用防火墙客户端限制使用SKYPE：ISA2006系列之七

核心提示： 要禁止客户机使用SNAT就要动动脑筋了，我们可以利用SNAT不支持用户身份验证的弱点，用防火墙客户端限制使用SKYPE：ISA2006系列之七(2)，在访问规则中要求用户必须通过身份验证，这样就可以强迫用户放弃SNAT，展开 配置－常规，点击“定义防火墙客户端设置”，如下

要禁止客户机使用SNAT就要动动脑筋了，我们可以利用SNAT不支持用户身份验证的弱点，在访问规则中要求用户必须通过身份验证，这样就可以强迫用户放弃SNAT。如下图所示，现在的访问规则中允许所有用户任意访问，所有用户包括了未经身份验证的用户，因此我们要对规则进行修改。

编辑规则属性，切换到用户标签，如下图所示，删除“所有用户”，然后点击“添加”按钮，将用户集“所有通过身份验证的用户”添加进来。

由于修改后的访问规则要求用户提供身份验证，但SNAT客户端无法提供，这样客户机就被逼上了只能使用防火墙客户端的华山绝路。

二 利用防火墙客户端禁止特定程序

现在客户机只能使用防火墙客户端上网了，我们可以来试试用防火墙客户端限制程序了。我们此次的实验目的是限制使用SKYPE，SKYPE是一款功能非常强大的通讯软件，它的分布式计算特点使它获得了非常完美的通话音质，而它凶悍的穿透能力让很多防火墙管理员一筹莫展。今天我们要试试用简单的方法来限制SKYPE，在没限制之前，客户机的SKYPE可以正常使用，如下图所示。

打开ISA服务器管理，展开 配置－常规，点击“定义防火墙客户端设置”，如下图所示。