安全连接Internet-让ISA Server 2006做为企业中的代理服务器

核心提示：ISA Server 2006不仅功能强大，而且设置与使用也很方便，安全连接Internet-让ISA Server 2006做为企业中的代理服务器，入门也很容易，如果读者有配置其他防火墙的经验，图11-74 阻止未知扩展名第5步，单击“应用”按钮，在做过一些实际操作后，可以很容易的掌握ISA

ISA Server 2006不仅功能强大，而且设置与使用也很方便，入门也很容易。如果读者有配置其他防火墙的经验，在做过一些实际操作后，可以很容易的掌握ISA Server 2006的使用。

ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例，如果选择三向外围网络模板，则分为内网、外网、本地主机、DMZ区)，这一点是和其他防火墙软件包括ISA Server 2000不同的地方，其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006本身的安全性。

对于普通防火墙来说，根据网络通讯的“方向”不同，有两项设置，即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。而对于ISA Server来说，除了有两这项设置之外，还包括对ISA Server服务器本身“称做‘本地主机’”的访问：“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。

在默认情况下，ISA Server 2006安装完成后，ISA Server会“隔离”内、外网的通讯，任何通过ISA Server进行通讯的上述行为都要经过设置。在ISA Server中，任何未经明确“允许”的行为，默认都是“禁止”。

11.5.1 允许内网访问Internet

前面已经说过，ISA Server中的任意一种网络行为都要经过“定制”，未经明确设置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后，如果网络中的用户想通过ISA Server连接到Internet，必须要进行设置。对于一般的上网来说，通常要包括访问远程（指Internet上的）服务器的这些服务：

●WWW服务，即访问远程Web服务器，实际为使用TCP协议访问远程的TCP 80端口，如果远程的Web服务器没有使用TCP的80端口，必须要另加定义。

●邮件服务，收发电子邮件，实际为使用TCP协议访问远程的SMTP服务（TCP的25端口）和POP3服务（TCP的110端口）。

●FTP服务，即文件上传下载服务，实际为使用TCP协议访问远程的21端口（实际上还要使用TCP的20端口，如果使用PASV方式，还需要使用一个动态端口）。

上面这三种：浏览网页、收发邮件、FTP是Internet的三大基本应用之后，设计任何防火墙策略，这都是必不要少的。实际中，为了使用这三种功能，还需要使用DNS服务和SSL Web访问服务：

●DNS服务，提供域名解析功能，实际为使用TCP和UDP协议访问远程的53端口。

●SSL Web服务，实际为使用TCP协议访问远程的TCP的443端口。

把上面这些规则进行统一，本条防火墙策略为：

设置原则：允许“内网”使用Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中，创建这条规则的步骤如下：

第1步，在ISA Server 2006计算机上，从“程序→Microsoft ISA Server”程序组中运行“ISA服务器管理”，进入ISA Server 2006管理控制台。

第2步，用鼠标右键单击“防火墙策略”，从弹出的快捷方式中选择“访问规则”，如图11-11所示。

图片看不清楚？请点击这里查看原图（大图）。

图11-11 新建访问规则

第3步，在“欢迎使用新建访问规则向导”页中，在“访问规则名称”文本框中键入“允许内网访问Internet”，然后单击“下一步”按钮，如图11-12所示。

图片看不清楚？请点击这里查看原图（大图）。

图11-12 规则名称

说明：在图11-12的“访问规则名称”文本框中，根据规则的行为或者目的键入规则的名称，在以后的设置中，要创建许多访问规则。一个容易标识的名称可以减轻管理员的工作负担。

第4步，在“规则操作”页选择新建规则的动作：允许或拒绝。通常情况下，ISA Server建立允许规则（默认拒绝），这可以减少ISA Server规则的数目。单击“允许”单选按钮，然后单击”下一步”按钮，如图11-13所示。

图11-13 规则操作

第5步，在“协议”页中选择建立规则使用的协议，可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。

如果选择“所有出站通讯”，则允许所有的协议，这样设置等于防火墙不起作用（所有的端口都开放了，防火墙也就无意义了）。只有在指定的、不需要加限制的计算机访问网络时，才设置这条规则。

在此选择“所选的协议”，然后单击”添加”按钮，在弹出的“添加协议”对话框中从“通用协议”中双击“DNS”、“HTTP”、“HTTPS”、“POP3”、“SMTP”，然后再从“Web”中双击“FTP”，然后单击“关闭”按钮返回“协议”页，单击“下一步”按钮，如图11-14所示。

图11-14 添加协议

第6步，在“访问规则源”页中，选择通讯的方向。因为要创建从“内部”到“外部（即Internet）”的通讯，所以，单击”添加”按钮，在弹出的“添加网络实体”页中，单击”网络”，从中双击“内部”，然后单击”关闭”按钮返回“访问规则源”，单击”下一步”按钮，如图11-15所示。

图11-15 选择源地址(从那里访问)

第7步，在“访问规则目标”页中，单击”添加”按钮，在弹出的“添加网络实体”页中双击“本地主机”，单击”关闭”按钮，然后单击”访问规则目标”页中的”下一步”按钮，如图11-16所示。

图片看不清楚？请点击这里查看原图（大图）。

图11-16 选择目标地址(访问到那里)

第8步，在“用户集”页中，单击“下一步”按钮，如图11-17所示，在“正在完成新建访问规则向导”页中，单击“完成”按钮，如图11-18所示。

　

图11-17 默认允许所有用户 图11-18 向导完成

第9步，在ISA Server 2006管理控制台上，单击“应用”按钮，让设置生效，如图11-所示。

图11-19 让设置生效

经过这样设置，“内部”的计算机就可以通过ISA Server访问Internet了。但是，这些用户在使用远程的FTP服务器时，不能上传文件，这是ISA Server 2006内置的“FTP筛选器”默认设置为“只读”的原因。

在ISA Server中，只要使用FTP协议，不管是访问Internet还是发布服务器，都会启用内置的“FTP筛选器”并且默认都是“只读”。所以，为了更好的使用FTP，必须修改这一设置。

在ISA Server 2006管理控制台中，用鼠标右键单击新创建的访问规则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置FTP”（如图11-20所示），并且在弹出的“配置FTP协议策略”页中，取消“只读”单选按钮的选择，然后单击“确定”按钮，如图11-21所示。

　

图11-20 配置FTP 图11-21 取消FTP只读

在ISA Server中，如果访问的网站地址有非英文的字母，例如，访问的网站URL地址中包括了中文，像http://www.xxx.com/使用说明.htm等地址，在访问这些地址的时候有可能会出现错误，这是ISA Server内置的“HTTP筛选器”的设置问题，也可以通过修改HTTP筛选器为改变这项设置。

在ISA Server 2006管理控制台中，用鼠标右键单击新创建的访问规则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置HTTP”（如图11-22所示），在弹出的“为规则配置HTTP策略”对话框中，取消“阻止高位字符”的选择，然后单击“确定”按钮，如图11-23所示。

　

图11-22 配置HTTP 图11-23 不要阻止高位字符

在设置之后，参照图11-19的配置，单击“应用”按钮，让设置生效。

11.5.2 允许内网ping通网关

大多数管理员习惯使用ping命令来检查网络问题。如果用ISA Server 2006做代理服务器，对于通过ISA Server上网的计算机来说，ISA Server 2006就是出口网关，如果工作站不能上网，在默认情况下，使用ping命令检查网关时，不管ISA Server 2006是否开机，或ISA Server 2006是否正常工作，工作站将不能ping通ISA Server 2006。另外，在内网计算机ping外网的计算机时，也不能ping通。管理员可以创建一条规则，允许内网计算机ping通ISA Server 2006计算机及外网计算机。

【说明】设置原则：允许内网ping通“本地主机”和“外部”。

第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“创建新的访问规则”，在“访问规则名称”处键入“允许内网ping本地主机及外部”，然后单击“下一步”按钮，如图11-24所示。

图11-24 创建“允许内网ping本地主机”的规则

第2步，在“规则操作”页中选择“允许”，然后单击“下一步”按钮。

第3步，在“协议”页中的“此规则应用到”字段下面选择“所选的协议”，单击“添加”按钮，在弹出的“添加协议”页的“结构”中双击“ping”，单击“关闭”按钮返回，然后单击“下一步”按钮，如图11-25所示。

图11-25 添加ping协议

第4步，在“访问规则源”页中添加“内部”，然后单击“下一步”按钮，如图11-26所示。

第5步，在“访问规则目标”页中添加“本地主机”和“外部”，然后单击“下一步”按钮，如图11-27所示。

　

图11-26 内部 图11-27 本地主机和外部

第6步，在“用户集”页中单击“下一步”按钮。

第7步，在“正在完成新建访问规则向导”页中单击“完成”按钮。

第8步，单击“应用”按钮，让设置生效。

11.5.3 允许本地主机访问外网

“本地主机”指安装ISA Server 2006的计算机。在默认的情况下，不仅内网计算机不能上网，安装ISA Server 2006的计算机也不能上网。最早这是ISA Server 2000为了提高安全性而设置的，到ISA Server 2006，又把安装ISA Server的计算机单独“提”出来作“本地主机”而成为ISA Server 2006中“网络”的一部分。如果只要让ISA Server 2006的计算机能上网，则可以按照“11.5.5 允许内网计算机访问外部Web站点”的步骤，将“访问规则源”页中“内部”修改为“外部”即可。在此创建一条规则，允许本地主机能上网、登录FTP、收发电子邮件等操作。

【说明】设置原则：允许本地主机使用DNS、HTTP、HTTPS、FTP、SMTP、POP3协议访问外网。

下面来创建这条规则。

第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“创建新的访问规则”，在“访问规则名称”处键入“允许本地主机访问外网”，然后单击“下一步”按钮，如图11-28所示。

图11-28 建立允许本地主机访问外网的规则

第2步，在“规则操作”页中选择“允许”，然后单击“下一步”按钮。

第3步，在“协议”页中的“此规则应用到”字段下面选择“所选的协议”，单击“添加”按钮，在弹出的“添加协议”页中，先在“通用协议”中双击“DNS”、“POP3”、“SMTP”，然后在“Web”中双击 “FTP”、“HTTP”、“HTTPS”，然后单击“关闭”按钮返回，然后单击“下一步”按钮，如图11-29所示。

图11-29 添加DNS、HTTP、HTTPS、POP3、SMTP、FTP等协议

第4步，在“访问规则源”页中添加“本地主机”，然后单击“下一步”按钮。

第5步，在“访问规则目标”页中添加 “外部”，然后单击“下一步”按钮。

第6步，在“用户集”页中单击“下一步”按钮。

第7步，在“正在完成新建访问规则向导”页中单击“完成”按钮。

第8步，然后再按照上一节图11-20和图11-21的操作，配置FTP过滤器，取消“FTP只读”操作。

第9步，单击“应用”按钮，让设置生效。

11.5.4 有关使用QQ等聊天软件和QQ、联众游戏的设置

即时消息软件是人们在网上交流的主要方法之一，在ISA Server 2006中，为AOL即时消息软件、ICQ聊天软件、IRC、Net2Phone网络电话、微软MSN等聊天软件提供了协议，对于国内比较优秀的聊天软件QQ、UC等，ISA Server不提供现成的协议，需要手动添加。

设置原则：添加QQ、UC协议，允许内网使用MSN、QQ、UC协议访问外网。

1 添加QQ协议

QQ的服务器端默认使用UDP协议的4000～4001和UDP协议的8000端口，添加QQ协议，就是添加这些端口的“协议”。

第1步，在ISA Server 2006控制台，在右侧的“工具箱→协议”选项组中单击“新建→协议”，如图11-30所示。

图11-30 新建协议

如果“工具箱”没有出现，单击右侧的“”按钮可以使其显示。

第2步，在“欢迎使用新建协议定义向导”页中的“协议定义名称”字段下面键入“QQ服务端口”，如图11-31所示，然后单击“下一步”按钮，在“首要连接信息”页中单击”新建”按钮，如图11-32所示。

　

图11-31 新建QQ协议 图11-32 新建连接信息

第3步，在弹出的“新建/编辑协议连接”页中，在“协议类型”字段后面选择UDP，在“方向”字段后面选择“发送接收”，在“端口范围”文本框中分别键入4000和4001，然后单击“确定”按钮，如图11-33。

第4步，在“首要连接信息”页中，再次单击”新建”按钮，如图11-34所示。

　

图11-33 添加端口范围为4001到4002的UDP发送接收协议 图11-34 添加协议

第5步，在“新建/编辑协议连接”页中，在“协议类型”字段后面选择UDP，在“方向”字段后面选择“发送接收”，在“端口范围”文本框中分别键入8000和8000，然后单击“确定”按钮，如图11-35所示。

第6步，在“首要连接信息”页中，单击“下一步”按钮，如图11-36所示。

　

图11-35 建立UDP端口为8000的发送接收协议 图11-36 协议添加完成

第7步，在“辅助连接”页选择“否”，然后单击“下一步”按钮，如图11-37所示。

第8步，在“正在完成新建协议定义向导”页，单击“完成”按钮，QQ协议添加完成，如图11-38所示。

　

图11-37 不创建辅助连接 图11-38 创建QQ协议完成

2 添加UC协议

添加完QQ协议后，还要添加UC协议。按照添加QQ协议的步骤来添加UC协议。

第1步，在协议定义名称字段下面键入UC，如图11-39所示。

图11-39 添加UC协议

第2步，在“首要连接信息”页中，新建TCP协议端口为3001到3002的出站连接（如图11-40所示）和UDP协议端口为3001到3002的发送接收连接，如图11-41所示。

　

图11-40 创建端口为3001到3002的TCP出站协议 图11-41 创建端口为3001到3002的UDP发送接收协议

第3步，首要连接信息完成状态如图11-42所示。UC协议的其他选择默认值即可。

图11-42 UC首要连接信息

3 添加联众游戏协议

如果用户想要使用联众游戏，需要添加联众游戏所需要的端口。经过分析，联众游戏大厅使用TCP的2000～2002、TCP的6005端口，联众部分游戏的端口号(TCP)为：

3000 围棋 3006 拱猪 3015 台球 2005 麻将 3300 国际象棋

3001 俄罗斯方块 3007 够级 3016 原子 3030 红心大战 3400 四国军棋

3002 三打一 3008 双扣 3017 510k 3050 五子棋 4000 GICQ

3003 斗地主 3010 跑得快 3018 憋7 3060 桥牌 ~4010 GICQ

3004 升级 3012 飞行棋 3019 黑白棋 3100 跳棋

3005 梭哈 3013 拼图 1007 暗棋 3200 中国象棋

对于没有列出的游戏，管理员可以在任意一台测试机器上，安装联众游戏，并且使用任意一款防火墙软件，例如，使用金山网镖防火墙并启用监控，记录下防火墙拦截的端口号即可，如图11-43和图11-44所示。

　

图11-43 金山网镖拦截的2000端口 图11-44 金山网镖拦截的6005端口

如图管理员想知道联众游戏的所有服务地址和服务端口，在图11-43和图11-44时，单击“禁止”按钮，这样，当访问的端口被禁止时，游戏客户端会尝试其他端口并一一列出，当所有的端口出现一遍后，再单击“允许”按钮。在禁止网络访问的过程中，游戏客户端或游戏可能不能登录，请重新登录游戏大厅或重新进入游戏即可。

管理员可以专门创建“联众游戏”的协议，如图11-45和图11-46所示。

　

图11-45 新建联众游戏协议 图11-46 指定协议的端口

如果以后有其他的新游戏，请ISA Server 2006管理控制台中，用鼠标右键单击“联众游戏”，从弹出的菜单中选择“属性”（如图11-47所示），在弹出的“联众游戏 属性”页中，在“参数”选项卡中添加或修改，如图11-48所示。

　

图11-47 修改联众游戏属性 图11-48 修改具体内容

4 修改访问规则

如果允许内网的用户在访问Internet的同时，使用QQ、UC、联众游戏，可以修改前面创建的“允许内网访问Internet”访问规则，将QQ、UC、联众游戏添加到该规则中，步骤如下。

第1步，在ISA Server管理控制台中，用鼠标右键单击“允许内网访问Internet”，从弹出的快捷菜单中选择“属性”，如图11-49所示。

图11-49 修改访问规则

第2步，在“允许访问Internet属性”页中，在“协议”选项卡中，单击“添加”按钮，在弹出的“添加协议”对话框中，从“用户定义”列表中双击并添加前面创建的QQ服务端口、UC、联众游戏协议，如图11-50所示，然后单击“关闭”按钮和“确定”按钮。

图11-50 添加自定义的协议

第3步，单击“应用”按钮，让设置生效。

在许多情况下，网管员不希望用户在上班时间使用QQ、聊天和玩联众游戏，这时就不应说将“联众游戏”等协议添加到“允许内网访问Internet协议”访问规则中，而是单独创建一条访问规则，并且只允许在工作时间之外生效，步骤如下。

第1步，创建访问规则，并命名规则名称为“上班之外时间允许聊天等”，如图11-51所示。

图11-51 创建规则

第2步，在“规则操作”页中选择“允许”，然后单击“下一步”按钮。

第3步，在“协议”页中，单击“添加”按钮，并添加“QQ服务端口”、“UC”和“联众游戏”等协议，如图11-52所示。

图11-52 添加用户定义协议

第4步，在“访问规则源”页中，单击“添加”按钮，添加“内部”，然后单击“下一步”按钮。

第5步，在“访问规则目标”页中，单击“添加”按钮，添加“外部”，然后单击“下一步”按钮。

第6步，在“用户集”页中直接单击“下一步”按钮。

第7步，在“正在完成新建访问规则向导”页中，单击“完成”按钮。

第8步，双击新建的“上班之外时间允许聊天等 属性”访问规则，打开“计划”选项卡，单击“新建”按钮，如图11-53所示。

图11-53 计划

第9步，在“新建计划”对话框中，在“名称”文本框中键入“工作之外时间”，然后将星期一到星期一的上午8点到下午18点之间设置为“非活动”，然后单击“确定”按钮，如图11-54所示。

图11-54 设置计划时间

第10步，返回到“上班之外时间允许聊天等 属性”页中，在“计划”列表中选择“工作之外时间”，然后单击“确定”按钮。

第11步，单击“应用”按钮，让设置生效。

11.5.5 在ISA Server 2006中屏蔽垃圾网站、黄色网站和恶意网站

互联网为大家提供信息的同时，也有一些网站存在不良信息或反动信息。使用ISA Server怎样屏蔽这些网站呢？同时，一些有恶意代码的网站、纯广告网站、或一些强制用户从其站点下载插件的网站，管理员都可以用ISA Server进行屏蔽。

使用ISA Server 2006屏蔽对某些网站的访问分为两个步骤，首先要禁止内网对这些网站的访问，步骤如下：

第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“创建新的访问规则”，在“访问规则名称”处键入“禁止访问垃圾网站”，然后单击“下一步”按钮，如图11-55所示。

第2步，在“规则操作”页中，选择“拒绝”，然后单击“下一步”按钮，如图11-56所示。

　

图11-55 创建禁止访问××网站的规则 图11-56 禁止操作

第3步，在“协议”页中，选择“所有出站通讯”，然后单击“下一步”按钮，如图11-57所示。

第4步，在“访问规则源”中，添加“内部”和“本地主机”，然后单击“下一步”按钮，如图11-58所示。

　

图11-57 选择“所有出站通讯” 图11-58 禁止“内部”和“本地主机”

第5步，在“访问规则目标”中，单击”添加”按钮，在弹出的“添加网络实体”页中，单击”新建→URL集”，如图11-59所示，在弹出的“新建URL集规则元素”对话框中，在“名称”字段后面键入“被禁止的网站”，然后单击”新建”按钮，按照“http://*.xxx.zzz/*”的格式，添加被禁止的站点，可以添加多个站点，其中xxx.zzz是被禁止的网站的域名。设置之后单击“确定”按钮返回“添加网络实体页，如图11-60所示。

　

图11-59 新建URL集 图11-60 在此键入禁止访问的网站名称

在图11-60中键入的URL集，只有当使用HTTP协议访问这些站点时才能生效，但访问站点的方式不只http协议，还有其他的诸如FTP、telnet等，下面建立“域名集”，以包括所有的可能。

第6步，在“添加网络实体”页中单击“新建→域名集”，如图11-61所示.。在弹出的“新建域名集策略元素”页中的“名称”字段后面键入“禁止的域名”，单击”新建”按钮，添加被禁止的域名，如*.xxx.com，这里的xxx.com指被禁止的域名。依次添加想要禁止的域名(以后还可以再进行编辑)，然后单击”确定”按钮返回，如图11-62所示。

　

图11-61 新建域名集 图11-62 添加禁止访问的域名

第7步，添加域名集和URL集之后，从“域名集”中双击“禁止的域名”添加到“访问规则目标”中，从“URL集”中双击“被禁止的网站”到“访问规则目标”中，然后单击“关闭”按钮返回，再次单击“下一步”按钮继续，如图11-63所示。

图11-63 添加自定义域名集和URL集

第8步，在“用户集”页中单击”下一步”按钮继续。

第9步，在“正在完成新建访问规则向导”页中单击”完成”按钮。

第10步，创建策略完成后，用鼠标右侧单击新建的规则，从弹出的菜单中选择“上移”，并多次上移，将其移到顶端。顶端的策略有最高的优先级，这样可以保证禁止的策略能发挥作用。如图11-64所示。

图11-64 移动策略位置

当添加完这条规则后，可以禁止用户直接访问这些网站。为什么这样说呢？请继续看下面的内容。

11.5.6 禁止使用代理服务器访问被禁止访问的网站和禁止使用的服务

如果用户通过使用代理服务器的方法间接访问被防火墙禁止的网站，还是可以成功的。这就象本书开始所介绍的那样：禁止用户直接从A地到C地去，但不禁止用户直接从A地到B地，而B地也不禁止用户从B地到C地，则用户可以通过从A地到B地再到C地的过程而达到他的目的。代理服务器也是这样一个原理。在以前的防火墙设置中，都是通过发现一个代理、封一个代理的方法(将代理服务器地址添加到禁止访问的URL集中或域名集中)，但这样做很累，达不到一劳永逸的目的，因为Internet的代理服务器是层出不穷的。管理员可以在ISA中，通过禁止用户使用“代理行为”这一方法来达到封锁所有代理的目的。

当用户只浏览网页的时候，只会用到get、post这两个命令，当用户使用代理服务器进行连接时，会使用connect命令，管理员可以在ISA Server中禁止这个命令的运行。详细步骤如下：

在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击“允许内网访问Internet”，从弹出的菜单中选择“配置HTTP”，如图11-65所示。

图11-65 配置HTTP

在“为规则配置HTTP策略”页中，单击”方法”选项卡，在“指定HTTP方法要执行的操作”字段下面选择“阻止指定的方法(允许所有其他方法)”，然后单击”添加”按钮，在弹出的“方法”对话框中，在“方法”后面键入CONNECT(必须大写)，然后在“描述”字段后面键入说明信息：禁止使用代理服务器。然后单击”确定”按钮返回，再次单击”确定”按钮完成配置，如图11-66所示。

图11-66 禁止CONNECT方法

创建这个规则后，将禁止使用代理服务器，这样可以禁止用户通过各种方式访问被ISA Server策略禁止的网站。

11.5.7 禁止用户QQ、MSN等聊天软件和BT等P2P下载软件

有些单位不希望职工在上班的时间使用QQ、UC、MSN等聊天软件，也不允许用户在上班时间使用BT等工具下载文件。ISA Server 2006可以禁止的软件类型

“封”某个软件的方法无非以下几种：

·封服务器地址：禁止用户访问提供这些服务的服务器地址；

·封端口：关闭这些服务的端口号；

·封代理：禁止用户通过代理服务器访问这些服务的服务器地址。

对于第一种方法“封服务器地址”，只要知道了这些聊天服务器的地址，并按照“6.7 在ISA Server 2006中屏蔽垃圾网站、黄色网站和恶意网站”一节的内容，禁止用户访问这些服务器的地址即可，关键问题是：怎样才能“穷举”完这些聊天服务器的地址？这可以通过一些数据包分析软件或抓包软件来完成，这方面的内容请参见“9. 12 抓包软件使用方法”一节内容。

对于第二种方法“封端口”，如QQ使用UDP的8000、4000等端口，UC使用3001端口，只要不开放相应的服务端口就可以了。

对于第三种方法，可以参照“11.5.6禁止使用代理服务器访问被禁止访问的网站和禁止使用的服务”一节内容进行。可以使用ISA Server中的“签名”功能阻止这些软件的使用。详细步骤如下：

第1步，在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击“允许内网访问Internet”，从弹出的菜单中选择“配置HTTP”，在“为规则配置HTTP策略”页中，单击“签名”选项卡，如图11-67所示。

图11-67 添加签名

第2步，单击”添加”按钮，在弹出的“签名”页中，在“名称”文本框中键入“QQ签名项”，在“查找范围”字段后面选择“请求URL”，在“签名”字段后面键入tencent.com，然后单击”确定”按钮返回图11-67，如图11-68所示。

图11-68 QQ签名格式和内容

第3步，如果想包括Windows Messenger签名，请再在图11-67页中单击“添加”按钮，在弹出的的签名页中，在“名称”字段后面键入“Windows Messenger”，在“查找范围”字段后面选择“请求头”，在“HTTP头”字段后面键入“user-Agent:”(注意，user-Agent后面有一英文的冒号：)，在“签名”字段后面键入MSMMSGS，然后单击”确定”按钮，如图11-69所示。

图11-69 Messenger签名格式和内容

第4步，如果想包含其他签名，请按照下表添加。如表11-5表示。

表11-5 常用软件签名一览表

应用程序	查找范围	HTTP头	签名
MSN Messenger	请求头	User-Agent:	MSN Messenger
Windows Messenger	请求头	User-Agent:	MSMSGS
Netscape 7	请求头	User-Agent	Netscape/7
AOL Messenger	请求头	User-Agent	Gecko/
Yahoo Messenger	请求头	Host	msg.yahoo.com
BitTorrent	请求头	User-Agent:	BitTorrent
QQ	请求URL		tencent.com

根据表11-5，添加需要的签名，添加完成后，单击“确定”按钮完成，如图11-70所示。

图11-70 添加各种签名

11.5.8 利用ISA Server 2006阻止某些文件

使用HTTP过滤器，还可以根据文件的扩展名进行某些操作。例如，管理员不希望当前网页显示flash动画，或者不希望当前网页显示gif动画，或者不希望网页中出现BT种子文件扩展名，就可以进行如下的操作：

第1步，在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击”允许内网计算机访问外网Web服务”，从弹出的菜单中选择“配置HTTP”，在“为规则配置HTTP策略”页中，单击“扩展名”选项卡，在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名(允许所有其他扩展名)”，然后单击“添加”按钮，如图11-71所示。

图11-71 添加扩展名

第2步，在“扩展名”页中，在“扩展名”字段后面键入“.SWF”(注意，SWF前面有一个英文的句点)，在“描述”文本框中键入说明信息，然后单击”确定”按钮，如图11-72所示。

图11-72 添加flash扩展名

第3步，单击”添加”按钮(图11-71)，在弹出的“扩展名”页中，在“扩展名”文本框中键入“.torrent”(注意前面的英文句点)，在“描述”文本框中键入说明信息，然后单击”确定”按钮，如图11-73所示。

图11-73 BT扩展名

第4步，在“扩展名”选项卡中，选中“阻止包含不明确的扩展名的请求”，然后单击“确定”按钮返回，如图11-74所示。

图11-74 阻止未知扩展名

第5步，单击“应用”按钮，让设置生效。

出处:http://wangchunhai.blog.51cto.com/225186/164071