ISA (Microsoft Internet Security andAcceleration)是微软著名的路由级防火墙，它很重要的一项功能是为内网提供代理，并且比一般的代理软件功能要强大很多。下面就校园网中的实际操作谈一谈ISA2004在校园网上网控制中的应用。
　　ISA (Microsoft lnternet Security andAcCCleration)是微软著名的路由级防火墙，它很重要的一项功能是为内网提供代理，并且比一般的代理软件功能要强大很多。下面就校园网中的实际操作谈一谈谈ISA2004在校园网上网控制中的应用。
　　设学校的网络环境如下：学校主交换机釆用神州数码DCRS—6512，分支交换机釆用DCS—3628，根据瑞口连接情况划分了四个虚拟网：
　　学校的ISA2004代理服务器上需要安装双网卡，配置情况如下：
　　网卡一：IP：172．20．1．1(县教育局城域网分配的IP地址)，子网掩码：255．255．0．0，网关：172．20．255．254，DNS：202．102．128．68。网卡一为城域网接口，通过光缆连接至县教委信息中心主交换机。
　　网卡二：2 1P：192．168．1．1，子网掩码：255．255．0．0。网卡二为校园网内部接口。
　　ISA服务器在安装ISA2004寸必须设置好内部所有子网的IP地址范围，但是由于ISA服务器内部接口是属于V1anl。为了与其他虚拟网通信，所以还需要加上Vlanl到其他虚拟网的路由，需要在ISA服务器的DOS命令提示符下，分别执行以下几条命令：
　　route add—p 192．168．2．0 mask 255．255．255．O192．168．1．254
　　route add-p 192．168．3．O mask 255．255．255．O192．168．1．254
　　route add—p 192．168．4．O mask 255．255．255．O192．168．1．254
　　1SA2004在校园上网控制中的作用韮要表现为下面几个方面。
　　
　　一、允许校园网内部所有用户上网
　　
　　刚开始安装完毕时，ISA2004默认禁止内部所有用户上网，要想让内部所有用户上网必须新建一条访问规则。
　　打开ISA2004，在左边窗口中右键单击“防火墙策略”，执行“新建-访问规则”，输入规则名称，如“允许所有用户上网”，单击“下一步”，规则操作选择“允许”，协议选择“所有出站通汛”，单击“下一步”。在访问规则源对话框中单击“添加”按钮，在弹出的添加网络实体对话框中展开“网络”，双击“内部”，关闭添加网络实体对话框。单击“下一步”，在访问规则目标对话框中单击”添加”按钮，在弹出的添加网络实体对话框中展开“网络”，双击“外部”，单击“下一步”、用户集按默认的所有用户，单击“下一步”完成此规则的建立，单击“应用”按钮使所建立的规则生效。此寸我们建立了一条允许内部所有用户上网的规则。
　　在校园网内部的计算机的IE属性对话框小， 单击“连接”选项卡，单击“局域网设置”按钮，设置代理服务器的IP地址为192．168．1．1(ISA服务器的内部网卡地址)，端口为8080，如果网络连接正常，我们在校内就能通过ISA代理连接到Internet。
　　
　　二、禁止校园网内部某些用户的上网
　　
　　想禁止校园网内部某些用户上网，如禁止微机室上网，我们可以进行如下操作。
　　第一步，对禁止上网的内部用户建立一个地址集或计算机集，在I SA右边窗口的“工具箱”选项卡中，右键单击“地址范围”，在弹出的快捷菜单中选择“新建地址范围”。弹出的对话框中输入地址范围名称，比如“微机室”，指定IP地址范围：192．168．4．1－192．168．4．253。
　　第二步，建立一条访问规则，如“禁止微机室上网”，但是这次建立的访问规则和上面的不问，这里规则操作选择“拒绝”，在访问规则源对话框添加网络实体时展开“地址范围”，双击“微机室”，其他操作和“允许所有用户上网”规则相同，单击“应用”按钮使规则生效，即我们建立了一条拒绝微机室访问外部的规则。此时微机室子网中所有微机已不能连接到Internet。
　　
　　三、限制校园网内部某些用户上网的时间
　　
　　如果想限制办公区老师们的上网时间， 如在上午9：00—11：00间不能上互联网，则可以及进行如下操作。
　　第一步，建立一个地址集或计算机集，仿照上述步骤建立一个地址范围，名称为“办公区”，指定IP地址范围：192．168．2．1—192．168．2．253。
　　第二步，建立一条允许办公区到外部的访问规则，名称为“限制办公区上网时间”，在建立规则的过程中规则操作选择“允许”，在访问规则源对话框添加网络实体时展开“地址范围”，双击“办公区”；。其他操作和“允许所有用户上网”规则相同。然后右键单击新建的“限制办公区上网时间”访问规则名称，在弹出的快捷菜单中选择属性，打开访问规则的属性对话框，单击“计划”选项卡，默认计划“总是”，在下面的时间方格里显示周口到周六每一天24小时全部处于活动状态，即允许任何时间上网。单击“新建”按钮新建一个计划，把从周口到周六每天的上午9：00－11：00之间的方格设置成非活动状态，让“限制办公区上网时间”访问规则按我们新建的计划丁作。
　　应用以后，办公区的计算机在每天的上午911：00之间不能上互联网。
　　
　　四、禁止校园网内部某些用户访问某些网站
　　
　　为了尽量避免学生从网络上接受垃圾信息，学校需要对学生电脑进行限制，如对一些有害网站、游戏网站等，限制学生的访问。假设我们不想让教学区的计算机访问搜狐网站，我们可以这样设置：
　　第一步，建立一个地址范围，名称为“教学区”，指定IP地址范围：192．168．3．1—192．168．3．253。在“工具箱”选项卡的域名集中新建一个域名集，名称为“禁止访问的网站”，在“新建域名集策略元素”对话框中单击“新建”按钮，输入“http：／／sohu．com”，如果还想禁止其他的网站。继续单击“新建”按钮输入，单击确定按钮，域名集建立完毕。
　　第二步，建立一条针对教学区的访问规则，如“禁止教学区访问的网站”。建立规则时，操作选择“拒绝”，在访问规则源对话框添加网络实体时展开“地址范围”，双击“教学区”，在访问规则目标对话框中添加网络实体寸展开“域名集”，选择“禁止访问的网站”，其他默认，也就是建立了一条拒绝从教学区到“禁止访问的网站”域名集的访问规则。
　　应用以后，教学区的计算机不能上搜孤网站，但是能上其他网站。
　　
　　五、使校园网内部各子网之间能够互访
　　
　　ISA安装完毕以后，默认情况下不允许校内各子网之间通讯。解决办法是建立一条内部到内部的访问规则，如“内部互访”规则。这和“允许所有用户上网”访问规则有一点不同，就是在访问规则目标村话框：卜添加网络实体时展开“网络”，不是选择“外部”，而是选择“内部”， 即从内部到内部是允许访问的，这样校内各子网之间才能够互访。
　　以上简单地介绍了ISA2004代理在校园网控制中的几个应用，可以举一反三，更方便地管理校园网络。运用ISA2004作代理，不会降低上网的速度，相反在ISA2004中适当设置缓存会提高内部上网的速度。随着校园网建设规模的扩大，对校园内部用户上网进行适当的控制，运用ISA2004做代理是一个比较理想的选