淺談如何利用ISA Server實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)管理

黃燕銘

(南京財(cái)經(jīng)大學(xué)現(xiàn)代教育技術(shù)中心，江蘇南京210046)

1.引言

目前高校機(jī)房網(wǎng)絡(luò)管理模式主要分為兩種：

第一種模式是每臺(tái)計(jì)算機(jī)連接到校園網(wǎng)，再由校園網(wǎng)連接到互聯(lián)網(wǎng)。每臺(tái)計(jì)算機(jī)都配置有上網(wǎng)的所有參數(shù)，如獨(dú)立的外網(wǎng)IP地址，DNS等。這樣在上課過(guò)程中很難控制學(xué)生的上網(wǎng)以及他們的上網(wǎng)內(nèi)容，而且機(jī)房的計(jì)算機(jī)很容易感染病毒，給機(jī)房管理員帶來(lái)繁重的維護(hù)任務(wù)。

第二種模式是通過(guò)訪問(wèn)代理服務(wù)器的方式接入互聯(lián)網(wǎng)，但并沒(méi)有根據(jù)實(shí)際需要對(duì)代理服務(wù)器進(jìn)行必要的詳細(xì)設(shè)置，導(dǎo)致學(xué)生容易利用這個(gè)機(jī)會(huì)進(jìn)行一些與實(shí)驗(yàn)課無(wú)關(guān)的操作，從而影響課程的教學(xué)效果，甚至訪問(wèn)一些不安全的網(wǎng)站，進(jìn)而把病毒傳播到整個(gè)網(wǎng)絡(luò)，增加不必要的維護(hù)負(fù)擔(dān)。

ISA的存在，正好解決了以上兩種情況的問(wèn)題。在機(jī)房中只需給每臺(tái)裝有ISA服務(wù)器端的服務(wù)器配置外網(wǎng)IP地址，而每臺(tái)裝有ISA客戶端的學(xué)生機(jī)只需配置內(nèi)網(wǎng)IP地址。這樣既大大節(jié)省了外網(wǎng)IP地址，避免了IP地址的浪費(fèi)，又能很好的控制機(jī)房的網(wǎng)絡(luò)使用。

2.ISA簡(jiǎn)介

作為微軟下一代應(yīng)用程序?qū)臃阑饓?、VPN和Web緩存解決方案的ISA Server可提供更高水平的安全性，更簡(jiǎn)化的管理模式和更佳的性能。它尤其適合于保護(hù)運(yùn)行Microsoft應(yīng)用程序(如Outlook、Microsoft Internet信息服務(wù))的網(wǎng)絡(luò)。ISA SERVER目前的版本有ISA2000，ISA2004，ISA2006；是微軟公司開(kāi)發(fā)的可擴(kuò)展的企業(yè)防火墻以及構(gòu)建在Windows 2000，Windows 2003和Windows 2008操作系統(tǒng)安全、管理和目錄上的Web緩存服務(wù)器，以實(shí)現(xiàn)基于策略的網(wǎng)際訪問(wèn)控制、加速和管理。其主要功能有：

(1)確保Internet連接的安全性

ISA服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。

(2)防火墻(firewall)

ISA Server包含一個(gè)功能完善的應(yīng)用程序?qū)痈兄阑饓Γ刂苾?nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間的通信；保護(hù)Web和電子郵件服務(wù)器防御外來(lái)攻擊；檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性。

(3)虛擬專(zhuān)用網(wǎng)(VPN)

可以讓遠(yuǎn)程用戶與局域網(wǎng)(LAN)之間，或者是分別位于兩地的局域網(wǎng)之間，通過(guò)因特網(wǎng)來(lái)建立一個(gè)安全的通道。

(4)網(wǎng)頁(yè)緩存(web cache)

通過(guò)將用戶經(jīng)常訪問(wèn)的網(wǎng)頁(yè)保存到ISA服務(wù)器的硬盤(pán)與內(nèi)存，不但讓用戶更快的訪問(wèn)網(wǎng)頁(yè)，同時(shí)也提高網(wǎng)絡(luò)資源的利用，節(jié)省網(wǎng)絡(luò)帶寬。

3.安裝ISA服務(wù)器

為了使ISA發(fā)揮更大的作用，建議操作系統(tǒng)選用Microsoft Windows Server 2003，ISA選用企業(yè)版。

服務(wù)器上安裝好Microsoft Windows 2003后，再安裝上ISA SERVER 2006.在安裝過(guò)程中，主要有以下幾步：“客戶信息”中輸入用戶名，cd-key等；“安裝方案”中選擇安裝方案；“組件選擇”；“企業(yè)安裝選項(xiàng)”；“內(nèi)部網(wǎng)絡(luò)”對(duì)話框中設(shè)置內(nèi)部網(wǎng)絡(luò)連接網(wǎng)卡參數(shù)；“防火墻客戶端連接”；“服務(wù)警告”。這其中的一個(gè)關(guān)鍵的步驟是建立本地訪問(wèn)表，目的是把當(dāng)前內(nèi)網(wǎng)中的所有邏輯IP網(wǎng)段包括進(jìn)去，如選擇：192.168.0.0～192.168.255.255，而不應(yīng)該包括外部網(wǎng)絡(luò)的IP。安裝完后的ISA Server和外網(wǎng)的所有連接都是關(guān)閉的，需要什么服務(wù)必須手工建立。

4.安裝ISA客戶端

ISA提供客戶端的安裝程序，在客戶端計(jì)算機(jī)中安裝后，即可使用ISA提供的防火墻及代理功能。ISA客戶端不像服務(wù)器端對(duì)機(jī)器操作系統(tǒng)有要求，它可以安裝在任何微軟操作系統(tǒng)上。安裝過(guò)程也很簡(jiǎn)單，按照ISA客戶端程序提供的安裝向?qū)?，默認(rèn)安裝即可。

5.ISA基本設(shè)置

安裝好了ISA SERVER后，還要對(duì)它進(jìn)行必要的設(shè)置，否則ISA SERVER默認(rèn)禁止所有的用戶訪問(wèn)互聯(lián)網(wǎng)。因此需要為訪問(wèn)互聯(lián)網(wǎng)的用戶創(chuàng)建互聯(lián)網(wǎng)訪問(wèn)規(guī)則并且生效后才可以訪問(wèn)互聯(lián)網(wǎng)。

5.1 客戶端設(shè)置

右鍵點(diǎn)擊IE瀏覽器，選擇“IE選項(xiàng)”，使用“IE選項(xiàng)”中的“連接”中的“局域網(wǎng)(LAN)設(shè)置”中的內(nèi)容進(jìn)行設(shè)置。在“代理服務(wù)器”的地址中輸入ISA服務(wù)器名稱(chēng)或者ISA服務(wù)器的IP地址，輸入服務(wù)器端設(shè)置好的端口號(hào)即可。如圖1所示：

圖1 ISA客戶端設(shè)置

5.2 定義內(nèi)網(wǎng)地址

設(shè)定需要通過(guò)ISA服務(wù)器進(jìn)行訪問(wèn)外網(wǎng)的內(nèi)部IP地址范圍。通過(guò)ISA管理界面中的網(wǎng)絡(luò)，按照內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)卡進(jìn)行設(shè)定，如圖2所示：

5.3 創(chuàng)建安全外出訪問(wèn)策略

在其內(nèi)部接口上使用8080端口(對(duì)于SSL連接使用8443端口)對(duì)內(nèi)部用戶的外出訪問(wèn)請(qǐng)求進(jìn)行監(jiān)聽(tīng)。

網(wǎng)絡(luò)內(nèi)存在兩種客戶機(jī)：一種是教師使用的客戶機(jī)，一種是學(xué)生使用的客戶機(jī)。因此有必要對(duì)這兩種客戶機(jī)分別設(shè)置外出訪問(wèn)策略。

首先設(shè)置兩種客戶機(jī)地址集：教師群和學(xué)生群。為限制學(xué)生的訪問(wèn)內(nèi)容，需要設(shè)置目標(biāo)集，可以有兩種設(shè)置方法：允許訪問(wèn)的站點(diǎn)或者禁止訪問(wèn)的站點(diǎn)。設(shè)置允許訪問(wèn)的站點(diǎn)相對(duì)而言比較安全。

對(duì)于學(xué)生機(jī)還需要設(shè)置禁止下載的幾類(lèi)文件，比如，zip、.rar及視頻影音文件等，把他們歸入一個(gè)自定義的內(nèi)容組。

根據(jù)實(shí)際需要還可以設(shè)置時(shí)間限制：哪個(gè)時(shí)間段可以進(jìn)行訪問(wèn)或者哪個(gè)時(shí)間段不可以進(jìn)行訪問(wèn)。為了避免在使用QQ等娛樂(lè)軟件時(shí)占用太多的帶寬，可以進(jìn)行帶寬優(yōu)先級(jí)設(shè)置，保證學(xué)校正常網(wǎng)絡(luò)通訊的流量。

6.禁止訪問(wèn)指定的內(nèi)容

互聯(lián)網(wǎng)提供各種不同的格式的文件，禁止對(duì)某些內(nèi)容進(jìn)行訪問(wèn)，可以增強(qiáng)網(wǎng)絡(luò)安全。

例如在本人在實(shí)驗(yàn)室日常使用中設(shè)置了如下幾條限制：

(1)禁止擴(kuò)展名類(lèi)型訪問(wèn)

為了保證機(jī)房遠(yuǎn)離病毒，本人ISA不允許下載或者訪問(wèn)帶有惡意性質(zhì)的軟件，例如exe、scr、ocx等格式的文件。設(shè)置方法如下：右擊“開(kāi)通網(wǎng)絡(luò)”訪問(wèn)規(guī)則，在彈出的快捷菜單中選擇“配置HTTP”命令，出現(xiàn)“為規(guī)則配置HTTP策略”對(duì)話框。切換到“擴(kuò)展名”選項(xiàng)卡，在“指定對(duì)文件擴(kuò)展名要執(zhí)行的操作”下拉列表框中選擇“阻止指定的擴(kuò)展名(允許所有其他擴(kuò)展名)”選項(xiàng)。單擊“添加”按鈕，顯示“擴(kuò)展名”對(duì)話框，在“擴(kuò)展名”文本框中輸入文件擴(kuò)展名，例如.EXE。單擊“確定”按鈕，關(guān)閉“擴(kuò)展名”對(duì)話框。至此，設(shè)置完成。

(2)禁止觀看流媒體

有時(shí)，有的課程需要用到網(wǎng)絡(luò)，學(xué)生上課時(shí)可能會(huì)利用網(wǎng)絡(luò)看電影，從而影響上課質(zhì)量。此時(shí)，我們就允許他們?cè)L問(wèn)互聯(lián)網(wǎng)，但是不允許觀看流媒體文件。所以，本人在ISA中創(chuàng)建新訪問(wèn)規(guī)則禁止訪問(wèn)流媒體服務(wù)器。流媒體協(xié)議包括MMS、MMS服務(wù)器、RTSP、RTSP服務(wù)器等協(xié)議。

“禁止訪問(wèn)流媒體服務(wù)器”訪問(wèn)規(guī)則創(chuàng)建過(guò)程同“開(kāi)通網(wǎng)絡(luò)”，在“協(xié)議”對(duì)話框的“此規(guī)則用到”下拉框中選擇“所選的協(xié)議”選項(xiàng)，單擊“添加”按鈕，顯示“添加協(xié)議”對(duì)話框。展開(kāi)“所有協(xié)議”，在協(xié)議列表中選擇MMS、MMS服務(wù)器等協(xié)議。

(3)禁止訪問(wèn)指定的網(wǎng)站

互聯(lián)網(wǎng)中右的網(wǎng)站含有惡意代碼，為了保證機(jī)房機(jī)器遠(yuǎn)離這些病毒，保證實(shí)驗(yàn)課正常進(jìn)行，必須使實(shí)驗(yàn)室計(jì)算機(jī)遠(yuǎn)離這些網(wǎng)站。因此，本人通過(guò)使用ISA創(chuàng)建規(guī)則禁止用戶訪問(wèn)此類(lèi)網(wǎng)站。使用ISA屏蔽這些網(wǎng)站需要分兩個(gè)步驟，首先要禁止內(nèi)網(wǎng)對(duì)這些網(wǎng)站的訪問(wèn)，然后禁止對(duì)該域名集的訪問(wèn)。

(4)禁止使用第三方代理服務(wù)器

使用ISA創(chuàng)建規(guī)則可以禁止學(xué)生訪問(wèn)某些網(wǎng)站，但是如果學(xué)生具備一定的網(wǎng)絡(luò)知識(shí)，他們通過(guò)代理服務(wù)器就可以間接訪問(wèn)那些我們禁止的網(wǎng)站。而此時(shí)如果我們僅僅是發(fā)現(xiàn)一個(gè)代理，就去禁止一個(gè)代理，顯然是不現(xiàn)實(shí)的方法。當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)時(shí)會(huì)用到GET和POST命令，而在使用代理時(shí)會(huì)用到CONNECT命令，所以本人通過(guò)ISA設(shè)置禁止用戶使用“代理行為”的方法封鎖所以的代理。具體方法就是在“為規(guī)則配置HTTP策略對(duì)話框”選擇禁止CONNECT方法。

7.結(jié)束語(yǔ)

ISA SERVER有著強(qiáng)大的功能，在實(shí)際應(yīng)用中也起到了很大的作用。要合理利用協(xié)議規(guī)則，配置好它的訪問(wèn)控制等策略。根據(jù)課程安排，學(xué)生安排等現(xiàn)實(shí)實(shí)際情況，進(jìn)行合理的控制網(wǎng)絡(luò)，從而達(dá)到既可以很好的滿足教學(xué)又滿足學(xué)生課余上網(wǎng)的要求。使機(jī)房網(wǎng)絡(luò)管理更加安全，更加科學(xué)有效。

[1] 顧武雄.ISA SERVER 2006企業(yè)級(jí)防火墻實(shí)戰(zhàn)徹底攻略[M].北京：清華大學(xué)出版社，2008.

[2] 戴有煒.ISA SERVER 2006防火墻安裝與管理指南[M].北京：科學(xué)出版社，2008.

[3] 杜詩(shī)軍，趙丹，胡士杰.利用ISA Server實(shí)現(xiàn)機(jī)房網(wǎng)絡(luò)管理[J].微機(jī)發(fā)展，2003，13(8)：105-107.