客戶端出現(xiàn)訪問網(wǎng)絡(luò)問題，或者有的服務(wù)器只能使用NAT的客戶端，可以將這些服務(wù)器、計(jì)算機(jī)的IP地址創(chuàng)建一個(gè)“計(jì)算機(jī)集”，單獨(dú)針對(duì)這些計(jì)算機(jī)集創(chuàng)建訪問策略，并且這些訪問策略要在其他訪問策略的前面，這些是ISA Server的使用技巧，不做過多介紹。

如果客戶端使用QQ、MSN的比較多，可以在“共享上網(wǎng)”這條策略的前面，專門開放QQ、MSN協(xié)議端口，并且不加身份驗(yàn)證。這樣，客戶端使用QQ、MSN時(shí)，不需要配置代理服務(wù)器。

【編輯推薦】

1. 實(shí)現(xiàn)ISA防火墻網(wǎng)絡(luò)負(fù)載均衡的故障轉(zhuǎn)移
2. 如何利用SSH隧道穿越你的企業(yè)級(jí)防火墻