創建和自動更改ISA訪問策略

趙錦東，杜芳芳

（唐山學院，唐山 063000）

創建和自動更改ISA訪問策略

趙錦東1，杜芳芳2

（唐山學院，唐山 063000）

0 引言

許多院校都有控制學生訪問外網的需求,例如有的學校不允許學生在實踐課中訪問游戲網站,有的學校不允許學生在實踐課下載視頻文件,有的學校不允許學生使用QQ等通訊工具,諸如此類,這些需求都可以通過ISA防火墻策略中的訪問規則來加以實現。針對已設定的策略,若采用人為的方式進行修改的話,會很枯燥無味,效率也很低,可以利用代碼自動更改訪問策略的方式來解決這一問題。

1 ISA簡介

ISA 是目前唯一在Windows平臺上,同時具有防火墻與網站緩存的服務器軟件。其設計是針對使用Internet的安全需求,提供多層次的防火墻,并結合Microsoft ISA Server專用的防毒軟件,在Internet推出的第一道關卡,保護網絡資源,以避免病毒、黑客及未獲授權的存取行為。并同時具加速內部對內與對外的存取速度,節省Internet網絡頻寬,并且提供使用者更快的Web存取速度。并進行Internet資源管理的功能。

ISA Server不但可以作為高效的Web代理、強大的防火墻、安全的VPN,還可以作為內部服務器的發布平臺。同時,它可協助保護其環境免受內部和來自Internet的威脅。借助代理--防火墻的混合架構、深入的內容檢查、細化的策略以及全面的報警和監控功能,它能夠更加輕松地管理和保護網絡。

國內對ISA在校園網的使用,大都局限于對軟件的使用上,大多通過手工配置來實現管理和資源共享,針對更深層的應用等涉及的不多。

2 訪問策略

訪問策略決定位于源網絡中的客戶是否可以訪問目的網絡中的資源,ISA Server提供了常用的協議列表供選擇,也可以使用增加附加的協議。在配置訪問策略時,應用協議的所有通信。 當用戶使用某種協議請求一個對象時,ISA Server檢查訪問策略。只有在訪問策略允許這個用戶使用指定的協議訪問這個請求的對象時,請求才會處理。否則將不處理用戶的請求。

3 創建和自動更改訪問策略

要創建符合特定要求的網絡的安全鏈接,可以用ISA Serve將局域網連接到Internet中,并且創建允許內部用戶訪問特定的Internet主機的訪問策略。或者說,限制用戶訪問某些特定的Internet主機的訪問策略。這樣就可以有效的控制實踐教學過程,使之免受外部信源的干擾和破壞。

在創建訪問策略之前,先來簡要介紹一下一些重要的策略元素:

協議元素:限制了用戶訪問外網時所使用的網絡協議。如果想讓用戶只訪問一些特定網站,那么就可以在協議元素中限定用戶只可以使用HTTP協議,這樣就使得用戶只能訪問網站。

用戶元素:可以控制有哪些人能訪問外網。例如在實踐課上,可以把某班的所有學生都創建一個賬號和一個組賬號。便于管理。

計劃元素:可以用來表示時間范圍。例如希望學生在早8∶00-12∶00這一時間段內有限制的上網,就可以通過計劃元素就可以輕松完成。

容類型元素:負責將訪問互聯網的數據劃分為音頻,視頻,文本,HTML文檔等類型,利用內容類型可以更精細地控制學生對網絡內容的訪問,當然,ISA在這方面的功能上還存在一定的缺陷,應用其它的方法予以補充。

網絡對象中包括了很多策略元素,例如計算機集,域名集,URL集等,例如想限定學生不能訪問某網站,那就必須先通過網絡對象對該網站進行定義,然后才能在訪問規則中加以利用。

下面以學校的機房作為實驗環境來說明如何創建訪問策略。機房有80臺學生用機,一臺isa服務器等設備,如圖1所示,目的是寫出一條禁止訪問規則,即學生在實踐課時間(8∶00-12∶00),禁止訪問新浪網站。

圖1 設備連接圖

打開ISA服務器管理,根據向導創建需要的訪問策略。過程如下:

打開新建訪問向導,彈出的對話框,用戶要給出訪問規則名稱。下一步要給出符合條件時要執行的操作,根據本實例的要求是禁止訪問,所以要選擇拒絕這個選項。下一步給出該規則要用的協議,根據實例的要求,選擇所有出站通訊。由于是控制機房的學生訪問外網,所以訪問規則源我們用的是內部,再下一步要給出禁止訪問的目標是什么,實例給出的是新浪。在用戶集的選擇中,我們選擇的是所有用戶。用戶可以以各種身份登陸,然后進行訪問外網的操作,本實例中,不涉及到限制用戶的問題,因此選擇的是所有用戶。最后一步完成,在核對信息無誤后,即可單擊完成操作。

圖2 訪問策略管理界面

經過前面的操作,完成了滿足要求的訪問規則的創建,大家可以通過點擊ISA服務器管理中的防火墻策略規則來查看設置內容,如圖2所示。

通過上面的實例,大家已經了解了如何創建訪問策略,與此同時,另一個問題就應運而生了,如果想讓用戶訪問該網站,或者是在不同的時間段允許訪問,又或者是對已有的被允許的策略想更改成拒絕,諸如此類。如何處理呢?通常是打開已有的策略,逐個的進行修改,這樣反復的操作,既浪費時間,有枯燥,效率又不高。針對這一問題,筆者提出利用程序來自動進行修改,下面是部分代碼:

4 結束語

在教學活動中,特別是在實踐教學中,通過ISA的訪問規則可以實現對學生上機的有效管理,這樣既減輕了教師的工作壓力,又能夠有效的保障教學質量和實踐環境。

[1]樓建列, 基于ISA的虛擬校園網構建及應用[J]. 電腦知識與技術(學術交流).

[2]風間子, How to: 允許外部的VPN客戶訪問內部網絡,http://www.isacn.org/.

Create and voluntarily change the isa access policy

ZHAO Jin-dong1, DU Fang-fang2

許多院校的教師在教授計算機的實踐課時，都會遇到學生訪問與教學內容無關的網站這一情況，這樣很影響教學效果。針對這一問題，本文提出了利用ISA的訪問策略來解決，以實例介紹如何創建訪問策略，如何利用程序來修改訪問策略。這樣不僅減輕了教師的負擔，而且有效的保證了教學質量。

ISA；訪問策略；策略元素

趙錦東(1978－),女, 講師,碩士,研究方向計算機應用。

TP393

A

1009-0134(2011)1(上)-0169-02

10.3969/j.issn.1009-0134.2011.1(上).52

2010-10-17