赵锦东，杜芳芳

（唐山学院，唐山 063000）

创建和自动更改ISA访问策略

赵锦东1，杜芳芳2

（唐山学院，唐山 063000）

0 引言

许多院校都有控制学生访问外网的需求,例如有的学校不允许学生在实践课中访问游戏网站,有的学校不允许学生在实践课下载视频文件,有的学校不允许学生使用QQ等通讯工具,诸如此类,这些需求都可以通过ISA防火墙策略中的访问规则来加以实现。针对已设定的策略,若采用人为的方式进行修改的话,会很枯燥无味,效率也很低,可以利用代码自动更改访问策略的方式来解决这一问题。

1 ISA简介

ISA 是目前唯一在Windows平台上,同时具有防火墙与网站缓存的服务器软件。其设计是针对使用Internet的安全需求,提供多层次的防火墙,并结合Microsoft ISA Server专用的防毒软件,在Internet推出的第一道关卡,保护网络资源,以避免病毒、黑客及未获授权的存取行为。并同时具加速内部对内与对外的存取速度,节省Internet网络频宽,并且提供使用者更快的Web存取速度。并进行Internet资源管理的功能。

ISA Server不但可以作为高效的Web代理、强大的防火墙、安全的VPN,还可以作为内部服务器的发布平台。同时,它可协助保护其环境免受内部和来自Internet的威胁。借助代理--防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护网络。

国内对ISA在校园网的使用,大都局限于对软件的使用上,大多通过手工配置来实现管理和资源共享,针对更深层的应用等涉及的不多。

2 访问策略

访问策略决定位于源网络中的客户是否可以访问目的网络中的资源,ISA Server提供了常用的协议列表供选择,也可以使用增加附加的协议。在配置访问策略时,应用协议的所有通信。 当用户使用某种协议请求一个对象时,ISA Server检查访问策略。只有在访问策略允许这个用户使用指定的协议访问这个请求的对象时,请求才会处理。否则将不处理用户的请求。

3 创建和自动更改访问策略

要创建符合特定要求的网络的安全链接,可以用ISA Serve将局域网连接到Internet中,并且创建允许内部用户访问特定的Internet主机的访问策略。或者说,限制用户访问某些特定的Internet主机的访问策略。这样就可以有效的控制实践教学过程,使之免受外部信源的干扰和破坏。

在创建访问策略之前,先来简要介绍一下一些重要的策略元素:

协议元素:限制了用户访问外网时所使用的网络协议。如果想让用户只访问一些特定网站,那么就可以在协议元素中限定用户只可以使用HTTP协议,这样就使得用户只能访问网站。

用户元素:可以控制有哪些人能访问外网。例如在实践课上,可以把某班的所有学生都创建一个账号和一个组账号。便于管理。

计划元素:可以用来表示时间范围。例如希望学生在早8∶00-12∶00这一时间段内有限制的上网,就可以通过计划元素就可以轻松完成。

容类型元素:负责将访问互联网的数据划分为音频,视频,文本,HTML文档等类型,利用内容类型可以更精细地控制学生对网络内容的访问,当然,ISA在这方面的功能上还存在一定的缺陷,应用其它的方法予以补充。

网络对象中包括了很多策略元素,例如计算机集,域名集,URL集等,例如想限定学生不能访问某网站,那就必须先通过网络对象对该网站进行定义,然后才能在访问规则中加以利用。

下面以学校的机房作为实验环境来说明如何创建访问策略。机房有80台学生用机,一台isa服务器等设备,如图1所示,目的是写出一条禁止访问规则,即学生在实践课时间(8∶00-12∶00),禁止访问新浪网站。

图1 设备连接图

打开ISA服务器管理,根据向导创建需要的访问策略。过程如下:

打开新建访问向导,弹出的对话框,用户要给出访问规则名称。下一步要给出符合条件时要执行的操作,根据本实例的要求是禁止访问,所以要选择拒绝这个选项。下一步给出该规则要用的协议,根据实例的要求,选择所有出站通讯。由于是控制机房的学生访问外网,所以访问规则源我们用的是内部,再下一步要给出禁止访问的目标是什么,实例给出的是新浪。在用户集的选择中,我们选择的是所有用户。用户可以以各种身份登陆,然后进行访问外网的操作,本实例中,不涉及到限制用户的问题,因此选择的是所有用户。最后一步完成,在核对信息无误后,即可单击完成操作。

图2 访问策略管理界面

经过前面的操作,完成了满足要求的访问规则的创建,大家可以通过点击ISA服务器管理中的防火墙策略规则来查看设置内容,如图2所示。

通过上面的实例,大家已经了解了如何创建访问策略,与此同时,另一个问题就应运而生了,如果想让用户访问该网站,或者是在不同的时间段允许访问,又或者是对已有的被允许的策略想更改成拒绝,诸如此类。如何处理呢?通常是打开已有的策略,逐个的进行修改,这样反复的操作,既浪费时间,有枯燥,效率又不高。针对这一问题,笔者提出利用程序来自动进行修改,下面是部分代码:

4 结束语

在教学活动中,特别是在实践教学中,通过ISA的访问规则可以实现对学生上机的有效管理,这样既减轻了教师的工作压力,又能够有效的保障教学质量和实践环境。

[1]楼建列, 基于ISA的虚拟校园网构建及应用[J]. 电脑知识与技术(学术交流).

[2]风间子, How to: 允许外部的VPN客户访问内部网络,http://www.isacn.org/.

Create and voluntarily change the isa access policy

ZHAO Jin-dong1, DU Fang-fang2

许多院校的教师在教授计算机的实践课时，都会遇到学生访问与教学内容无关的网站这一情况，这样很影响教学效果。针对这一问题，本文提出了利用ISA的访问策略来解决，以实例介绍如何创建访问策略，如何利用程序来修改访问策略。这样不仅减轻了教师的负担，而且有效的保证了教学质量。

ISA；访问策略；策略元素

赵锦东(1978－),女, 讲师,硕士,研究方向计算机应用。

TP393

A

1009-0134(2011)1(上)-0169-02

10.3969/j.issn.1009-0134.2011.1(上).52

2010-10-17