!使用IP地址来禁止内部用户上网

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

使用IP地址来禁止内部用户上网

在ISA Server 2004中,禁止客户上网是很简单的事情,你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网,适合于IP地址固定的环境。

至于如何使用身份验证来禁止用户上网,会在本站的另外一篇文章“How to :使用身份验证来禁止内部用户上网”中进行介绍。

在访问规则的设置上,又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络,适合于严格定义策略的环境,如在策略中只允许某些客户上网,那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络,适合于在宽松定义策略的环境中禁止某些客户不能上网。

如果使用IP地址来禁止,表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。

就策略的选用上来说,我个人倾向于后面的那种,可能是因为我比较懒的原因:)。不过相信在大多数网络环境中都是采用的宽松定义的策略,我下面就以明确禁止客户上网来给大家讲讲如何进行设置。

一、通过IP来禁止

首先谈禁止IP的部分,这个适合于固定IP配置的用户。

操作步骤如下:

1、对需要禁止上网的客户新建一个地址集或者计算机集;

2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集;当然对于完全禁止这个客户上网,那么这一步可以省略,使用ISA自带的外部网络就可以了。

3、在防火墙策略中新建一个访问规则;

在这篇文章中,我们以客户机IP为192.168.0.41为例,先设置策略禁止它访问外部网络,然后设置策略禁止它访问YAHOO网站,不过可以访问其他网站。

首先在防火墙策略右边的工具箱里面点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”;

然后在“新建计算机集”对话框上点击“添加”,然后选择“计算机”;

在“添加计算机”对话框,输入该计算机名字和IP地址,点击“OK”;

建好的计算机集如下图所示,点击“OK”;

然后右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字;

规则动作为阻止,然后在源网络中选择刚才建立的Denyed Clients。

目的网络选择外部;

按照提示进行,最后建立好的防火墙策略应该如下图所示,点击“应用”保存修改和更新防火墙设置;注意看,第2条策略就是“无限制的Internet访问”,这条策略允许所有的内部客户访问外部网络;

然后,在这个客户上进行测试,如下图,这个客户已经不能访问网络了。

现在我们试试只是让这个客户不能访问YAHOO的网站,而能够访问其他网站。

首先,得为禁止这个客户访问的目的地址建立一个集,我这儿图省事,使用的是域名集,如果使用其他的,还需要找IP地址。同样在“网络对象”中,右击“域名集”,选择“新建域名集”;

在域名集中我添加了YAHOO的网站;

然后在刚才建好的Denyed

Clients这条策略上双击,修改它的目的网络属性,从“外部”改为“*”;

修改后的策略如下图所示,点击“应用”;

现在再到客户机上,访问ISA中文站,是可以访问的;

但是yahoo就不能访问了

抱歉:这篇文章配图中,为规则及一些对象所起的名字有英文语法错误,不影响文章本身的内容。我英文差,请见谅:(。

相关文档
最新文档