ISA+域用户验证= 上网

在大多数单位，都是通过限制工作站的IP地址，控制其上网行为，例如，根据部门、人员的不同，为其分配不同的地址或者地址段，在防火墙（或代理服务器）中设置上网策略。但这样的设置，存在一些问题：

（1）因为知道网管对IP地址进行了限制，所以一些员工会将自己的IP地址改成不受限制的IP地址，以避开限制。这样，经常造成网络地址的冲突。

（2）为了解决员工随意修改IP地址的问题，需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试，这样会增加网管的负担。另外，现在修改网卡的MAC地址也是非常容易的，这也不是解决问题的最终方法。

（3）如果只是通过IP地址限制上网，由于现在的笔记本电脑很多。如果外来人员，将随身携带的笔记本接入网络，设置一个IP地址，就可以访问外网，这样可能引发问题。

（4）当网络出现问题时，如果只是基于IP地址进行排查，不容易定位故障源：因为IP地址是可以随意设置的。

基于此，这种传统的、基于IP地址进行限制的上网行为，需要做出改进。

为了解决上述问题，本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案，达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络，本方案对用户身份进行验证，不对IP进行限制。即使用户修改IP地址，也不会避开限制。本方案网络拓扑如图1所示。

解决思路如下：

（1）在网络中需要有一台Windows Server 2003的服务器，升级到Active Directory（域），用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。

（2）网络中提供一台DHCP服务器，为工作站自动分配TCP/IP地址（可选）。

（3）在ISA Server中，创建访问策略时，采用“身份验证”方式，没有经过身份验证的计算机不能访问指定的网络（一般是访问Internet）。

（4）因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能，可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件，提供流量限制功能。

（5）所有的工作站，在访问Internet时，需要采用“Web代理方式”或“ISA Server的防火墙客户端”，否则不能通过“身份验证”，也就不能访问外网。
lufan 发表于 2009-3-4 13:20

回复 20# elton0 的帖子

使用身份验证，也可以通过组策略禁止本地用户登陆
qn0007 发表于 2009-3-17 13:28这个强制进域，我们公司正在使用ＩＮＧ．．．
先给ＩＳＡ打了补丁后，在去客户端安装ＩＳＡ客户端．设置客户端的ＩＳＡ，指向ＩＳＡ服务的地址．在ＴＥＳＴ，测试下，是否连接到ＩＳＡ服务器．然后在ＩＳＡ里做策略．．．限制进域才能上网．．．补丁之前在ＩＳＡ中文网上下到的！