科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道ISA控制 规范企业员工网络行为(3)

ISA控制 规范企业员工网络行为(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在企业局域网中往往需要对员工使用电脑进行严格限制,比如不允许登录某些网站,不允许使用QQ、MSN,限制某些端口不能玩网络游戏等等。下面,笔者列举几个比较经典的利用ISA进行网络访问控制的实例。

来源:论坛整理 2008年12月13日

关键字: 局域网 网络技术 网络管理

  • 评论
  • 分享微博
  • 分享邮件
这里使用的是ISA Server的深层过滤机制,在“防火墙策略规则”中“无限制的Internet访问”上面点右键,选择“配置HTTP”,在打开的“为规则配置HTTP策略”上选择“签名”标签。添加一个新的签名。在“签名”中输入“tencent.com”。这样在使用代理登录时请求连接的URL中发现“tencent.com”就会阻止。

10

图10

  3.应用策略

  再调整一下这个策略的属性,点击“应用”就成功地禁止了QQ。要注意的一点是上面两种策略必须同时使用才能彻底禁止QQ,以后如果发现新的QQ服务器IP或是代理服务器的URL,随时加入策略中就可以了。

  四、限制工作站带宽

  由于局网中某些员工进行非法下载或者在线视频占用大量带宽,异常流量造成造成网络拥堵,影响企业网络的正常应用。对此,我们只需依靠第三方软件Bandwidth Splitter与ISA Server 2006结合即可完美进行流量控制。

  安装完BS后,打开ISA Server 2006,可以看到BS的管理控制台已经集成到ISA Server 2006中。点击Bandwidth Splitter,它有4个功能项,分别是:Shaping Rules、Quota Rules、Quota Counters和Monitoring。下面结合实例来讲解它们的作用,并配置它们。

  1.流量及其连接数限制

  比如将IP地址为192.168.1.10的计算机的流量设置为50Kbits/s,它的连接数最多为20。首先选择左侧窗格中的“防火墙策略”,并在右侧窗格中选择“工具箱”→“新建”→“计算机”,在弹出对话框中将名称设为lw,IP地址为192.168.1.10,描述为受限用户,然后点击确定。

11

图11

  再用右键单击Bandwidth Splitter下的Shaping Rules项,选择“新建”→“Rule”,在弹出的“新建带宽控制规则向导中”填入规则名称“lw 小于 50K”,在“Applies To”项中选择“IP address sets specified below”,点“Add”并从列表里找到刚才建好的名称为“lw”的计算机。然后点击下一步,在“Destinations”项中从列表里添加“外部”,点下一步,在“Schedule”项中选择“Always”,然后,在“Shaping”中选“Shape total traffic(incoming+outgoing)”,Total值设为“50”,勾选“Don't shape cached web content”。点下一步,在“Connection setting”项中勾选“Limit number of concurrent connections”,将“Connection limit”值设为20;在“shaping type”项中选择“Assign bandwidth individually to each applicable user/address”。点下一步,在“Extra parameters”项中选择默认,然后点击下一步。

12

图12

 此时在左侧窗格中就出现了刚才配置的“lw 小于 50K”的流量控制策略,单击ISA Server 2006控制台工具栏上的绿色按钮“Apply changes”,提示应用完成之后,这个流量控制策略就生效了。打开“Monitoring”项,可以看到IP地址为192.168.1.10的计算机的实时流量一直被控制在50Kbits/s以下,连接数也在20个以下。在“Monitoring”项上点右键,勾选“Connections Details”我们可以查看到,每一台计算机当前的连接情况的附加信息,包括协议、目标主机IP、端口等详细内容。

13

图13

  2.设定总流量上限

  例如将IP地址为192.168.1.10的计算机每周的流量总额限定为300MB。首先,用右键单击Bandwidth Splitter下的Quota Rules项,选择“新建”→“Rule”,操作同前述例子基本一致,按向导提示一步步填写相关内容即可。只是在“Traffic Quota”选项中有所不同,选择“Limit total traffic(incoming+outgoing)”,Total的值设为300MB,勾选“Don't account cached web content”,将“Reset period”值设为“Weekly”,并勾选“Transfer remainder to the next period”,其余相同,完成后应用即可。打开“Quota Counters”项,我们在右侧窗格中可以看到IP地址为192.168.1.10的计算机的策略应用情况,及本周还有多少流量可以使用。

14

图14

  总结

  笔者列举的这四个例子,只是利用ISA进行网络访问控制的特例。其实ISA 2006是一个性能强大的企业防火墙,大家在实际应用中可以量身定制相应的防火墙策略,进行针对性的网络访问控制。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章