淺談如何利用ISA Server實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)管理

黃燕銘

(南京財(cái)經(jīng)大學(xué)現(xiàn)代教育技術(shù)中心，江蘇南京210046)

1.引言

目前高校機(jī)房網(wǎng)絡(luò)管理模式主要分為兩種：

第一種模式是每臺計(jì)算機(jī)連接到校園網(wǎng)，再由校園網(wǎng)連接到互聯(lián)網(wǎng)。每臺計(jì)算機(jī)都配置有上網(wǎng)的所有參數(shù)，如獨(dú)立的外網(wǎng)IP地址，DNS等。這樣在上課過程中很難控制學(xué)生的上網(wǎng)以及他們的上網(wǎng)內(nèi)容，而且機(jī)房的計(jì)算機(jī)很容易感染病毒，給機(jī)房管理員帶來繁重的維護(hù)任務(wù)。

第二種模式是通過訪問代理服務(wù)器的方式接入互聯(lián)網(wǎng)，但并沒有根據(jù)實(shí)際需要對代理服務(wù)器進(jìn)行必要的詳細(xì)設(shè)置，導(dǎo)致學(xué)生容易利用這個(gè)機(jī)會進(jìn)行一些與實(shí)驗(yàn)課無關(guān)的操作，從而影響課程的教學(xué)效果，甚至訪問一些不安全的網(wǎng)站，進(jìn)而把病毒傳播到整個(gè)網(wǎng)絡(luò)，增加不必要的維護(hù)負(fù)擔(dān)。

ISA的存在，正好解決了以上兩種情況的問題。在機(jī)房中只需給每臺裝有ISA服務(wù)器端的服務(wù)器配置外網(wǎng)IP地址，而每臺裝有ISA客戶端的學(xué)生機(jī)只需配置內(nèi)網(wǎng)IP地址。這樣既大大節(jié)省了外網(wǎng)IP地址，避免了IP地址的浪費(fèi)，又能很好的控制機(jī)房的網(wǎng)絡(luò)使用。

2.ISA簡介

作為微軟下一代應(yīng)用程序?qū)臃阑饓ΑPN和Web緩存解決方案的ISA Server可提供更高水平的安全性，更簡化的管理模式和更佳的性能。它尤其適合于保護(hù)運(yùn)行Microsoft應(yīng)用程序(如Outlook、Microsoft Internet信息服務(wù))的網(wǎng)絡(luò)。ISA SERVER目前的版本有ISA2000，ISA2004，ISA2006；是微軟公司開發(fā)的可擴(kuò)展的企業(yè)防火墻以及構(gòu)建在Windows 2000，Windows 2003和Windows 2008操作系統(tǒng)安全、管理和目錄上的Web緩存服務(wù)器，以實(shí)現(xiàn)基于策略的網(wǎng)際訪問控制、加速和管理。其主要功能有：

(1)確保Internet連接的安全性

ISA服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。

(2)防火墻(firewall)

ISA Server包含一個(gè)功能完善的應(yīng)用程序?qū)痈兄阑饓Γ刂苾?nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間的通信；保護(hù)Web和電子郵件服務(wù)器防御外來攻擊；檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性。

(3)虛擬專用網(wǎng)(VPN)

可以讓遠(yuǎn)程用戶與局域網(wǎng)(LAN)之間，或者是分別位于兩地的局域網(wǎng)之間，通過因特網(wǎng)來建立一個(gè)安全的通道。

(4)網(wǎng)頁緩存(web cache)

通過將用戶經(jīng)常訪問的網(wǎng)頁保存到ISA服務(wù)器的硬盤與內(nèi)存，不但讓用戶更快的訪問網(wǎng)頁，同時(shí)也提高網(wǎng)絡(luò)資源的利用，節(jié)省網(wǎng)絡(luò)帶寬。

3.安裝ISA服務(wù)器

為了使ISA發(fā)揮更大的作用，建議操作系統(tǒng)選用Microsoft Windows Server 2003，ISA選用企業(yè)版。

服務(wù)器上安裝好Microsoft Windows 2003后，再安裝上ISA SERVER 2006.在安裝過程中，主要有以下幾步：“客戶信息”中輸入用戶名，cd-key等；“安裝方案”中選擇安裝方案；“組件選擇”；“企業(yè)安裝選項(xiàng)”；“內(nèi)部網(wǎng)絡(luò)”對話框中設(shè)置內(nèi)部網(wǎng)絡(luò)連接網(wǎng)卡參數(shù)；“防火墻客戶端連接”；“服務(wù)警告”。這其中的一個(gè)關(guān)鍵的步驟是建立本地訪問表，目的是把當(dāng)前內(nèi)網(wǎng)中的所有邏輯IP網(wǎng)段包括進(jìn)去，如選擇：192.168.0.0～192.168.255.255，而不應(yīng)該包括外部網(wǎng)絡(luò)的IP。安裝完后的ISA Server和外網(wǎng)的所有連接都是關(guān)閉的，需要什么服務(wù)必須手工建立。

4.安裝ISA客戶端

ISA提供客戶端的安裝程序，在客戶端計(jì)算機(jī)中安裝后，即可使用ISA提供的防火墻及代理功能。ISA客戶端不像服務(wù)器端對機(jī)器操作系統(tǒng)有要求，它可以安裝在任何微軟操作系統(tǒng)上。安裝過程也很簡單，按照ISA客戶端程序提供的安裝向?qū)ВJ(rèn)安裝即可。

5.ISA基本設(shè)置

安裝好了ISA SERVER后，還要對它進(jìn)行必要的設(shè)置，否則ISA SERVER默認(rèn)禁止所有的用戶訪問互聯(lián)網(wǎng)。因此需要為訪問互聯(lián)網(wǎng)的用戶創(chuàng)建互聯(lián)網(wǎng)訪問規(guī)則并且生效后才可以訪問互聯(lián)網(wǎng)。

5.1 客戶端設(shè)置

右鍵點(diǎn)擊IE瀏覽器，選擇“IE選項(xiàng)”，使用“IE選項(xiàng)”中的“連接”中的“局域網(wǎng)(LAN)設(shè)置”中的內(nèi)容進(jìn)行設(shè)置。在“代理服務(wù)器”的地址中輸入ISA服務(wù)器名稱或者ISA服務(wù)器的IP地址，輸入服務(wù)器端設(shè)置好的端口號即可。如圖1所示：

圖1 ISA客戶端設(shè)置

5.2 定義內(nèi)網(wǎng)地址

設(shè)定需要通過ISA服務(wù)器進(jìn)行訪問外網(wǎng)的內(nèi)部IP地址范圍。通過ISA管理界面中的網(wǎng)絡(luò)，按照內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)卡進(jìn)行設(shè)定，如圖2所示：

5.3 創(chuàng)建安全外出訪問策略

在其內(nèi)部接口上使用8080端口(對于SSL連接使用8443端口)對內(nèi)部用戶的外出訪問請求進(jìn)行監(jiān)聽。

網(wǎng)絡(luò)內(nèi)存在兩種客戶機(jī)：一種是教師使用的客戶機(jī)，一種是學(xué)生使用的客戶機(jī)。因此有必要對這兩種客戶機(jī)分別設(shè)置外出訪問策略。

首先設(shè)置兩種客戶機(jī)地址集：教師群和學(xué)生群。為限制學(xué)生的訪問內(nèi)容，需要設(shè)置目標(biāo)集，可以有兩種設(shè)置方法：允許訪問的站點(diǎn)或者禁止訪問的站點(diǎn)。設(shè)置允許訪問的站點(diǎn)相對而言比較安全。

對于學(xué)生機(jī)還需要設(shè)置禁止下載的幾類文件，比如，zip、.rar及視頻影音文件等，把他們歸入一個(gè)自定義的內(nèi)容組。

根據(jù)實(shí)際需要還可以設(shè)置時(shí)間限制：哪個(gè)時(shí)間段可以進(jìn)行訪問或者哪個(gè)時(shí)間段不可以進(jìn)行訪問。為了避免在使用QQ等娛樂軟件時(shí)占用太多的帶寬，可以進(jìn)行帶寬優(yōu)先級設(shè)置，保證學(xué)校正常網(wǎng)絡(luò)通訊的流量。

6.禁止訪問指定的內(nèi)容

互聯(lián)網(wǎng)提供各種不同的格式的文件，禁止對某些內(nèi)容進(jìn)行訪問，可以增強(qiáng)網(wǎng)絡(luò)安全。

例如在本人在實(shí)驗(yàn)室日常使用中設(shè)置了如下幾條限制：

(1)禁止擴(kuò)展名類型訪問

為了保證機(jī)房遠(yuǎn)離病毒，本人ISA不允許下載或者訪問帶有惡意性質(zhì)的軟件，例如exe、scr、ocx等格式的文件。設(shè)置方法如下：右擊“開通網(wǎng)絡(luò)”訪問規(guī)則，在彈出的快捷菜單中選擇“配置HTTP”命令，出現(xiàn)“為規(guī)則配置HTTP策略”對話框。切換到“擴(kuò)展名”選項(xiàng)卡，在“指定對文件擴(kuò)展名要執(zhí)行的操作”下拉列表框中選擇“阻止指定的擴(kuò)展名(允許所有其他擴(kuò)展名)”選項(xiàng)。單擊“添加”按鈕，顯示“擴(kuò)展名”對話框，在“擴(kuò)展名”文本框中輸入文件擴(kuò)展名，例如.EXE。單擊“確定”按鈕，關(guān)閉“擴(kuò)展名”對話框。至此，設(shè)置完成。

(2)禁止觀看流媒體

有時(shí)，有的課程需要用到網(wǎng)絡(luò)，學(xué)生上課時(shí)可能會利用網(wǎng)絡(luò)看電影，從而影響上課質(zhì)量。此時(shí)，我們就允許他們訪問互聯(lián)網(wǎng)，但是不允許觀看流媒體文件。所以，本人在ISA中創(chuàng)建新訪問規(guī)則禁止訪問流媒體服務(wù)器。流媒體協(xié)議包括MMS、MMS服務(wù)器、RTSP、RTSP服務(wù)器等協(xié)議。

“禁止訪問流媒體服務(wù)器”訪問規(guī)則創(chuàng)建過程同“開通網(wǎng)絡(luò)”，在“協(xié)議”對話框的“此規(guī)則用到”下拉框中選擇“所選的協(xié)議”選項(xiàng)，單擊“添加”按鈕，顯示“添加協(xié)議”對話框。展開“所有協(xié)議”，在協(xié)議列表中選擇MMS、MMS服務(wù)器等協(xié)議。

(3)禁止訪問指定的網(wǎng)站

互聯(lián)網(wǎng)中右的網(wǎng)站含有惡意代碼，為了保證機(jī)房機(jī)器遠(yuǎn)離這些病毒，保證實(shí)驗(yàn)課正常進(jìn)行，必須使實(shí)驗(yàn)室計(jì)算機(jī)遠(yuǎn)離這些網(wǎng)站。因此，本人通過使用ISA創(chuàng)建規(guī)則禁止用戶訪問此類網(wǎng)站。使用ISA屏蔽這些網(wǎng)站需要分兩個(gè)步驟，首先要禁止內(nèi)網(wǎng)對這些網(wǎng)站的訪問，然后禁止對該域名集的訪問。

(4)禁止使用第三方代理服務(wù)器

使用ISA創(chuàng)建規(guī)則可以禁止學(xué)生訪問某些網(wǎng)站，但是如果學(xué)生具備一定的網(wǎng)絡(luò)知識，他們通過代理服務(wù)器就可以間接訪問那些我們禁止的網(wǎng)站。而此時(shí)如果我們僅僅是發(fā)現(xiàn)一個(gè)代理，就去禁止一個(gè)代理，顯然是不現(xiàn)實(shí)的方法。當(dāng)用戶瀏覽網(wǎng)頁時(shí)時(shí)會用到GET和POST命令，而在使用代理時(shí)會用到CONNECT命令，所以本人通過ISA設(shè)置禁止用戶使用“代理行為”的方法封鎖所以的代理。具體方法就是在“為規(guī)則配置HTTP策略對話框”選擇禁止CONNECT方法。

7.結(jié)束語

ISA SERVER有著強(qiáng)大的功能，在實(shí)際應(yīng)用中也起到了很大的作用。要合理利用協(xié)議規(guī)則，配置好它的訪問控制等策略。根據(jù)課程安排，學(xué)生安排等現(xiàn)實(shí)實(shí)際情況，進(jìn)行合理的控制網(wǎng)絡(luò)，從而達(dá)到既可以很好的滿足教學(xué)又滿足學(xué)生課余上網(wǎng)的要求。使機(jī)房網(wǎng)絡(luò)管理更加安全，更加科學(xué)有效。

[1] 顧武雄.ISA SERVER 2006企業(yè)級防火墻實(shí)戰(zhàn)徹底攻略[M].北京：清華大學(xué)出版社，2008.

[2] 戴有煒.ISA SERVER 2006防火墻安裝與管理指南[M].北京：科學(xué)出版社，2008.

[3] 杜詩軍，趙丹，胡士杰.利用ISA Server實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)管理[J].微機(jī)發(fā)展，2003，13(8)：105-107.