趙錦東，杜芳芳

（唐山學(xué)院，唐山 063000）

創(chuàng)建和自動更改ISA訪問策略

趙錦東1，杜芳芳2

（唐山學(xué)院，唐山 063000）

0 引言

許多院校都有控制學(xué)生訪問外網(wǎng)的需求,例如有的學(xué)校不允許學(xué)生在實踐課中訪問游戲網(wǎng)站,有的學(xué)校不允許學(xué)生在實踐課下載視頻文件,有的學(xué)校不允許學(xué)生使用QQ等通訊工具,諸如此類,這些需求都可以通過ISA防火墻策略中的訪問規(guī)則來加以實現(xiàn)。針對已設(shè)定的策略,若采用人為的方式進(jìn)行修改的話,會很枯燥無味,效率也很低,可以利用代碼自動更改訪問策略的方式來解決這一問題。

1 ISA簡介

ISA 是目前唯一在Windows平臺上,同時具有防火墻與網(wǎng)站緩存的服務(wù)器軟件。其設(shè)計是針對使用Internet的安全需求,提供多層次的防火墻,并結(jié)合Microsoft ISA Server專用的防毒軟件,在Internet推出的第一道關(guān)卡,保護(hù)網(wǎng)絡(luò)資源,以避免病毒、黑客及未獲授權(quán)的存取行為。并同時具加速內(nèi)部對內(nèi)與對外的存取速度,節(jié)省Internet網(wǎng)絡(luò)頻寬,并且提供使用者更快的Web存取速度。并進(jìn)行Internet資源管理的功能。

ISA Server不但可以作為高效的Web代理、強(qiáng)大的防火墻、安全的VPN,還可以作為內(nèi)部服務(wù)器的發(fā)布平臺。同時,它可協(xié)助保護(hù)其環(huán)境免受內(nèi)部和來自Internet的威脅。借助代理--防火墻的混合架構(gòu)、深入的內(nèi)容檢查、細(xì)化的策略以及全面的報警和監(jiān)控功能,它能夠更加輕松地管理和保護(hù)網(wǎng)絡(luò)。

國內(nèi)對ISA在校園網(wǎng)的使用,大都局限于對軟件的使用上,大多通過手工配置來實現(xiàn)管理和資源共享,針對更深層的應(yīng)用等涉及的不多。

2 訪問策略

訪問策略決定位于源網(wǎng)絡(luò)中的客戶是否可以訪問目的網(wǎng)絡(luò)中的資源,ISA Server提供了常用的協(xié)議列表供選擇,也可以使用增加附加的協(xié)議。在配置訪問策略時,應(yīng)用協(xié)議的所有通信。 當(dāng)用戶使用某種協(xié)議請求一個對象時,ISA Server檢查訪問策略。只有在訪問策略允許這個用戶使用指定的協(xié)議訪問這個請求的對象時,請求才會處理。否則將不處理用戶的請求。

3 創(chuàng)建和自動更改訪問策略

要創(chuàng)建符合特定要求的網(wǎng)絡(luò)的安全鏈接,可以用ISA Serve將局域網(wǎng)連接到Internet中,并且創(chuàng)建允許內(nèi)部用戶訪問特定的Internet主機(jī)的訪問策略?；蛘哒f,限制用戶訪問某些特定的Internet主機(jī)的訪問策略。這樣就可以有效的控制實踐教學(xué)過程,使之免受外部信源的干擾和破壞。

在創(chuàng)建訪問策略之前,先來簡要介紹一下一些重要的策略元素:

協(xié)議元素:限制了用戶訪問外網(wǎng)時所使用的網(wǎng)絡(luò)協(xié)議。如果想讓用戶只訪問一些特定網(wǎng)站,那么就可以在協(xié)議元素中限定用戶只可以使用HTTP協(xié)議,這樣就使得用戶只能訪問網(wǎng)站。

用戶元素:可以控制有哪些人能訪問外網(wǎng)。例如在實踐課上,可以把某班的所有學(xué)生都創(chuàng)建一個賬號和一個組賬號。便于管理。

計劃元素:可以用來表示時間范圍。例如希望學(xué)生在早8∶00-12∶00這一時間段內(nèi)有限制的上網(wǎng),就可以通過計劃元素就可以輕松完成。

容類型元素:負(fù)責(zé)將訪問互聯(lián)網(wǎng)的數(shù)據(jù)劃分為音頻,視頻,文本,HTML文檔等類型,利用內(nèi)容類型可以更精細(xì)地控制學(xué)生對網(wǎng)絡(luò)內(nèi)容的訪問,當(dāng)然,ISA在這方面的功能上還存在一定的缺陷,應(yīng)用其它的方法予以補(bǔ)充。

網(wǎng)絡(luò)對象中包括了很多策略元素,例如計算機(jī)集,域名集,URL集等,例如想限定學(xué)生不能訪問某網(wǎng)站,那就必須先通過網(wǎng)絡(luò)對象對該網(wǎng)站進(jìn)行定義,然后才能在訪問規(guī)則中加以利用。

下面以學(xué)校的機(jī)房作為實驗環(huán)境來說明如何創(chuàng)建訪問策略。機(jī)房有80臺學(xué)生用機(jī),一臺isa服務(wù)器等設(shè)備,如圖1所示,目的是寫出一條禁止訪問規(guī)則,即學(xué)生在實踐課時間(8∶00-12∶00),禁止訪問新浪網(wǎng)站。

圖1 設(shè)備連接圖

打開ISA服務(wù)器管理,根據(jù)向?qū)?chuàng)建需要的訪問策略。過程如下:

打開新建訪問向?qū)?彈出的對話框,用戶要給出訪問規(guī)則名稱。下一步要給出符合條件時要執(zhí)行的操作,根據(jù)本實例的要求是禁止訪問,所以要選擇拒絕這個選項。下一步給出該規(guī)則要用的協(xié)議,根據(jù)實例的要求,選擇所有出站通訊。由于是控制機(jī)房的學(xué)生訪問外網(wǎng),所以訪問規(guī)則源我們用的是內(nèi)部,再下一步要給出禁止訪問的目標(biāo)是什么,實例給出的是新浪。在用戶集的選擇中,我們選擇的是所有用戶。用戶可以以各種身份登陸,然后進(jìn)行訪問外網(wǎng)的操作,本實例中,不涉及到限制用戶的問題,因此選擇的是所有用戶。最后一步完成,在核對信息無誤后,即可單擊完成操作。

圖2 訪問策略管理界面

經(jīng)過前面的操作,完成了滿足要求的訪問規(guī)則的創(chuàng)建,大家可以通過點擊ISA服務(wù)器管理中的防火墻策略規(guī)則來查看設(shè)置內(nèi)容,如圖2所示。

通過上面的實例,大家已經(jīng)了解了如何創(chuàng)建訪問策略,與此同時,另一個問題就應(yīng)運(yùn)而生了,如果想讓用戶訪問該網(wǎng)站,或者是在不同的時間段允許訪問,又或者是對已有的被允許的策略想更改成拒絕,諸如此類。如何處理呢?通常是打開已有的策略,逐個的進(jìn)行修改,這樣反復(fù)的操作,既浪費時間,有枯燥,效率又不高。針對這一問題,筆者提出利用程序來自動進(jìn)行修改,下面是部分代碼:

4 結(jié)束語

在教學(xué)活動中,特別是在實踐教學(xué)中,通過ISA的訪問規(guī)則可以實現(xiàn)對學(xué)生上機(jī)的有效管理,這樣既減輕了教師的工作壓力,又能夠有效的保障教學(xué)質(zhì)量和實踐環(huán)境。

[1]樓建列, 基于ISA的虛擬校園網(wǎng)構(gòu)建及應(yīng)用[J]. 電腦知識與技術(shù)(學(xué)術(shù)交流).

[2]風(fēng)間子, How to: 允許外部的VPN客戶訪問內(nèi)部網(wǎng)絡(luò),http://www.isacn.org/.

Create and voluntarily change the isa access policy

ZHAO Jin-dong1, DU Fang-fang2

許多院校的教師在教授計算機(jī)的實踐課時，都會遇到學(xué)生訪問與教學(xué)內(nèi)容無關(guān)的網(wǎng)站這一情況，這樣很影響教學(xué)效果。針對這一問題，本文提出了利用ISA的訪問策略來解決，以實例介紹如何創(chuàng)建訪問策略，如何利用程序來修改訪問策略。這樣不僅減輕了教師的負(fù)擔(dān)，而且有效的保證了教學(xué)質(zhì)量。

ISA；訪問策略；策略元素

趙錦東(1978－),女, 講師,碩士,研究方向計算機(jī)應(yīng)用。

TP393

A

1009-0134(2011)1(上)-0169-02

10.3969/j.issn.1009-0134.2011.1(上).52

2010-10-17