在奥运期间,一些政府加强了上网行为监控,但传统的防火墙,只能通过IP地址进行限制。而用户很容易修改IP地址,事后也不能查找、定位用户。基于此,我采用Windows Server 2003的Active Directory、DHCP、ISA Server,将计算机加入到域、让只有加入到域的用户(每人一个用户名、密码并登录计算机)才能上网,其他用户不能上网。这样就做到了经过认证的用户才能上网,并且出了事情,可以追察到人。同时,在奥运期间,由于许多用户在线看比赛,经过实际测量,新华网的 视频,每个视频需要占用1M以上的带宽,如果一个网络中, 有20个人观看视频,会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。
在整个奥运期间,这个方案经受住了考验。
在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:
(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。
(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。
(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。
(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。
基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。
为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。
图1 网络拓扑
解决思路如下:
(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。
(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。
(3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。
(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。
(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。
为了统一起见,网络中重要服务器的参数如下:
Active Directory服务器的IP地址为192.168.7.7,ISA Server服务器的“内网”地址为10.10.0.1(三层交换机的默认路由所指定的地址),外网地址为61.182.x.y;DHCP服务器的地址为192.168.7.6(三层交换机中设置“DHCP中继代理的”地址)。所有的工作站采用192.168.1.0/24~192.168.6.0/24的网段,DNS地址设置为192.168.7.7。 #p#
在ISA Server中,使用“Web代理客户端”与“防火墙客户端”,可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。
1 使用Web代理客户端上网
(1)在网络中一台Windows Server 2003的服务器上,将DNS地址设置成127.0.0.1,运行dcpromo,将计算机升级到Active Directory。在本例中,DNS域名为jz.local。升级到域之后,按照单位的组织机构创建OU、子OU(与部门名称相同),并在子OU中创建用户,如图2所示。
图2 根据组织结构创建OU与用户
(2)将ISA Server计算机加入到域。说明,不需要将计算机成为“额外的域控制器”,只要加入域,作“成员服务器”即可。然后按照传统的方式,设置访问策略,例如“允许内网访问外网”,即在创建规则时,允许“内部”用户访问“外部”,但在设置“用户”时,将默认的“所有用户”删除,而是添加“所有域用户”或者“所有经过身份验证的用户”,如图3所示。
图3 用户规则
这样,原来的只根据IP地址的限制,变成了IP地址+用户身份限制,但我们创建策略时,允许所有“内部”的用户,这样,起决定作用的就是“用户身份”了。
(3)在“配置→网络”中,双击“内部”,在打开的“内部 属性”页中,在“Web代理”选项卡中,选中“为此网络启用Web代理客户端连接”,并且选中“启用HTTP”,如图4所示。
图4 启用Web代理并指定代理端口
设置策略之后,单击“应用”按钮,让设置生效。
(4)返回到“Active Directory”服务器上,在“Active Directory用户和计算机”中,编辑该OU所在的策略,在“用户配置→Windows设置→Internet Explorer维护→连接”中,双击右侧的“代理设置”,在弹出的对话框中,选中“启用代理服务器设置”选项,在“HTTP”文本框中键入代理服务器的地址(在本例中为10.10.0.1)与端口(本例中为8080),如图5所示。
图5 编辑策略
(5)所有的工作站,加入到域之后,以域用户登录,其IE中的代理服务器地址,将会按照图5中的进行设置,并且可以访问Internet。如果没有加入到域,则不能访问Internet。 #p#
2 防火墙客户端设置
如果网络中的工作站,使用ISA Server的防火墙客户端的方式访问外网,除了需要按照上面进行设置外,还要进行下面的工作:
(1)在“防火墙客户端”页中,选中“启用此网络的防火墙客户端支持”与“使用Web代理服务器”两个选项,并且将“ISA服务器名称或IP地址”(两处)设置为ISA Server内网的IP地址,切记,不要用计算机的名称,如图6所示。
图6 设置ISA服务器的内网IP地址
(2)在工作站上,安装ISA Server的防火墙客户端软件(在ISA Server安装光盘的“Client”文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的“”图标,在弹出的对话框中,在“设置”选项卡中,选中“手动指定的ISA服务器”文本框中,键入10.10.0.1,然后单击“测试服务器”、“确定”按钮即可,如图7所示。
图7 指定ISA Server服务器地址
如果不想让用户指定ISA Server服务器的地址,则可以使用ISA Server提供的“自动发现”功能。这需要进一步的配置。
(3)在ISA Server服务器上,在“自动发现”选项卡中,设置使用自动发现的端口号。如果该ISA Server服务器没有发布Web服务器,并且本身也没有Web服务器,则可以使用“DNS发现功能”,这时,可以使用80端口。但现在的情况,一般ISA Server都会发布Web服务器,所以不能使用80端口,这时候可以指定其他端口(当前服务器没有使用的端口),例如,TCP的2501,如图8所示。
图8 设置DNS自动发现
在不使用80端口时,只能使用“DHCP”提供“ISA Server”的自动发现功能。
(4)切换到DHCP服务器上,右键单击DHCP服务器的名称,从弹出的快捷菜单中选择“设置预定义的选项”,单击“添加”按钮,在“选项类型”对话框中,在“名称”处键入大写的WPAD,“数据类型”选择“字符串”,“代码”选择252,在“描述”处键入http://10.10.0.1:2501/wpad.dat,然后单击“确定”按钮,如图8所示。
图8 添加WPAD选项
添加之后,右键单击“服务器选项”,在弹出的“服务器 选项”中,选中添加的“252的WPAD”选项,如图9所示。
图9 启用WPAD选项
【说明】还需要为每个VLAN创建作用域、设置作用域的地址范围、子网掩码、网关地址,并在“服务器选项”中,添加DNS地址为192.168.7.7,这些不一一介绍。
经过上述设置后,每台工作站设置“自动获得IP地址”与“DNS”地址,同时,ISA Server的“防火墙客户端”,就可以自动通过DHCP的WPAD选项,自动指定ISA Server服务器的地址。 #p#
3 流量控制
***,在ISA Server服务器上安装“Bandwidth Splitter for Microsoft ISA Server”流量控制软件,并且设置策略,为不同的用户或者用户组,设置不同的流量即可。有关Bandwidth Splitter for Microsoft ISA Server的使用,不做详细介绍,下面是安装Bandwidth Splitter for Microsoft ISA Server之后的流量监控界面,如图10所示。
图10 流量监测图
在使用流量限制后(还可以限制并发连接数量),当网络中某人说他的计算机上网慢时,可以在流量控制列表中,根据显示的“用户名”查看该计算机的流量,以及访问的网站,如果网络速度慢是由于该用户下载软件或看视频导致,则提醒该用户。这样,也弥补了ISA Server的不足。
4 其他设置
如果使用Web代理客户端或者防火墙客户端的计算机,网络中有服务器,例如一些内部网站服务器,则在访问这些内部网站时,不应该使用代理服务器,这时候,可以在ISA Server上进行设置。
在ISA Server服务器上,在“内部”属性中,选中“直接访问在‘域’选项卡中指定的计算机”和“直接访问‘地址’选项卡中指定的计算机”,或者单击“添加”按钮,将内网服务器的地址添加到“直接访问这些服务器或域”列表中即可,如图11所示。
图11 需要直接访问的地址
***,如果网络中有服务器、计算机,由于使用Web代理客户端或防火墙客户端出现访问网络问题,或者有的服务器只能使用NAT的客户端,可以将这些服务器、计算机的IP地址创建一个“计算机集”,单独针对这些计算机集创建访问策略,并且这些访问策略要在其他访问策略的前面,这些是ISA Server的使用技巧,不做过多介绍。
如果客户端使用QQ、MSN的比较多,可以在“共享上网”这条策略的前面,专门开放QQ、MSN协议端口,并且不加身份验证。这样,客户端使用QQ、MSN时,不需要配置代理服务器。
【编辑推荐】
