使用IP地址来禁止内部用户上网

使用IP地址来禁止内部用户上网
使用IP地址来禁止内部用户上网
在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。

这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。

至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。

在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。

隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。

显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。

如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。

就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。

不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。

一、通过IP来禁止 首先谈禁止IP的部分,这个适合于固定IP配置的用户。

操作步骤如下: 1、对需要禁止上网的客户新建一个地址集或者计算机集; 2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。

3、在防火墙策略中新建一个访问规则; 在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。

首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”; 然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”; 在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”; 建好的计算机集如下图所示,点击“OK”; 然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字; 规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。

目的网络选择外部; 按照提示进行,较后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置; 注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;   然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。

现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。

首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。

同样在“网络对象”中,右击“域名集”,选择“新建域名集”; 在域名集中我添加了YAHOO的网站; 然后在刚才建好的Denyed Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*.yahoo.com”; 修改后的策略如下图所示,点击“应用”; 现在再到客户机上,访问ISA中文站,是可以访问的;

未经允许不得转载: 深圳维创信息技术有限公司 » 使用IP地址来禁止内部用户上网

赞 ()
'); })();