实例详解ISA防火墙策略元素：ISA2006系列之五

核心提示：我们在前面的工作中已经实现了ISA2006的代理服务器功能，接下来我们要实现ISA的访问控制功能，实例详解ISA防火墙策略元素：ISA2006系列之五，很多公司都有控制员工访问外网的需求，例如有的公司不允许员工访问游戏网站，这条规则是我们在前面测试代理服务器的时候创建的，现在我们对它动动手术，有的公司不允许员工使用QQ

我们在前面的工作中已经实现了ISA2006的代理服务器功能，接下来我们要实现ISA的访问控制功能。很多公司都有控制员工访问外网的需求，例如有的公司不允许员工访问游戏网站，有的公司不允许员工使用QQ等即时通讯工具，有的公司禁止员工下载视频文件，还有的公司只允许访问自家的门户网站…..这些需求都可以通过ISA2006防火墙策略中的访问规则来加以实现。既然如此，那我们赶紧来写上几条访问规则测试一下吧。别急，访问规则是由策略元素构成的，我们要想写出访问规则，首先要掌握策略元素，还是让我们从学习策略元素开始吧。

准备一下实验环境，拓扑如下图所示，Denver是Contoso.com的域控制器，Perth是域内的工作站，Beijing是ISA2006服务器，Beijing也加入了域。

我们的目标是先写出一条访问规则：允许在午休时间（12:00-13:00），人事部和财务部的员工可以访问互联网上除百度之外的网站，而且访问网站时不能访问视频和音频内容，我们通过这条规则的实现过程来学习策略元素。

如下图所示，打开ISA服务器管理，选中防火墙策略，此时右侧面板的工具箱中显示的就是策略元素，大家看到的有协议，用户，内容类型，计划，网络对象等，下面我们一一展开分析。

一 协议

协议元素限制了用户问外网时所使用的网络协议。例如我们此次实验的目标是只允许部分用户访问一些特定网站，那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS，这样就保证了用户只能访问网站。当前ISA中有一个很宽泛的访问规则，如下图所示，允许内网和本地主机可以使用任何协议，在任何时间，以任何用户的身份，访问任意网络的任意内容。这条规则是我们在前面测试代理服务器的时候创建的，现在我们对它动动手术，只允许用户用HTTP和HTTPS访问外网。