ISA访问控制技巧

 

很多单位在使用ISA2006 时,都希望用ISA 对员工上网进行约束,今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同,因此我们将内容分为两部分,一部分介绍在工作组环境下如何操作,另一部分则针对域环境。
我们从工作组开始介绍,在工作组环境下,控制用户上网大多采用两种手段,IP 地址或用户身份验证,多数管理员会倾向于利用IP 控制。
工作组环境的实验拓扑如下图所示,Beijing ISA2006 服务器,Perth Istanbul 是工作组内的两台计算机。
 
  利用 IP+Arp 静态绑定
工作组环境下进行身份验证并不方便,因此管理员一般会采用IP 地址进行访问控制。根据源IP 限制访问者是包过滤防火墙的基本功能,从技术上看实现起来很简单。如果我们希望只有Perth 能上网,那我们就可以创建一个允许上网的计算机集合,然后将Perth 加入此集合即可。
ISA 服务器上打开ISA 服务器管理,在防火墙策略工具箱中选择新建“计算机集”,如下图所示。
 
为计算机集取名为“允许上网的计算机”,点击添加计算机,准备把Perth 加进来。
 
输入Perth 的名称和IP 地址,点击“确定“,这样我们就创建了一个计算机集合,集合内包括Perth
 
创建了计算机集合后,我们来修改一下访问规则,现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签,如下图所示,选择“内部”,点击“删除”,然后把刚创建的计算机集合添加进来。
 
修改后的规则如下图所示。
 
Perth 上访问百度,一切正常,如下图所示。
 
换到Istanbul 上访问,如下图所示,Istanbul 无法访问Internet
 
看起来我们达到了用IP 控制用户上网的目的,问题已经解决,其实不然。由于目前ISA 只是依靠IP 地址进行访问控制,过不了多久,ISA 管理员就会发现有“聪明”人开始盗用IP ,冒充合法用户访问外网。为了应对这种情况,我们可以考虑使用ARP 静态绑定来解决这个问题,即在ISA 服务器上记录合法客户机的MAC 地址。在本例中,我们让ISA 记录Perth MAC 地址。如下图所示,ISA ping Perth ,然后用Arp –a 查出Perth MAC 地址,最后用Arp –s 进行静态绑定,这样就不用担心用户盗用IP 了。
 
用户身份验证
工作组环境下进行用户身份验证并不方便,但不等于无法进行用户身份验证,在工作组中进行身份验证可以使用镜像账号的方式,即在ISA 服务器和客户机上创建用户名和口令都完全一致的用户账号。例如我们允许员工张强访问外网,张强使用的计算机是Istanbul ,那我们可以进行如下操作。
A ISA 服务器上为张强创建用户账号
ISA 的计算机管理中,定位本地用户和组,如下图所示,选择创建新用户。
 
用户名为zhangqiang ,口令为Itet2008
 
B ISA 服务器上创建允许上网的用户集
在防火墙策略工具箱中,展开用户,如下图所示,点击新建。
 
为新建用户集取名为“允许上网用户”。
 
在新创建的用户集中添加“Windows 用户和组”,如下图所示。
 
在用户集中添加beijing\zhangqiang ,如下图所示。
 
创建完用户集,点击完成。
 



接下来我们要修改访问规则,只允许指定用户集访问外网。还是对那条允许内网用户任意访问的访问规则进行修改,这次不修改访问的源网络了,如下图所示,我们对源网络不进行任何限制。

 
这次限制的重点放在了用户上,在规则属性中切换到用户标签,将“所有用户”删除。
 
将“允许上网用户”添加进来,如下图所示。
 
D Istanbul 上创建张强的镜像账号
现在内网的访问用户必须向ISA 证明自己是ISA 服务器上的用户张强才能被允许访问外网,那怎么才能证明呢?其实很简单,只要客户机上的某个用户账号,其用户名和口令和ISA 服务器上张强的用户名和口令完全一致,ISA 就会认为这两个账号是同一用户。这里面涉及到集成验证中的NTLM 原理,以后我会写篇博文发出来,现在大家只要知道如何操作就可以了。
Istanbul 上创建用户账号张强,如下图所示,用户名为zhangqiang ,口令为Itet2008
 
做完上述工作后,我们就可以在Istanbul 来试验一下了。首先,我们需要以张强的身份登录,其次,由于SNAT 不支持用户验证,因此我们测试时需使用Web 代理或防火墙客户端。 如下图所示,我们在客户机上使用Web 代理。
 
Istanbul 上访问百度,如下图所示,访问成功!
 
ISA 上打开实时日志,如下图所示,ISA 认为是本机的张强用户在访问,镜像账号起作用了!
 
Web 代理与基本身份验证
在上面的镜像账号例子中,访问者利用了集成验证证明了自己的身份,其实ISA 也支持基本身份验证。曾经有朋友问过这个问题,ISA 能否在用户使用浏览器上网时弹出一个窗口,访问者必须答对用户名和口令才可以上网?这个需求是可以满足的,只要访问者使用Web 代理以及我们将Web 代理的身份验证方法改为基本身份验证即可。
ISA 服务器中查看内部网络属性,如下图所示,切换到Web 代理标签,点击“身份验证”。
 
Web 代理使用的身份验证方式从“集成”改为“基本”,如下图所示。
 
防火墙策略生效后,在客户机上测试一下,如下图所示,客户机访问互联网时,ISA 弹出对话框要求输入用户名和口令进行身份验证,我们输入了张强的用户名和口令。
 
身份验证通过,用户可以访问互联网了!
 
以上我们简单介绍了如何在工作组环境下控制用户上网,接下来我们要考虑在域环境下如何操作。相比较工作组而言,域环境下控制用户上网是很容易做到的,既然有域控制器负责集中的用户身份验证,既方便又安全,如果不加以利用岂不太过可惜。在域环境下控制用户上网基本都是依靠用户身份验证,除了有极个别的SNAT 用户我们需要用IP 控制。具体的处理思路也很简单,在域中创建一个全局组,例如取名为Internet Access 。然后将允许上网的域用户加入此全局组,最后在ISA 中创建一个允许访问互联网的用户集,把全局组Internet Access 加入允许访问互联网的用户集即可。
域环境拓扑如下图所示,Denver 是域控制器和DNS 服务器,Perth 是域内工作站,Beijing 是加入域的ISA2006 服务器。
 
DNS 设置问题
ISA 有两块网卡,两块网卡上究竟应该怎么设置TCP/IP 参数,尤其是DNS 应该怎么设置?这是个容易被忽略但又很重要的问题,因为DNS 既负责定位内网的域控制器,也要负责解析互联网上的域名,设置不好轻则影响内网登录,重则严重影响大家上网的速度。我们推荐的设置方式是只在内网网卡设置DNS ,外网网卡不设置DNS 服务器。
在本例中,ISA 服务器的内网网卡的TCP/IP 参数是 IP 10.1.1.254 ,子网掩码为255.255.255.0 DNS 10.1.1.5 ;外网网卡的TCP/IP 参数是IP 192.168.1.254 ,子网掩码为255.255.255.0 ,网关为192.168.1.1 。这样一来,内网的DNS 既负责为AD 提供SRV 记录,也负责解析互联网上的域名,结构简单,易于纠错。
有朋友认为只有电信提供的DNS 服务器才能解析互联网上的域名,这种看法是不对的。我们在内网中搭建的DNS 服务器只要能访问互联网,它就可以解析互联网上的所有域名。根据DNS 原理分析,如果DNS 服务器遇到一个域名自己无法解析,它就会把这个解析请求送到根服务器,根服务器采用迭代方式指导DNS 服务器解析出目标域名。因此,想要内网的DNS 服务器能解析出互联网上的域名,只要允许内网DNS 服务器能访问互联网即可。
A 我们应该在 ISA 上创建一条访问规则,允许 DNS 服务器任意访问,并且将这条规则放到第一位,如下图所示。
B 为了提高 DNS 的解析速度,可以考虑在 DNS 服务器上设置转发器,将用户发来的 DNS 解析请求转发到电信的 DNS 服务器上。
转发器的设置如下,在Denver 上打开DNS 管理器,右键点击服务器,选择“属性”,如 下图所示。
在属性中切换到“转发器”,在转发器IP 地址处填写电信DNS 服务器的IP ,填写完毕后点击添加,如下图所示。这样我们就设置好了转发器,以后Denver 解析不了的域名将转发给202.106.46.151 ,利用电信DNS 的缓存来加快解析速度。
 
依靠身份验证限制用户
解决了DNS 的问题后,我们就可以利用身份验证来限制用户访问了。
A 创建允许访问互联网的全局组
在域控制器上打开“Active Directory 用户和计算机”,如下图所示,在Users 容器中选择新建组。
组的名称为Internet Access ,组的类型为全局组。
 
如下图所示,点击完成结束组的创建。
 
我们只需将允许访问互联网的用户加入Internet Access 即可,如下图所示。
 
 
B 创建允许访问互联网的用户集
ISA 服务器防火墙策略的工具箱中展开用户,如下图所示,选择“新建”。
 
启动用户集创建向导,为用户集取个名字。
 
在用户集中选择添加“Windows 用户和组”,如下图所示。
 
我们将查找位置设为“整个目录”,对象名称输入“Internet Access ”,如下图所示。
 
确定将Contoso.com 域中的Internet Access 组加入新创建的用户集。
 
完成用户集的创建。
 
C 修改访问规则
创建完用户集后,我们修改访问规则,ISA 原先有一条访问规则允许内网用户任意访问,我们对规则进行修改,限制只有特定用户集的成员才可以访问外网。
在访问规则属性中切换到“用户”标签,如下图所示,删除“所有用户”集合。
 
点击添加,将“允许访问互联网的用户”加进来,如下图所示。
 
这样就相当于ISA 服务器将访问互联网的权限赋予了Internet Access 组,凡是加入组的用户都将继承到这个权限,他们通过ISA 访问互联网时将不会遇到任何障碍,也不会被提示输入口令进行身份验证,您看,在域环境下用户的透明验证是不是真的很方便呢?
 
总结:限制用户访问外网是 ISA 管理员经常遇到的管理需求,一般情况下不是用 IP 就是靠身份验证,身份验证在域中实现易如反掌,在工作组中实现就要靠镜像账号了。

你可能感兴趣的:(职场,休闲,ISA,访问控制技巧)