ISA+域用户验证= 上网
2009-08-04 14:53
127 查看
在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:
(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。
(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。
(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。
(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。
基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。
为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。
解决思路如下:
(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。
(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。
(3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。
(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。
(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。
lufan 发表于 2009-3-4 13:20
qn0007 发表于 2009-3-17 13:28这个强制进域,我们公司正在使用ING...
先给ISA打了补丁后,在去客户端安装ISA客户端.设置客户端的ISA,指向ISA服务的地址.在TEST,测试下,是否连接到ISA服务器.然后在ISA里做策略...限制进域才能上网...补丁之前在ISA中文网上下到的!
(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。
(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。
(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。
(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。
基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。
为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。
解决思路如下:
(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。
(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。
(3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。
(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。
(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。
lufan 发表于 2009-3-4 13:20
回复 20# elton0 的帖子
使用身份验证,也可以通过组策略禁止本地用户登陆qn0007 发表于 2009-3-17 13:28这个强制进域,我们公司正在使用ING...
先给ISA打了补丁后,在去客户端安装ISA客户端.设置客户端的ISA,指向ISA服务的地址.在TEST,测试下,是否连接到ISA服务器.然后在ISA里做策略...限制进域才能上网...补丁之前在ISA中文网上下到的!
相关文章推荐
- ISA限制用户上网的技巧:ISA2006系列之八
- 使用ISA实现用户级验证(1~3篇)
- 使用ISA实现用户级验证完成篇
- ISA限制用户上网的技巧
- windows权限之ISA限制用户上网的技巧
- [技术分享] ISA/TMG 是否支持基于 AD LDS 的用户验证
- ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
- [技术分享 - ISA 篇] 给我用户验证,安全免谈?!
- 使用ISA实现用户级验证一
- 使用ISA实现用户级验证二
- ISA限制用户上网的技巧
- ISA限制用户上网的技巧(八)
- ISA限制用户上网的技巧:ISA2006系列之八
- How to : 使用身份验证来禁止内部用户上网
- ISA2004使用IP地址限制内部用户上网
- 电子相册系统(八)验证用户是否可用
- angular用户注册及密码一致性验证