惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Schneier on Security
有赞技术团队
有赞技术团队
T
The Blog of Author Tim Ferriss
F
Fortinet All Blogs
D
DataBreaches.Net
F
Full Disclosure
腾讯CDC
博客园 - 【当耐特】
MyScale Blog
MyScale Blog
Stack Overflow Blog
Stack Overflow Blog
小众软件
小众软件
Hugging Face - Blog
Hugging Face - Blog
Last Week in AI
Last Week in AI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
爱范儿
爱范儿
The GitHub Blog
The GitHub Blog
Engineering at Meta
Engineering at Meta
大猫的无限游戏
大猫的无限游戏
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
S
SegmentFault 最新的问题
The Register - Security
The Register - Security
WordPress大学
WordPress大学
博客园 - 聂微东
雷峰网
雷峰网
J
Java Code Geeks
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
P
Privacy International News Feed
酷 壳 – CoolShell
酷 壳 – CoolShell
A
Arctic Wolf
Scott Helme
Scott Helme
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
博客园 - 三生石上(FineUI控件)
Know Your Adversary
Know Your Adversary
AWS News Blog
AWS News Blog
G
Google Developers Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
C
CERT Recently Published Vulnerability Notes
O
OpenAI News
Project Zero
Project Zero
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Application and Cybersecurity Blog
Application and Cybersecurity Blog
云风的 BLOG
云风的 BLOG
N
News and Events Feed by Topic
MongoDB | Blog
MongoDB | Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Microsoft Security Blog
Microsoft Security Blog
Cisco Talos Blog
Cisco Talos Blog
P
Palo Alto Networks Blog
Schneier on Security
Schneier on Security

博客园 - Laoxu2004

HTC T328W 刷机后,WLAN、蓝牙无法使用的解决方法[亲测有效] [转]2012版的Mac Air安装Windows7 注意事项及安装方法 [转]XPSp3+IIS5.1+SQLServer2005Express的ASP平台搭建要点 Win7无线共享上网 2012.3.26-3.31 ASP.NET windows服务器您试图从目录中执行CGI、ISAPI 或其他可执行程序,但该目录不允许执行程序。 '800a0005' 图片上传出现写入文件失败的错误 -- 修改pload_5xsoft.inc 关注企业数据安全 十招防数据泄露 XP提示hal.dll丢失的错误的解决方法 WinXP 找回桌面丢失的IE图标(非IE快捷方式) 苏州办公自动化模拟题目(3套题目) 江苏职称考试(MIS)中级 用户中心 - 博客园 [理论整理]CAD中级理论题目 如果后台不知道数据库密码的请打开数据库用469e80d32c0559f8 替换,那么密码就是admin888 计算机组装与维护考核题目:在线DIY配机 实训课教案二:计算机软件安装初步 [通告] 职称计算机准考证领取通知 [通告]3月3日~3月4日的培训
使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络
Laoxu2004 · 2012-02-14 · via 博客园 - Laoxu2004

采用Windows Server 2003的Active Directory、DHCP、ISA Server,将计算机加入到域、让只有加入到域的用户(每人一个用户名、密码并登录计算机)才能上网,其他用户不能上网。这样就做到了经过认证的用户才能上网,并且出了事情,可以追察到人。同时,在奥运期间,由于许多用户在线看比赛,经过实际测量,新华网的 视频,每个视频需要占用1M以上的带宽,如果一个网络中, 有20个人观看视频,会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。

     在大多数单位,都是通过限制工作站的IP地址,控制其上网行为,例如,根据部门、人员的不同,为其分配不同的地址或者地址段,在防火墙(或代理服务器)中设置上网策略。但这样的设置,存在一些问题:

(1)因为知道网管对IP地址进行了限制,所以一些员工会将自己的IP地址改成不受限制的IP地址,以避开限制。这样,经常造成网络地址的冲突。

(2)为了解决员工随意修改IP地址的问题,需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试,这样会增加网管的负担。另外,现在修改网卡的MAC地址也是非常容易的,这也不是解决问题的最终方法。

(3)如果只是通过IP地址限制上网,由于现在的笔记本电脑很多。如果外来人员,将随身携带的笔记本接入网络,设置一个IP地址,就可以访问外网,这样可能引发问题。

(4)当网络出现问题时,如果只是基于IP地址进行排查,不容易定位故障源:因为IP地址是可以随意设置的。

基于此,这种传统的、基于IP地址进行限制的上网行为,需要做出改进。

为了解决上述问题,本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案,达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络,本方案对用户身份进行验证,不对IP进行限制。即使用户修改IP地址,也不会避开限制。本方案网络拓扑如图1所示。

图1 网络拓扑

解决思路如下:

(1)在网络中需要有一台Windows Server 2003的服务器,升级到Active Directory(域),用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。

(2)网络中提供一台DHCP服务器,为工作站自动分配TCP/IP地址(可选)。

(3)在ISA Server中,创建访问策略时,采用“身份验证”方式,没有经过身份验证的计算机不能访问指定的网络(一般是访问Internet)。

(4)因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能,可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件,提供流量限制功能。

(5)所有的工作站,在访问Internet时,需要采用“Web代理方式”或“ISA Server的防火墙客户端”,否则不能通过“身份验证”,也就不能访问外网。

为了统一起见,网络中重要服务器的参数如下:

Active Directory服务器的IP地址为192.168.7.7,ISA Server服务器的“内网”地址为10.10.0.1(三层交换机的默认路由所指定的地址),外网地址为61.182.x.y;DHCP服务器的地址为192.168.7.6(三层交换机中设置“DHCP中继代理的”地址)。所有的工作站采用192.168.1.0/24~192.168.6.0/24的网段,DNS地址设置为192.168.7.7。

在ISA Server中,使用“Web代理客户端”与“防火墙客户端”,可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。

1 使用Web代理客户端上网

(1)在网络中一台Windows Server 2003的服务器上,将DNS地址设置成127.0.0.1,运行dcpromo,将计算机升级到Active Directory。在本例中,DNS域名为jz.local。升级到域之后,按照单位的组织机构创建OU、子OU(与部门名称相同),并在子OU中创建用户,如图2所示。

图2 根据组织结构创建OU与用户

(2)将ISA Server计算机加入到域。说明,不需要将计算机成为“额外的域控制器”,只要加入域,作“成员服务器”即可。然后按照传统的方式,设置访问策略,例如“允许内网访问外网”,即在创建规则时,允许“内部”用户访问“外部”,但在设置“用户”时,将默认的“所有用户”删除,而是添加“所有域用户”或者“所有经过身份验证的用户”,如图3所示。

图3 用户规则

这样,原来的只根据IP地址的限制,变成了IP地址+用户身份限制,但我们创建策略时,允许所有“内部”的用户,这样,起决定作用的就是“用户身份”了。

(3)在“配置→网络”中,双击“内部”,在打开的“内部 属性”页中,在“Web代理”选项卡中,选中“为此网络启用Web代理客户端连接”,并且选中“启用HTTP”,如图4所示。

图4 启用Web代理并指定代理端口

设置策略之后,单击“应用”按钮,让设置生效。

(4)返回到“Active Directory”服务器上,在“Active Directory用户和计算机”中,编辑该OU所在的策略,在“用户配置→Windows设置→Internet Explorer维护→连接”中,双击右侧的“代理设置”,在弹出的对话框中,选中“启用代理服务器设置”选项,在“HTTP”文本框中键入代理服务器的地址(在本例中为10.10.0.1)与端口(本例中为8080),如图5所示。

图5 编辑策略

(5)所有的工作站,加入到域之后,以域用户登录,其IE中的代理服务器地址,将会按照图5中的进行设置,并且可以访问Internet。如果没有加入到域,则不能访问Internet。

2 防火墙客户端设置

如果网络中的工作站,使用ISA Server的防火墙客户端的方式访问外网,除了需要按照上面进行设置外,还要进行下面的工作:

(1)在“防火墙客户端”页中,选中“启用此网络的防火墙客户端支持”与“使用Web代理服务器”两个选项,并且将“ISA服务器名称或IP地址”(两处)设置为ISA Server内网的IP地址,切记,不要用计算机的名称,如图6所示。

图6 设置ISA服务器的内网IP地址

(2)在工作站上,安装ISA Server的防火墙客户端软件(在ISA Server安装光盘的“Client”文件夹中,可以用组策略发布该软件)。安装好后,双击右下角的“clip_image014”图标,在弹出的对话框中,在“设置”选项卡中,选中“手动指定的ISA服务器”文本框中,键入10.10.0.1,然后单击“测试服务器”、“确定”按钮即可,如图7所示。

图7 指定ISA Server服务器地址

如果不想让用户指定ISA Server服务器的地址,则可以使用ISA Server提供的“自动发现”功能。这需要进一步的配置。

(3)在ISA Server服务器上,在“自动发现”选项卡中,设置使用自动发现的端口号。如果该ISA Server服务器没有发布Web服务器,并且本身也没有Web服务器,则可以使用“DNS发现功能”,这时,可以使用80端口。但现在的情况,一般ISA Server都会发布Web服务器,所以不能使用80端口,这时候可以指定其他端口(当前服务器没有使用的端口),例如,TCP的2501,如图8所示。

图7b 设置DNS自动发现

在不使用80端口时,只能使用“DHCP”提供“ISA Server”的自动发现功能。

(4)切换到DHCP服务器上,右键单击DHCP服务器的名称,从弹出的快捷菜单中选择“设置预定义的选项”,单击“添加”按钮,在“选项类型”对话框中,在“名称”处键入大写的WPAD,“数据类型”选择“字符串”,“代码”选择252,在“描述”处键入[url]http://10.10.0.1:2501/wpad.dat[/url],然后单击“确定”按钮,如图8所示。

图8 添加WPAD选项

添加之后,右键单击“服务器选项”,在弹出的“服务器 选项”中,选中添加的“252的WPAD”选项,如图9所示。

图9 启用WPAD选项

【说明】还需要为每个VLAN创建作用域、设置作用域的地址范围、子网掩码、网关地址,并在“服务器选项”中,添加DNS地址为192.168.7.7,这些不一一介绍。

经过上述设置后,每台工作站设置“自动获得IP地址”与“DNS”地址,同时,ISA Server的“防火墙客户端”,就可以自动通过DHCP的WPAD选项,自动指定ISA Server服务器的地址。

3 流量控制

最后,在ISA Server服务器上安装“Bandwidth Splitter for Microsoft ISA Server”流量控制软件,并且设置策略,为不同的用户或者用户组,设置不同的流量即可。有关Bandwidth Splitter for Microsoft ISA Server的使用,不做详细介绍,下面是安装Bandwidth Splitter for Microsoft ISA Server之后的流量监控界面,如图10所示。

图10 流量监测图

在使用流量限制后(还可以限制并发连接数量),当网络中某人说他的计算机上网慢时,可以在流量控制列表中,根据显示的“用户名”查看该计算机的流量,以及访问的网站,如果网络速度慢是由于该用户下载软件或看视频导致,则提醒该用户。这样,也弥补了ISA Server的不足。

4 其他设置

如果使用Web代理客户端或者防火墙客户端的计算机,网络中有服务器,例如一些内部网站服务器,则在访问这些内部网站时,不应该使用代理服务器,这时候,可以在ISA Server上进行设置。

在ISA Server服务器上,在“内部”属性中,选中“直接访问在‘域’选项卡中指定的计算机”和“直接访问‘地址’选项卡中指定的计算机”,或者单击“添加”按钮,将内网服务器的地址添加到“直接访问这些服务器或域”列表中即可,如图11所示。

图11 需要直接访问的地址

最后,如果网络中有服务器、计算机,由于使用Web代理客户端或防火墙客户端出现访问网络问题,或者有的服务器只能使用NAT的客户端,可以将这些服务器、计算机的IP地址创建一个“计算机集”,单独针对这些计算机集创建访问策略,并且这些访问策略要在其他访问策略的前面,这些是ISA Server的使用技巧,不做过多介绍。

如果客户端使用QQ、MSN的比较多,可以在“共享上网”这条策略的前面,专门开放QQ、MSN协议端口,并且不加身份验证。这样,客户端使用QQ、MSN时,不需要配置代理服务器。