ISA+域用户验证= 上网



在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:

(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。

(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。

(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。

(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。

基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。

     为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。



解决思路如下:

(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。

(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。

(3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。

(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。

(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。
lufan 发表于 2009-3-4 13:20

回复 20# elton0 的帖子

使用身份验证,也可以通过组策略禁止本地用户登陆
qn0007 发表于 2009-3-17 13:28
这个强制进域,我们公司正在使用ING...
先给ISA打了补丁后,在去客户端安装ISA客户端.设置客户端的ISA,指向ISA服务的地址.在TEST,测试下,是否连接到ISA服务器.然后在ISA里做策略...限制进域才能上网...补丁之前在ISA中文网上下到的!

你可能感兴趣的:(职场,休闲)