使用ISA限制内部用户上网,主要有两种方式,一种是通过IP地址限制,一种是通过身份验证限制。ISA默认是不允许任何内部用户访问外网的,所以我们只需要建立规则允许授权用户上网就可以了。这里我们先来探讨一下通过IP地址限制内部用户上网,具体操作步骤如下:
1. 建立一个上网用户的计算机集,点击“Toolbox—Network Objects—New—Computer set”,如下图:
2. 输入计算机集名称,点击“Add—Computer”,添加需要访问外网的计算机,如下图:
3. 输入计算机名称(也可以是用户名,这个名称只是用来标示该IP地址)和IP地址,点OK完成。如下图:
4.将需要上网的用户都按上面的步骤添加进来,完成后点击OK.
5. 建立允许访问的域名,点击“Toolbox—Network Objects—Domain Name Set”,如下图:
6. 输入域名集名称,添加允许访问的域名。点击OK完成。
7. 建立访问规则,点击“Firewall Policy—New—Access Rule”,如下图:
8. 输入规则名称,如下图:
9. 选择执行方式,因为默认是禁止的,这里我们要开放给用户使用,所以选Allow,如下图:
10. 在“Protocols”对话框中,可以按需求选择需要的协议,比如HTTP,HTTPS等,如下图:
11. 在“Access Rule Sources()”对话框中,选择我们刚才建立的计算机集。如下图:
12. 在“Access Rule Destinations()”对话框中,选择我们刚才建立的域名集,如下图:
如果不限制用户访问的站点,开通所有外部站点给用户,那么这里只要选择“External(外部)”就可以了。如下图:
13. 在“User Sets(用户设置)”对话框中也可以选择允许使用的用户,如果这里做了设置,那么就必须是属于这个用户集中的用户才能访问外网。
14. 点击Finish完成设置,点击Apply应用,策略就生效了。
另外,如果需要对访问时间进行限制,比如,只有上班的时候可以访问外网,那么只需要在刚才建立的规则上点击鼠标右键,选属性,在“Schedule”菜单中,按需求选择相应的时间,如下图:
对于一些安全性要求比较高的电脑,我们可能还需要对访问内容做限制,这个我们也可以通过右键刚才的策略,选择属性,然后在“Content Types”菜单中定义我们允许访问的内容类型。如下图:
本文转自Tonyguo 51CTO博客,原文链接:http://blog.51cto.com/tonyguo/155865,如需转载请自行联系原作者
