基于ISA Server的上網行為管理機制

摘要:闡述了Microsoft ISA Server在上網行為管理中的應用。Microsoft ISA Server可以保護企業網絡免受黑客入侵和攻擊，提高網絡性能和安全。

關鍵詞:Microsoft Internet Security Acceleration;上網行為

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2009)35-9940-03

ISA Server Access to the Internet-Based Behavior Management System

ZHANG Chun-sheng1， LAN Ping2

(1.Quzhou Municipal Public Security Bureau，Quzhou 324000，China;2. Zhejiang Transportation Vocational and Technical College of Information Science，Hangzhou 311112，China)

Abstract: How to manager on-line behaviors by using Microsoft ISA Server are explained. ISA can protect organizations of all sizes from external and internal threats and attack， improve network security and performance.

Key words: Microsoft Internet Security Acceleration Server; online behaviors

隨著計算機和寬帶的普及，互聯網已經成為企業工作中便捷高效、不可缺少的現代辦公工具，也極大地降低了企業運營和溝通成本。同時，由于網絡資源豐富多彩，部分員工在辦公時間內瀏覽與工作無關的娛樂新聞網站、觀看流媒體或者玩游戲、使用IM軟件聊天、使用P2P軟件下載大容量的文件，以及其它非工作用途的計算機應用。這就很容易導致公司網絡資源耗盡，同時又會影響到公司其它員工的工作。

上網行為管理可以幫助用戶對以上這些上網行為進行有效的管制，改善內網環境，提升帶寬資源使用效率。具體包括對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。

ISA(Internet Security and Acceleration) 是微軟推出的網絡安全產品，作為世界領先的企業級應用層防火墻，ISA Server 已經在不同行業、不同規模的企業中得到了廣泛的使用。ISA Server 2006具有強大的應用層過濾功能，能夠基于應用層、訪問內容和用戶賬戶等對訪問請求進行嚴格的訪問控制。ISA Server 2006還可以使用應用程序、命令和數據層篩選器控制應用程序特定通信。通過對 VPN、HTTP、文件傳輸協議 (FTP)、簡單郵件傳輸協議 (SMTP)、郵局協議3 (POP3)、域名系統 (DNS)、流媒體和遠程過程調用 (RPC) 通信進行智能篩選，ISA Server 可以根據通信的內容來接受、拒絕、重定向和修改通信，從而實現對上網行為的管理。

1 網頁過濾

ISA Server能夠控制局域網內用戶對特定網站的訪問權限。本文以使用IP地址來禁止客戶端訪問特定網站為例，對需要禁止的客戶端建立一個地址范圍或者計算機集;為禁止這些用戶訪問的那些站點建立一個地址范圍或域名集;然后在防火墻策略中新建一個訪問規則，阻止內部的這些計算機訪問定義的外部站點地址范圍或域名集。

1) 新建網絡對象

首先在防火墻策略右邊的工具箱里面點開“網絡對象”，然后右擊“計算機集”，然后選擇“新建計算機集”，如圖1所示。

2) 然后在“新建計算機集規則元素”對話框上點擊“添加”，然后選擇“地址范圍”，如圖2所示。

建立好計算機集后，我們還需要為禁止用戶訪問的視頻網站建立一個URL集。在“網絡對象”中，右擊“URL集”，選擇“新建URL集”; 然后在“新建URL集規則元素”對話框中，多次點擊“新建”按鈕，將需要屏蔽的視頻網站添加到URL集中，最后點擊“確定”，如圖3所示。

3) 建立訪問規則

右鍵點擊防火墻策略，選擇新建“訪問規則”，在向導頁輸入規則的名字“禁止訪問視頻網站”; 在規則操作頁，選擇“拒絕”; 在協議頁，選擇“所有出站通訊”;在訪問規則源頁，點擊“添加”，然后在“添加網絡實體”對話框中展開計算機集，雙擊“禁止訪問視頻網站”，然后點擊“關閉”，然后在“訪問規則目標”頁中，選擇“禁止訪問的視頻網站”URL集。在用戶集頁，保留默認的所有用戶，點擊“下一步”;

最后，點擊“應用”以保存修改和更新防火墻策略。完成的策略如圖4所示。

圖4

值得注意的是，要使該規則生效，就必須位于“內網和主機允許訪問外網”規則前。

最后，我們在選擇“禁止訪問視頻網站”計算機集中到一臺IP地址為192.168.2.10的計算機做測試，在瀏覽器地址欄里面輸入:www.tudou.com，提示該網站已被屏蔽，如圖5所示。

2 網絡應用控制

ISA Server可以在局域網中對客戶端的網絡應用進行比較嚴格的限制，比如限制某些端口，屏蔽特定擴展文件名的文件傳輸，禁止特定簽名的應用通信。

2.1 禁止端口

以封閉BT端口為例，在ISA控制臺窗口中，右鍵點擊“防火墻策略”，選擇“新建→訪問規則”，彈出訪問規則向導對話框，在“訪問規則名稱”欄中輸入“禁用BT端口”，點擊“下一步”按鈕后，選擇“拒絕”選項，接著在“協議”對話框中選擇“所選的協議”。

點擊“添加”按鈕，在“添加協議”對話框中點擊“新建→協議”，彈出協議定義向導對話框，在名稱欄中輸入“BT”，點擊“下一步”按鈕，進入“首要連接信息”對話框。點擊新建”，彈出“新建/編輯協議連接”對話框(圖2)，在“協議類型”中選擇“TCP”，選擇方向為“入站”，端口范圍為“從6881到6889”，然后點擊“確定”按鈕，接下來一路點擊“下一步”按鈕，即可完成BT協議的定義。

2.2 HTTP篩選

HTTP 篩選器是 Web 篩選器，允許基于內容類型 HTTP 頭和以下條件來阻止 HTTP 請求:

1) 請求負載的長度;2) URL 的長度;3) HTTP 請求方法。例如，可以使用 POST、GET 或 HEAD 等請求方法;4) HTTP 請求文件擴展名。例如，文件擴展名可以是 .exe、.asp 或 .dll; 5) HTTP 請求或響應頭。例如，請求或響應頭可以是 Location、Server 或 Via;6) 在請求頭或響應頭或正文中的簽名或模式。

3 流量控制

ISA Server本身沒有流量控制的功能， 但是可以使用第三方插件實現。Bandwidth Splitter for ISA Server作為一個插件集成于ISA的控制面版中，可以定制內部網絡中的單個用戶、主機組、計算機組對INTERNET連接和帶寬;可以啟用通往INTERNET的總量限制;可以實時監控連接狀態以及流量使用情況。

下面以限制網速為例，說明Bandwidth Splitter for ISA Server在流量控制中的應用。

1) 右鍵單擊“shaping rules”，新建“rules”，彈出規則創建向導，并在接下來的對話框中輸入規則名“單擊網速限速”，下一步，在“APPLIES TO”界面，源選擇“IP address sets specified below”，關點選“add”，在彈出的“ADD NETWORK ENTITIES”界面，選擇源“內部”，如圖6所示。

2) 下一步，在“Destinations”，點擊“ADD”，彈出的對話框，也是ISA中所定義的\"網絡對象\"，此處選擇“外部”。

3) 在“Schedule”，選擇下拉框中選擇“always”。

4) 下一步，在“SHAPING”界面，選擇“shape incoming and outgoing traffic”，并在“incoming (kbits/s)”填入480，在“outgoing(kbits/s)”填入240，并點選\"don't shape cached web content\"。注意1Byte=8bit，所以限制后單擊的最大下載流量是160KB，上傳是30KB。這樣的網速已經滿足大部分互聯網應用。如圖7所示。

4 用戶上網日志及分析報告

1) 日志分析

在ISA Server中提供了強大的日志查看功能，可以通過日志查看器來監視及分析通訊狀況，并提供網絡活動的疑難解答信息。日志查看器可以實時顯示日志信息，在這種情況下，每當記錄事件時，都會將它顯示在日志查看器中。

如果要查看實時日志，運行ISA管理控制臺，點擊監視，再點擊日志標簽，然后點擊開始查詢，當查詢獲得新的日志記錄時，會顯示出來，如下圖所示。日志查看器中最多只能顯示10000個篩選結果，如果獲得的篩選器查詢結果超過10000個，則日志查看器停止查詢。

如圖8所示。

2) 報告功能

ISA Server 的報告基于ISA服務器的日志摘要數據庫，默認情況下此數據庫位于ISA安裝目錄的ISASummaries文件夾中。ISA Server的報告對一段時間的網絡匯總，網絡性能評估有著較大的作用。針對用戶的總訪問量，用戶使用的協議，用戶的流量統計等可以提供一個圖形化，直觀的報表。

如圖9所示。