ＩＳＡ２００４代理在校園網上網控制中的應用

　　ISA (Microsoft Internet Security andAcceleration)是微軟著名的路由級防火墻，它很重要的一項功能是為內網提供代理，并且比一般的代理軟件功能要強大很多。下面就校園網中的實際操作談一談ISA2004在校園網上網控制中的應用。
　　ISA (Microsoft lnternet Security andAcCCleration)是微軟著名的路由級防火墻，它很重要的一項功能是為內網提供代理，并且比一般的代理軟件功能要強大很多。下面就校園網中的實際操作談一談談ISA2004在校園網上網控制中的應用。
　　設學校的網絡環境如下：學校主交換機釆用神州數碼DCRS—6512，分支交換機釆用DCS—3628，根據瑞口連接情況劃分了四個虛擬網：
　　學校的ISA2004代理服務器上需要安裝雙網卡，配置情況如下：
　　網卡一：IP：172．20．1．1(縣教育局城域網分配的IP地址)，子網掩碼：255．255．0．0，網關：172．20．255．254，DNS：202．102．128．68。網卡一為城域網接口，通過光纜連接至縣教委信息中心主交換機。
　　網卡二：2 1P：192．168．1．1，子網掩碼：255．255．0．0。網卡二為校園網內部接口。
　　ISA服務器在安裝ISA2004寸必須設置好內部所有子網的IP地址范圍，但是由于ISA服務器內部接口是屬于V1anl。為了與其他虛擬網通信，所以還需要加上Vlanl到其他虛擬網的路由，需要在ISA服務器的DOS命令提示符下，分別執行以下幾條命令：
　　route add—p 192．168．2．0 mask 255．255．255．O192．168．1．254
　　route add-p 192．168．3．O mask 255．255．255．O192．168．1．254
　　route add—p 192．168．4．O mask 255．255．255．O192．168．1．254
　　1SA2004在校園上網控制中的作用韮要表現為下面幾個方面。
　　
　　一、允許校園網內部所有用戶上網
　　
　　剛開始安裝完畢時，ISA2004默認禁止內部所有用戶上網，要想讓內部所有用戶上網必須新建一條訪問規則。
　　打開ISA2004，在左邊窗口中右鍵單擊“防火墻策略”，執行“新建-訪問規則”，輸入規則名稱，如“允許所有用戶上網”，單擊“下一步”，規則操作選擇“允許”，協議選擇“所有出站通汛”，單擊“下一步”。在訪問規則源對話框中單擊“添加”按鈕，在彈出的添加網絡實體對話框中展開“網絡”，雙擊“內部”，關閉添加網絡實體對話框。單擊“下一步”，在訪問規則目標對話框中單擊”添加”按鈕，在彈出的添加網絡實體對話框中展開“網絡”，雙擊“外部”，單擊“下一步”、用戶集按默認的所有用戶，單擊“下一步”完成此規則的建立，單擊“應用”按鈕使所建立的規則生效。此寸我們建立了一條允許內部所有用戶上網的規則。
　　在校園網內部的計算機的IE屬性對話框小， 單擊“連接”選項卡，單擊“局域網設置”按鈕，設置代理服務器的IP地址為192．168．1．1(ISA服務器的內部網卡地址)，端口為8080，如果網絡連接正常，我們在校內就能通過ISA代理連接到Internet。
　　
　　二、禁止校園網內部某些用戶的上網
　　
　　想禁止校園網內部某些用戶上網，如禁止微機室上網，我們可以進行如下操作。
　　第一步，對禁止上網的內部用戶建立一個地址集或計算機集，在I SA右邊窗口的“工具箱”選項卡中，右鍵單擊“地址范圍”，在彈出的快捷菜單中選擇“新建地址范圍”。彈出的對話框中輸入地址范圍名稱，比如“微機室”，指定IP地址范圍：192．168．4．1－192．168．4．253。
　　第二步，建立一條訪問規則，如“禁止微機室上網”，但是這次建立的訪問規則和上面的不問，這里規則操作選擇“拒絕”，在訪問規則源對話框添加網絡實體時展開“地址范圍”，雙擊“微機室”，其他操作和“允許所有用戶上網”規則相同，單擊“應用”按鈕使規則生效，即我們建立了一條拒絕微機室訪問外部的規則。此時微機室子網中所有微機已不能連接到Internet。
　　
　　三、限制校園網內部某些用戶上網的時間
　　
　　如果想限制辦公區老師們的上網時間， 如在上午9：00—11：00間不能上互聯網，則可以及進行如下操作。
　　第一步，建立一個地址集或計算機集，仿照上述步驟建立一個地址范圍，名稱為“辦公區”，指定IP地址范圍：192．168．2．1—192．168．2．253。
　　第二步，建立一條允許辦公區到外部的訪問規則，名稱為“限制辦公區上網時間”，在建立規則的過程中規則操作選擇“允許”，在訪問規則源對話框添加網絡實體時展開“地址范圍”，雙擊“辦公區”；。其他操作和“允許所有用戶上網”規則相同。然后右鍵單擊新建的“限制辦公區上網時間”訪問規則名稱，在彈出的快捷菜單中選擇屬性，打開訪問規則的屬性對話框，單擊“計劃”選項卡，默認計劃“總是”，在下面的時間方格里顯示周口到周六每一天24小時全部處于活動狀態，即允許任何時間上網。單擊“新建”按鈕新建一個計劃，把從周口到周六每天的上午9：00－11：00之間的方格設置成非活動狀態，讓“限制辦公區上網時間”訪問規則按我們新建的計劃丁作。
　　應用以后，辦公區的計算機在每天的上午911：00之間不能上互聯網。
　　
　　四、禁止校園網內部某些用戶訪問某些網站
　　
　　為了盡量避免學生從網絡上接受垃圾信息，學校需要對學生電腦進行限制，如對一些有害網站、游戲網站等，限制學生的訪問。假設我們不想讓教學區的計算機訪問搜狐網站，我們可以這樣設置：
　　第一步，建立一個地址范圍，名稱為“教學區”，指定IP地址范圍：192．168．3．1—192．168．3．253。在“工具箱”選項卡的域名集中新建一個域名集，名稱為“禁止訪問的網站”，在“新建域名集策略元素”對話框中單擊“新建”按鈕，輸入“http：／／sohu．com”，如果還想禁止其他的網站。繼續單擊“新建”按鈕輸入，單擊確定按鈕，域名集建立完畢。
　　第二步，建立一條針對教學區的訪問規則，如“禁止教學區訪問的網站”。建立規則時，操作選擇“拒絕”，在訪問規則源對話框添加網絡實體時展開“地址范圍”，雙擊“教學區”，在訪問規則目標對話框中添加網絡實體寸展開“域名集”，選擇“禁止訪問的網站”，其他默認，也就是建立了一條拒絕從教學區到“禁止訪問的網站”域名集的訪問規則。
　　應用以后，教學區的計算機不能上搜孤網站，但是能上其他網站。
　　
　　五、使校園網內部各子網之間能夠互訪
　　
　　ISA安裝完畢以后，默認情況下不允許校內各子網之間通訊。解決辦法是建立一條內部到內部的訪問規則，如“內部互訪”規則。這和“允許所有用戶上網”訪問規則有一點不同，就是在訪問規則目標村話框：卜添加網絡實體時展開“網絡”，不是選擇“外部”，而是選擇“內部”， 即從內部到內部是允許訪問的，這樣校內各子網之間才能夠互訪。
　　以上簡單地介紹了ISA2004代理在校園網控制中的幾個應用，可以舉一反三，更方便地管理校園網絡。運用ISA2004作代理，不會降低上網的速度，相反在ISA2004中適當設置緩存會提高內部上網的速度。隨著校園網建設規模的擴大，對校園內部用戶上網進行適當的控制，運用ISA2004做代理是一個比較理想的選