基于ISA Server的上網(wǎng)行為管理機(jī)制

摘要:闡述了Microsoft ISA Server在上網(wǎng)行為管理中的應(yīng)用。Microsoft ISA Server可以保護(hù)企業(yè)網(wǎng)絡(luò)免受黑客入侵和攻擊，提高網(wǎng)絡(luò)性能和安全。

關(guān)鍵詞:Microsoft Internet Security Acceleration;上網(wǎng)行為

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)35-9940-03

ISA Server Access to the Internet-Based Behavior Management System

ZHANG Chun-sheng1， LAN Ping2

(1.Quzhou Municipal Public Security Bureau，Quzhou 324000，China;2. Zhejiang Transportation Vocational and Technical College of Information Science，Hangzhou 311112，China)

Abstract: How to manager on-line behaviors by using Microsoft ISA Server are explained. ISA can protect organizations of all sizes from external and internal threats and attack， improve network security and performance.

Key words: Microsoft Internet Security Acceleration Server; online behaviors

隨著計(jì)算機(jī)和寬帶的普及，互聯(lián)網(wǎng)已經(jīng)成為企業(yè)工作中便捷高效、不可缺少的現(xiàn)代辦公工具，也極大地降低了企業(yè)運(yùn)營(yíng)和溝通成本。同時(shí)，由于網(wǎng)絡(luò)資源豐富多彩，部分員工在辦公時(shí)間內(nèi)瀏覽與工作無(wú)關(guān)的娛樂(lè)新聞網(wǎng)站、觀看流媒體或者玩游戲、使用IM軟件聊天、使用P2P軟件下載大容量的文件，以及其它非工作用途的計(jì)算機(jī)應(yīng)用。這就很容易導(dǎo)致公司網(wǎng)絡(luò)資源耗盡，同時(shí)又會(huì)影響到公司其它員工的工作。

上網(wǎng)行為管理可以幫助用戶對(duì)以上這些上網(wǎng)行為進(jìn)行有效的管制，改善內(nèi)網(wǎng)環(huán)境，提升帶寬資源使用效率。具體包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析等。

ISA(Internet Security and Acceleration) 是微軟推出的網(wǎng)絡(luò)安全產(chǎn)品，作為世界領(lǐng)先的企業(yè)級(jí)應(yīng)用層防火墻，ISA Server 已經(jīng)在不同行業(yè)、不同規(guī)模的企業(yè)中得到了廣泛的使用。ISA Server 2006具有強(qiáng)大的應(yīng)用層過(guò)濾功能，能夠基于應(yīng)用層、訪問(wèn)內(nèi)容和用戶賬戶等對(duì)訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格的訪問(wèn)控制。ISA Server 2006還可以使用應(yīng)用程序、命令和數(shù)據(jù)層篩選器控制應(yīng)用程序特定通信。通過(guò)對(duì) VPN、HTTP、文件傳輸協(xié)議 (FTP)、簡(jiǎn)單郵件傳輸協(xié)議 (SMTP)、郵局協(xié)議3 (POP3)、域名系統(tǒng) (DNS)、流媒體和遠(yuǎn)程過(guò)程調(diào)用 (RPC) 通信進(jìn)行智能篩選，ISA Server 可以根據(jù)通信的內(nèi)容來(lái)接受、拒絕、重定向和修改通信，從而實(shí)現(xiàn)對(duì)上網(wǎng)行為的管理。

1 網(wǎng)頁(yè)過(guò)濾

ISA Server能夠控制局域網(wǎng)內(nèi)用戶對(duì)特定網(wǎng)站的訪問(wèn)權(quán)限。本文以使用IP地址來(lái)禁止客戶端訪問(wèn)特定網(wǎng)站為例，對(duì)需要禁止的客戶端建立一個(gè)地址范圍或者計(jì)算機(jī)集;為禁止這些用戶訪問(wèn)的那些站點(diǎn)建立一個(gè)地址范圍或域名集;然后在防火墻策略中新建一個(gè)訪問(wèn)規(guī)則，阻止內(nèi)部的這些計(jì)算機(jī)訪問(wèn)定義的外部站點(diǎn)地址范圍或域名集。

1) 新建網(wǎng)絡(luò)對(duì)象

首先在防火墻策略右邊的工具箱里面點(diǎn)開(kāi)“網(wǎng)絡(luò)對(duì)象”，然后右擊“計(jì)算機(jī)集”，然后選擇“新建計(jì)算機(jī)集”，如圖1所示。

2) 然后在“新建計(jì)算機(jī)集規(guī)則元素”對(duì)話框上點(diǎn)擊“添加”，然后選擇“地址范圍”，如圖2所示。

建立好計(jì)算機(jī)集后，我們還需要為禁止用戶訪問(wèn)的視頻網(wǎng)站建立一個(gè)URL集。在“網(wǎng)絡(luò)對(duì)象”中，右擊“URL集”，選擇“新建URL集”; 然后在“新建URL集規(guī)則元素”對(duì)話框中，多次點(diǎn)擊“新建”按鈕，將需要屏蔽的視頻網(wǎng)站添加到URL集中，最后點(diǎn)擊“確定”，如圖3所示。

3) 建立訪問(wèn)規(guī)則

右鍵點(diǎn)擊防火墻策略，選擇新建“訪問(wèn)規(guī)則”，在向?qū)ы?yè)輸入規(guī)則的名字“禁止訪問(wèn)視頻網(wǎng)站”; 在規(guī)則操作頁(yè)，選擇“拒絕”; 在協(xié)議頁(yè)，選擇“所有出站通訊”;在訪問(wèn)規(guī)則源頁(yè)，點(diǎn)擊“添加”，然后在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框中展開(kāi)計(jì)算機(jī)集，雙擊“禁止訪問(wèn)視頻網(wǎng)站”，然后點(diǎn)擊“關(guān)閉”，然后在“訪問(wèn)規(guī)則目標(biāo)”頁(yè)中，選擇“禁止訪問(wèn)的視頻網(wǎng)站”URL集。在用戶集頁(yè)，保留默認(rèn)的所有用戶，點(diǎn)擊“下一步”;

最后，點(diǎn)擊“應(yīng)用”以保存修改和更新防火墻策略。完成的策略如圖4所示。

圖4

值得注意的是，要使該規(guī)則生效，就必須位于“內(nèi)網(wǎng)和主機(jī)允許訪問(wèn)外網(wǎng)”規(guī)則前。

最后，我們?cè)谶x擇“禁止訪問(wèn)視頻網(wǎng)站”計(jì)算機(jī)集中到一臺(tái)IP地址為192.168.2.10的計(jì)算機(jī)做測(cè)試，在瀏覽器地址欄里面輸入:www.tudou.com，提示該網(wǎng)站已被屏蔽，如圖5所示。

2 網(wǎng)絡(luò)應(yīng)用控制

ISA Server可以在局域網(wǎng)中對(duì)客戶端的網(wǎng)絡(luò)應(yīng)用進(jìn)行比較嚴(yán)格的限制，比如限制某些端口，屏蔽特定擴(kuò)展文件名的文件傳輸，禁止特定簽名的應(yīng)用通信。

2.1 禁止端口

以封閉BT端口為例，在ISA控制臺(tái)窗口中，右鍵點(diǎn)擊“防火墻策略”，選擇“新建→訪問(wèn)規(guī)則”，彈出訪問(wèn)規(guī)則向?qū)?duì)話框，在“訪問(wèn)規(guī)則名稱(chēng)”欄中輸入“禁用BT端口”，點(diǎn)擊“下一步”按鈕后，選擇“拒絕”選項(xiàng)，接著在“協(xié)議”對(duì)話框中選擇“所選的協(xié)議”。

點(diǎn)擊“添加”按鈕，在“添加協(xié)議”對(duì)話框中點(diǎn)擊“新建→協(xié)議”，彈出協(xié)議定義向?qū)?duì)話框，在名稱(chēng)欄中輸入“BT”，點(diǎn)擊“下一步”按鈕，進(jìn)入“首要連接信息”對(duì)話框。點(diǎn)擊新建”，彈出“新建/編輯協(xié)議連接”對(duì)話框(圖2)，在“協(xié)議類(lèi)型”中選擇“TCP”，選擇方向?yàn)椤叭胝尽保丝诜秶鸀椤皬?881到6889”，然后點(diǎn)擊“確定”按鈕，接下來(lái)一路點(diǎn)擊“下一步”按鈕，即可完成BT協(xié)議的定義。

2.2 HTTP篩選

HTTP 篩選器是 Web 篩選器，允許基于內(nèi)容類(lèi)型 HTTP 頭和以下條件來(lái)阻止 HTTP 請(qǐng)求:

1) 請(qǐng)求負(fù)載的長(zhǎng)度;2) URL 的長(zhǎng)度;3) HTTP 請(qǐng)求方法。例如，可以使用 POST、GET 或 HEAD 等請(qǐng)求方法;4) HTTP 請(qǐng)求文件擴(kuò)展名。例如，文件擴(kuò)展名可以是 .exe、.asp 或 .dll; 5) HTTP 請(qǐng)求或響應(yīng)頭。例如，請(qǐng)求或響應(yīng)頭可以是 Location、Server 或 Via;6) 在請(qǐng)求頭或響應(yīng)頭或正文中的簽名或模式。

3 流量控制

ISA Server本身沒(méi)有流量控制的功能， 但是可以使用第三方插件實(shí)現(xiàn)。Bandwidth Splitter for ISA Server作為一個(gè)插件集成于ISA的控制面版中，可以定制內(nèi)部網(wǎng)絡(luò)中的單個(gè)用戶、主機(jī)組、計(jì)算機(jī)組對(duì)INTERNET連接和帶寬;可以啟用通往INTERNET的總量限制;可以實(shí)時(shí)監(jiān)控連接狀態(tài)以及流量使用情況。

下面以限制網(wǎng)速為例，說(shuō)明Bandwidth Splitter for ISA Server在流量控制中的應(yīng)用。

1) 右鍵單擊“shaping rules”，新建“rules”，彈出規(guī)則創(chuàng)建向?qū)?，并在接下?lái)的對(duì)話框中輸入規(guī)則名“單擊網(wǎng)速限速”，下一步，在“APPLIES TO”界面，源選擇“IP address sets specified below”，關(guān)點(diǎn)選“add”，在彈出的“ADD NETWORK ENTITIES”界面，選擇源“內(nèi)部”，如圖6所示。

2) 下一步，在“Destinations”，點(diǎn)擊“ADD”，彈出的對(duì)話框，也是ISA中所定義的\"網(wǎng)絡(luò)對(duì)象\"，此處選擇“外部”。

3) 在“Schedule”，選擇下拉框中選擇“always”。

4) 下一步，在“SHAPING”界面，選擇“shape incoming and outgoing traffic”，并在“incoming (kbits/s)”填入480，在“outgoing(kbits/s)”填入240，并點(diǎn)選\"don't shape cached web content\"。注意1Byte=8bit，所以限制后單擊的最大下載流量是160KB，上傳是30KB。這樣的網(wǎng)速已經(jīng)滿足大部分互聯(lián)網(wǎng)應(yīng)用。如圖7所示。

4 用戶上網(wǎng)日志及分析報(bào)告

1) 日志分析

在ISA Server中提供了強(qiáng)大的日志查看功能，可以通過(guò)日志查看器來(lái)監(jiān)視及分析通訊狀況，并提供網(wǎng)絡(luò)活動(dòng)的疑難解答信息。日志查看器可以實(shí)時(shí)顯示日志信息，在這種情況下，每當(dāng)記錄事件時(shí)，都會(huì)將它顯示在日志查看器中。

如果要查看實(shí)時(shí)日志，運(yùn)行ISA管理控制臺(tái)，點(diǎn)擊監(jiān)視，再點(diǎn)擊日志標(biāo)簽，然后點(diǎn)擊開(kāi)始查詢，當(dāng)查詢獲得新的日志記錄時(shí)，會(huì)顯示出來(lái)，如下圖所示。日志查看器中最多只能顯示10000個(gè)篩選結(jié)果，如果獲得的篩選器查詢結(jié)果超過(guò)10000個(gè)，則日志查看器停止查詢。

如圖8所示。

2) 報(bào)告功能

ISA Server 的報(bào)告基于ISA服務(wù)器的日志摘要數(shù)據(jù)庫(kù)，默認(rèn)情況下此數(shù)據(jù)庫(kù)位于ISA安裝目錄的ISASummaries文件夾中。ISA Server的報(bào)告對(duì)一段時(shí)間的網(wǎng)絡(luò)匯總，網(wǎng)絡(luò)性能評(píng)估有著較大的作用。針對(duì)用戶的總訪問(wèn)量，用戶使用的協(xié)議，用戶的流量統(tǒng)計(jì)等可以提供一個(gè)圖形化，直觀的報(bào)表。

如圖9所示。