基于ISA Server的上网行为管理机制
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于ISA Server的上网行为管理机制范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:阐述了Microsoft ISA Server在上网行为管理中的应用。Microsoft ISA Server可以保护企业网络免受黑客入侵和攻击,提高网络性能和安全。
关键词:Microsoft Internet Security & Acceleration;上网行为
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)35-9940-03
ISA Server Access to the Internet-Based Behavior Management System
ZHANG Chun-sheng1, LAN Ping2
(1.Quzhou Municipal Public Security Bureau,Quzhou 324000,China;2. Zhejiang Transportation Vocational and Technical College of Information Science,Hangzhou 311112,China)
Abstract: How to manager on-line behaviors by using Microsoft ISA Server are explained. ISA can protect organizations of all sizes from external and internal threats and attack, improve network security and performance.
Key words: Microsoft Internet Security & Acceleration Server; online behaviors
随着计算机和宽带的普及,互联网已经成为企业工作中便捷高效、不可缺少的现代办公工具,也极大地降低了企业运营和沟通成本。同时,由于网络资源丰富多彩,部分员工在办公时间内浏览与工作无关的娱乐新闻网站、观看流媒体或者玩游戏、使用IM软件聊天、使用P2P软件下载大容量的文件,以及其它非工作用途的计算机应用。这就很容易导致公司网络资源耗尽,同时又会影响到公司其它员工的工作。
上网行为管理可以帮助用户对以上这些上网行为进行有效的管制,改善内网环境,提升带宽资源使用效率。具体包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
ISA(Internet Security and Acceleration) 是微软推出的网络安全产品,作为世界领先的企业级应用层防火墙,ISA Server 已经在不同行业、不同规模的企业中得到了广泛的使用。ISA Server 2006具有强大的应用层过滤功能,能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制。isa server 2006还可以使用应用程序、命令和数据层筛选器控制应用程序特定通信。通过对 VPN、HTTP、文件传输协议 (FTP)、简单邮件传输协议 (SMTP)、邮局协议3 (POP3)、域名系统 (DNS)、流媒体和远程过程调用 (RPC) 通信进行智能筛选,ISA Server 可以根据通信的内容来接受、拒绝、重定向和修改通信,从而实现对上网行为的管理。
1 网页过滤
ISA Server能够控制局域网内用户对特定网站的访问权限。本文以使用IP地址来禁止客户端访问特定网站为例,对需要禁止的客户端建立一个地址范围或者计算机集;为禁止这些用户访问的那些站点建立一个地址范围或域名集;然后在防火墙策略中新建一个访问规则,阻止内部的这些计算机访问定义的外部站点地址范围或域名集。
1) 新建网络对象
首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”,如图1所示。
2) 然后在“新建计算机集规则元素”对话框上点击“添加”,然后选择“地址范围”,如图2所示。
建立好计算机集后,我们还需要为禁止用户访问的视频网站建立一个URL集。在“网络对象”中,右击“URL集”,选择“新建URL集”; 然后在“新建URL集规则元素”对话框中,多次点击“新建”按钮,将需要屏蔽的视频网站添加到URL集中,最后点击“确定”,如图3所示。
3) 建立访问规则
右键点击防火墙策略,选择新建“访问规则”,在向导页输入规则的名字“禁止访问视频网站”; 在规则操作页,选择“拒绝”; 在协议页,选择“所有出站通讯”;在访问规则源页,点击“添加”,然后在“添加网络实体”对话框中展开计算机集,双击“禁止访问视频网站”,然后点击“关闭”,然后在“访问规则目标”页中,选择“禁止访问的视频网站”URL集。在用户集页,保留默认的所有用户,点击“下一步”;
最后,点击“应用”以保存修改和更新防火墙策略。完成的策略如图4所示。
图4
值得注意的是,要使该规则生效,就必须位于“内网和主机允许访问外网”规则前。
最后,我们在选择“禁止访问视频网站”计算机集中到一台IP地址为192.168.2.10的计算机做测试,在浏览器地址栏里面输入:,提示该网站已被屏蔽,如图5所示。
2 网络应用控制
ISA Server可以在局域网中对客户端的网络应用进行比较严格的限制,比如限制某些端口,屏蔽特定扩展文件名的文件传输,禁止特定签名的应用通信。
2.1 禁止端口
以封闭BT端口为例,在ISA控制台窗口中,右键点击“防火墙策略”,选择“新建访问规则”,弹出访问规则向导对话框,在“访问规则名称”栏中输入“禁用BT端口”,点击“下一步”按钮后,选择“拒绝”选项,接着在“协议”对话框中选择“所选的协议”。
点击“添加”按钮,在“添加协议”对话框中点击“新建协议”,弹出协议定义向导对话框,在名称栏中输入“BT”,点击“下一步”按钮,进入“首要连接信息”对话框。点击新建”,弹出“新建/编辑协议连接”对话框(图2),在“协议类型”中选择“TCP”,选择方向为“入站”,端口范围为“从6881到6889”,然后点击“确定”按钮,接下来一路点击“下一步”按钮,即可完成BT协议的定义。
2.2 HTTP筛选
HTTP 筛选器是 Web 筛选器,允许基于内容类型 HTTP 头和以下条件来阻止 HTTP 请求:
1) 请求负载的长度;2) URL 的长度;3) HTTP 请求方法。例如,可以使用 POST、GET 或 HEAD 等请求方法;4) HTTP 请求文件扩展名。例如,文件扩展名可以是 .exe、.asp 或 .dll; 5) HTTP 请求或响应头。例如,请求或响应头可以是 Location、Server 或 Via;6) 在请求头或响应头或正文中的签名或模式。
3 流量控制
ISA Server本身没有流量控制的功能, 但是可以使用第三方插件实现。Bandwidth Splitter for ISA Server作为一个插件集成于ISA的控制面版中,可以定制内部网络中的单个用户、主机组、计算机组对INTERNET连接和带宽;可以启用通往INTERNET的总量限制;可以实时监控连接状态以及流量使用情况。
下面以限制网速为例,说明Bandwidth Splitter for ISA Server在流量控制中的应用。
1) 右键单击“shaping rules”,新建“rules”,弹出规则创建向导,并在接下来的对话框中输入规则名“单击网速限速”,下一步,在“APPLIES TO”界面,源选择“IP address sets specified below”,关点选“add”,在弹出的“ADD NETWORK ENTITIES”界面,选择源“内部”,如图6所示。
2) 下一步,在“Destinations”,点击“ADD”,弹出的对话框,也是ISA中所定义的"网络对象",此处选择“外部”。
3) 在“Schedule”,选择下拉框中选择“always”。
4) 下一步,在“SHAPING”界面,选择“shape incoming and outgoing traffic”,并在“incoming (kbits/s)”填入480,在“outgoing(kbits/s)”填入240,并点选"don't shape cached web content"。注意1Byte=8bit,所以限制后单击的最大下载流量是160KB,上传是30KB。这样的网速已经满足大部分互联网应用。如图7所示。
4 用户上网日志及分析报告
1) 日志分析
在ISA Server中提供了强大的日志查看功能,可以通过日志查看器来监视及分析通讯状况,并提供网络活动的疑难解答信息。日志查看器可以实时显示日志信息,在这种情况下,每当记录事件时,都会将它显示在日志查看器中。
如果要查看实时日志,运行ISA管理控制台,点击监视,再点击日志标签,然后点击开始查询,当查询获得新的日志记录时,会显示出来,如下图所示。日志查看器中最多只能显示10000个筛选结果,如果获得的筛选器查询结果超过10000个,则日志查看器停止查询。
如图8所示。
2) 报告功能
ISA Server 的报告基于ISA服务器的日志摘要数据库,默认情况下此数据库位于ISA安装目录的ISASummaries文件夹中。ISA Server的报告对一段时间的网络汇总,网络性能评估有着较大的作用。针对用户的总访问量,用户使用的协议,用户的流量统计等可以提供一个图形化,直观的报表。
如图9所示。