控制内网用户访问外网

案例的所有实验。

实验名称：	控制内网用户访问外网
涉及课程章节	NSS 第 4 章
涉及知识点	1． ISA Server 策略元素 2． 防火墙策略的作用 3． 防火墙策略的设定 4． ISA 客户端的 3 种类型
实验描述	1 ．使用身份验证来禁止内部用户访问外网 2 ．使用 IP 地址禁止内部用户访问外网
实验拓扑
实验步骤	三台虚拟机的网络参数如下： 1 ． ISA Server （域中计算机） 内网 IP ： 10.0.0.2/24  外网 IP ： 192.168.3.99/24   2 ． DC （内网域控制器） IP ： 10.0.0.1/24   3 ．外网 WEB 站点 IP ： 192.168.3.45/24   任务一：使用身份验证来禁止内部用户访问外网 一．准备工作 1 ．在 10.0.0.2 上正确安装 ISA Server 2 ．在 DC 创建两个域用户账号： USER1 、 USER2   二．将内网计算机配置为 Web Proxy 客户端 1 ．打开 IE 浏览器，点击“工具”――“ Internet 选项”命令。 2 ．选择“连接”选项下的“局域网设置”，勾选“为 LAN 使用代理服务器”复选框，并在地址栏里输入 10.0.0.2 ，端口为 8080 。 三．新建被拒绝访问外网的用户集     1 ．单击“防火墙策略”，在右侧工具栏中选择“用户集”，然后单击“新建”。     2 ．把用户集命名为“ deny ”，单击“下一步”按钮。     3 ．在“用户”页单击“添加”按钮，再弹出的小窗口中单击“ windows 用户和组”。     4 ．单击“高级”、“查找”，选择“ user1 ”用户，点击“确定”完成操作。 四．新建访问规则，用来拒绝 user1 账号访问外网     1 ．右击“防火墙策略”，选择“新建”―“访问规则”命令，命名规则为“ deny_user1 ”。     2 ．规则动作选择“阻止”，从“内部”到“外部”，并在用户集中选择上一步中创建的“ deny ”用户集。     3 ．完成策略创建之后选择“应用”按钮，使策略生效。 五．验证对用户的控制效果     1 ．以 user1 登陆 DC ，访问外网 WEB 站点，看是否可以正常访问。     2 ．以 user2 登陆 DC ，访问外网 WEB 站点，看是否可以正常访问。     3 ．在“会话”监视面板中查看被允许和拒绝的会话。   任务二：使用IP 地址来禁止内部用户访问外网 一、实验准备     1 ．右击上个实验中制定的“ deny_user1 ”策略，选择“删除”。 二、新建拒绝访问外网的计算机集     1 ．单击“防火墙策略”的右侧工具栏中“计算机集”，然后点击“新建”     2 ．给新建计算机机起名字为“ deny_computer ”，单击“添加”按钮，选择“计算机”。     3 ．输入计算机名 DC 和对应的 IP 地址“ 10.0.0.1 ”，单击“确定”。 三．新建访问规则，拒绝选定计算机对外网的访问。     1 ．右击“防火墙策略”，选择“新建”―“访问规则”命令，输入规则名“ deny ”     2 ．动作选择“阻止”，从内网到外网所有通信，然后在计算机集中选择“ deny_computer ”。     3 ．单击“应用”是策略生效。     4 ．从 DC 上访问外网 WEB 站点，看是否能正常访问。     5 ．把 DC 更改成 SecueNAT 客户端，再次尝试访问外网站点。   实验完成
实验结论	实验让学员切实掌握了 ISA Server 防火墙策略的制定方法和实际用途，同时对不同客户端类型对策略制定的影响有了明确的认识，掌握了基本的对内网计算机的控制方法。