安全连接Internet-让ISA+Server+2006做为企业中的代理服务器[多图]

安全连接Internet-让ISA Server 2006做为企业中的代理服务器[多图] ISA Server 2006不仅功能强大，而且配置与运用也很方便，入门也很容易。如果读者有配置其他防火墙的体会，在做过一些实际操作后，可以很容易的掌握ISA Server 2006的运用。 　　ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例，如果选择三向外围网络模板，则分为内网、外网、本地主机、DMZ区)，这一点是和其他防火墙软件包括ISA Server 2000不同的地点，其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006本身的安全性。 　　对于普通防火墙来说，根据网络通讯的“方向”不同，有两项配置，即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”揭晓服务器行为。而对于ISA Server来说，除了有两这项配置之外，还包括对ISA Server服务器本身“称做‘本地主机’”的访问：“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。 　　在默认情况下，ISA Server 2006安装完成后，ISA Server会“隔离”内、外网的通讯，任何通过ISA Server执行 通讯的上述行为都要经过配置。在ISA Server中，任何未经明确“允许”的行为，默认都是“禁止”。 　　11.5.1 允许内网访问Internet 　　前面已经说过，ISA Server中的任意一种网络行为都要经过“定制”，未经明确配置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后，如果网络中的用户想通过ISA Server连接到Internet，必须要执行 配置。对于一般的上网来说，通常要包括访问远程（指Internet上的）服务器的这些服务： 　　●WWW服务，即访问远程Web服务器，实际为运用 TCP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 访问远程的TCP 80端口，如果远程的Web服务器没有运用 TCP的80端口，必须要另加定义。 ●邮件服务，收发电子邮件，实际为运用 TCP协议访问远程的SMTP服务（TCP的25端口）和POP3服务（TCP的110端口）。 　　●FTP服务，即文件上传下载服务，实际为运用 TCP协议访问远程的21端口（实际上还要运用 TCP的20端口，如果运用 PASV方式，还须要运用一个动态端口）。 　　上面这三种：阅读网页、收发邮件、FTP是Internet的三大基本运用 之后，设计任何防火墙策略，这都是必不要少的。实际中，为了运用这三种功能，还须要运用 DNS服务和SSL Web访问服务： 　　●DNS服务，提供域名分析功能，实际为运用 TCP和UDP协议访问远程的53端口。 　　●SSL Web服务，实际为运用 TCP协议访问远程的TCP的443端口。 　　把上面这些准则执行 统一，本条防火墙策略为： 　　配置原则：允许“内网”运用 Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中，建立这条准则的步骤如下： 　　第1步，在ISA Server 2006计算机上，从“程序→Microsoft ISA Server”程序组中运行“ISA服务器管理”，进入ISA Server 2006管理控制台。 　　第2步，用鼠标右键单击“防火墙策略”，从弹出的快捷方式中选择“访问准则”，如图11-11所示。 第3步，在“欢迎运用新建访问准则向导”页中，在“访问准则名称”文本框中键入“允许内网访问Internet”，然后单击“下一步”按钮，如图11-12所示。 　　图片看不清楚？请点击这里查看原图（大图）。 　　图11-12 准则名称 　　说明：在图11-12的“访问准则名称”文本框中，根据准则的行为或者目的键入准则的名称，在以后的配置中，要建立许多访问准则。一个容易标识的名称可以减轻管理员的工作负担。 第4步，在“准则操作”页选择新建准则的动作：允许或拒绝。通常情况下，ISA Server建立允许准则（默认拒绝），这可以减少ISA Server准则的数目。单击“允许”单选按钮，然后单击”下一步”按钮，如图11-13所示。 　　图11-13 准则操作 　　第5步，在“协议”页中选择建立准则运用的协议，可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。 　　如果选择“所有出站通讯”，则允许所有的协议，这样配置等于防火墙不起作用（所有的端口都开放了，防火墙也就无意义了）。只有在指定的、不须要加限定的计算机访问网络时，才配置这条准则。 　　在此选择“所选的协议”，然后单击”添加”按钮，在弹出的“添加协议”对话框中从“通用协议”中双击“DNS”、“HTTP”、“HTTPS”、“POP3”、“SMTP”，然后再从“Web”中双击“FTP”，然后单击“关上 ”按钮返回“协议”页，单击“下一步”按钮，如图11-14所示。 　　图11-14 添加协议 　　第6步，在“访问准则源”页中，选择通讯的方向。因为要建立从“内部”到“外部（即Internet）”的通讯，所以，单击”添加”按钮，在弹出的“添加网络实体”页中，单击”网络”，从中双击“内部”，然后单击”关上 ”按钮返回“访问准则源”，单击”下一步”按钮，如图11-15所示。 图11-15 选择源地址(从那里访问) 　　第7步，在“访问准则目标”页中，单击”添加”按钮，在弹出的“添加网络实体”页中双击“本地主机”，单击”关上 ”按钮，然后单击”访问准则目标”页中的”下一步”按钮，如图11-16所示。 　　图片看不清楚？请点击这里查看原图（大图）。 　　图11-16 选择目标地址(访问到那里) 　　第8步，在“用户集”页中，单击“下一步”按钮，如图11-17所示，在“正在完成新建访问准则向导”页中，单击“完成”按钮，如图11-18所示。 　 　　图11-17 默认允许所有用户 图11-18 向导完成 　　第9步，在ISA Server 2006管理控制台上，单击“运用 ”按钮，让配置生效，如图11-所示。 　　图11-19 让配置生效 　　经过这样配置，“内部”的计算机就可以通过ISA Server访问Internet了。但是，这些用户在运用远程的FTP服务器时，不能上传文件，这是ISA Server 2006内置的“FTP筛选器”默认配置为“只读”的原由。 　　在ISA Server中，只要运用 FTP协议，不管是访问Internet还是揭晓服务器，都会启用内置的“FTP筛选器”并且默认都是“只读”。所以，为了更好的运用 FTP，必须修改这一配置。 在ISA Server 2006管理控制台中，用鼠标右键单击新建立的访问准则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置FTP”（如图11-20所示），并且在弹出的“配置FTP协议策略”页中，取消“只读”单选按钮的选择，然后单击“确定”按钮，如图11-21所示。 　 　　图11-20 配置FTP 图11-21 取消FTP只读 　　在ISA Server中，如果访问的站点地址有非英文的字母，例如，访问的站点 URL地址中包括了中文，像http://www.xxx.com/运用说明.htm等地址，在访问这些地址的时候有可能会出现不正确，这是ISA Server内置的“HTTP筛选器”的配置疑问，也可以通过修改HTTP筛选器为改动这项配置。 　　在ISA Server 2006管理控制台中，用鼠标右键单击新建立的访问准则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置HTTP”（如图11-22所示），在弹出的“为准则配置HTTP策略”对话框中，取消“阻止高位字符”的选择，然后单击“确定”按钮，如图11-23所示。 　 　　图11-22 配置HTTP 图11-23 不要阻止高位字符 　　在配置之后，参照图11-19的配置，单击“运用 ”按钮，让配置生效。 11.5.2 允许内网ping通网关 　　大多数管理员习惯运用 ping命令来检查网络疑问。如果用ISA Server 2006做代理服务器，对于通过ISA Server上网的计算机来说，ISA Server 2006就是出口网关，如果工作站不能上网，在默认情况下，运用 ping命令检查网关时，不管ISA Server 2006能不能开机，或ISA Server 2006能不能正常工作，工作站将不能ping通ISA Server 2006。另外，在内网计算机ping外网的计算机时，也不能ping通。管理员可以建立一条准则，允许内网计算机ping通ISA Server 2006计算机及外网计算机。 　　【说明】配置原则：允许内网ping通“本地主机”和“外部”。 　　第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“建立新的访问准则”，在“访问准则名称”处键入“允许内网ping本地主机及外部”，然后单击“下一步”按钮，如图11-24所示。 　　图11-24 建立 “允许内网ping本地主机”的准则 　　第2步，在“准则操作”页中选择“允许”，然后单击“下一步”按钮。 　　第3步，在“协议”页中的“此准则运用 到”字段下面选择“所选的协议”，单击“添加”按钮，在弹出的“添加协议”页的“结构”中双击“ping”，单击“关上 ”按钮返回，然后单击“下一步”按钮，如图11-25所示。 　　图11-25 添加ping协议 　　第4步，在“访问准则源”页中添加“内部”，然后单击“下一步”按钮，如图11-26所示。 第5步，在“访问准则目标”页中添加“本地主机”和“外部”，然后单击“下一步”按钮，如图11-27所示。 　 　　图11-26 内部 图11-27 本地主机和外部 　　第6步，在“用户集”页中单击“下一步”按钮。 　　第7步，在“正在完成新建访问准则向导”页中单击“完成”按钮。 　　第8步，单击“运用 ”按钮，让配置生效。 　　11.5.3 允许本地主机访问外网 　　“本地主机”指安装ISA Server 2006的计算机。在默认的情况下，不仅内网计算机不能上网，安装ISA Server 2006的计算机也不能上网。最早这是ISA Server 2000为了提高安全性而配置的，到ISA Server 2006，又把安装ISA Server的计算机单独“提”出来作“本地主机”而成为ISA Server 2006中“网络”的一部分。如果只要让ISA Server 2006的计算机能上网，则可以按照“11.5.5 允许内网计算机访问外部Web站点”的步骤，将“访问准则源”页中“内部”修改为“外部”即可。在此建立一条准则，允许本地主机能上网、登录FTP、收发电子邮件等操作。 　　【说明】配置原则：允许本地主机运用 DNS、HTTP、HTTPS、FTP、SMTP、POP3协议访问外网。 　　下面来建立这条准则。 　　第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“建立新的访问准则”，在“访问准则名称”处键入“允许本地主机访问外网”，然后单击“下一步”按钮，如图11-28所示。 图11-28 建立允许本地主机访问外网的准则 　　第2步，在“准则操作”页中选择“允许”，然后单击“下一步”按钮。 　　第3步，在“协议”页中的“此准则运用 到”字段下面选择“所选的协议”，单击“添加”按钮，在弹出的“添加协议”页中，先在“通用协议”中双击“DNS”、“POP3”、“SMTP”，然后在“Web”中双击 “FTP”、“HTTP”、“HTTPS”，然后单击“关上 ”按钮返回，然后单击“下一步”按钮，如图11-29所示。 　　图11-29 添加DNS、HTTP、HTTPS、POP3、SMTP、FTP等协议 　　第4步，在“访问准则源”页中添加“本地主机”，然后单击“下一步”按钮。 　　第5步，在“访问准则目标”页中添加 “外部”，然后单击“下一步”按钮。 　　第6步，在“用户集”页中单击“下一步”按钮。 　　第7步，在“正在完成新建访问准则向导”页中单击“完成”按钮。 　　第8步，然后再按照上一节图11-20和图11-21的操作，配置FTP过滤器，取消“FTP只读”操作。 　　第9步，单击“运用 ”按钮，让配置生效。 　　11.5.4 有关运用 QQ等聊天软件和QQ、联众游戏的配置 　　即时消息软件是人们在网上交流的主要要领之一，在ISA Server 2006中，为AOL即时消息软件、ICQ聊天软件、IRC、Net2Phone网络电话、微软MSN等聊天软件提供了协议，对于国内比较优秀的聊天软件QQ、UC等，ISA Server不提供现成的协议，须要手动添加。 　　配置原则：添加QQ、UC协议，允许内网运用 MSN、QQ、UC协议访问外网。 　　1 添加QQ协议 　　QQ的服务器端默认运用 UDP协议的4000～4001和UDP协议的8000端口，添加QQ协议，就是添加这些端口的“协议”。 第1步，在ISA Server 2006控制台，在右侧的“工具箱→协议”选项组中单击“新建→协议”，如图11-30所示。 　　图11-30 新建协议 　　如果“工具箱”没有出现，单击右侧的“”按钮可以使其显示。 　　第2步，在“欢迎运用新建协议定义向导”页中的“协议定义名称”字段下面键入“QQ服务端口”，如图11-31所示，然后单击“下一步”按钮，在“首要连接信息”页中单击”新建”按钮，如图11-32所示。 　 　　图11-31 新建QQ协议 图11-32 新建连接信息 　　第3步，在弹出的“新建/编辑协议连接”页中，在“协议类型”字段后面选择UDP，在“方向”字段后面选择“发送接收”，在“端口范围”文本框中分别键入4000和4001，然后单击“确定”按钮，如图11-33。 　　第4步，在“首要连接信息”页中，再次单击”新建”按钮，如图11-34所示。 　　图11-33 添加端口范围为4001到4002的UDP发送接收协议 图11-34 添加协议 　　第5步，在“新建/编辑协议连接”页中，在“协议类型”字段后面选择UDP，在“方向”字段后面选择“发送接收”，在“端口范围”文本框中分别键入8000和8000，然后单击“确定”按钮，如图11-35所示。 　　第6步，在“首要连接信息”页中，单击“下一步”按钮，如图11-36所示。 　 　　图11-35 建立UDP端口为8000的发送接收协议 图11-36 协议添加完成 　　第7步，在“辅助连接”页选择“否”，然后单击“下一步”按钮，如图11-37所示。 　　第8步，在“正在完成新建协议定义向导”页，单击“完成”按钮，QQ协议添加完成，如图11-38所示。 　 　　图11-37 不建立辅助连接 图11-38 建立 QQ协议完成 　　2 添加UC协议 　　添加完QQ协议后，还要添加UC协议。按照添加QQ协议的步骤来添加UC协议。 　　第1步，在协议定义名称字段下面键入UC，如图11-39所示。 　　图11-39 添加UC协议 　　第2步，在“首要连接信息”页中，新建TCP协议端口为3001到3002的出站连接（如图11-40所示）和UDP协议端口为3001到3002的发送接收连接，如图11-41所示。 　 　　图11-40 建立端口为3001到3002的TCP出站协议 图11-41 建立端口为3001到3002的UDP发送接收协议 　　第3步，首要连接信息完成状态如图11-42所示。UC协议的其他选择默认值即可。 　　图11-42 UC首要连接信息 　　3 添加联众游戏协议 　　如果用户想要运用联众游戏，须要添加联众游戏所须要的端口。经过分析，联众游戏大厅运用 TCP的2000～2002、TCP的6005端口，联众部分游戏的端口号(TCP)为： 　　3000 围棋 3006 拱猪 3015 台球 2005 麻将 3300 国际象棋 　　3001 俄罗斯方块 3007 够级 3016 原子 3030 红心大战 3400 四国军棋 　　3002 三打一 3008 双扣 3017 510k 3050 五子棋 4000 GICQ 　　3003 斗地主 3010 跑得快 3018 憋7 3060 桥牌 ~4010 GICQ 　　3004 升级 3012 飞行棋 3019 黑白棋 3100 跳棋 　　3005 梭哈 3013 拼图 1007 暗棋 3200 中国象棋 　　对于没有列出的游戏，管理员可以在任意一台测试机器上，安装联众游戏，并且运用任意一款防火墙软件，例如，运用金山网镖防火墙并启用监控，记录下防火墙拦截的端口号即可，如图11-43和图11-44所示。 　 　　图11-43 金山网镖拦截的2000端口 图11-44 金山网镖拦截的6005端口 　　如图管理员想知道联众游戏的所有服务地址和服务端口，在图11-43和图11-44时，单击“禁止”按钮，这样，当访问的端口被禁止时，游戏客户端会尝试其他端口并一一列出，当所有的端口出现一遍后，再单击“允许”按钮。在禁止网络访问的流程中，游戏客户端或游戏可能不能登录，请重新登录游戏大厅或重新进入游戏即可。 　　管理员可以专门建立 “联众游戏”的协议，如图11-45和图11-46所示。 　 　　图11-45 新建联众游戏协议 图11-46 指定协议的端口 　　如果以后有其他的新游戏，请ISA Server 2006管理控制台中，用鼠标右键单击“联众游戏”，从弹出的菜单中选择“属性”（如图11-47所示），在弹出的“联众游戏 属性”页中，在“参数”选项卡中添加或修改，如图11-48所示。 　 图11-47 修改联众游戏属性 图11-48 修改具体内容 　　4 修改访问准则 　　如果允许内网的用户在访问Internet的同时，运用 QQ、UC、联众游戏，可以修改前面建立的“允许内网访问Internet”访问准则，将QQ、UC、联众游戏添加到该准则中，步骤如下。 　　第1步，在ISA Server管理控制台中，用鼠标右键单击“允许内网访问Internet”，从弹出的快捷菜单中选择“属性”，如图11-49所示。 　　图11-49 修改访问准则 　　第2步，在“允许访问Internet属性”页中，在“协议”选项卡中，单击“添加”按钮，在弹出的“添加协议”对话框中，从“用户定义”列表中双击并添加前面建立的QQ服务端口、UC、联众游戏协议，如图11-50所示，然后单击“关上 ”按钮和“确定”按钮。 　　图11-50 添加自定义的协议 　　第3步，单击“运用 ”按钮，让配置生效。 　　在许多情况下，网管员不希望用户在上班时间运用 QQ、聊天和玩联众游戏，这时就不应说将“联众游戏”等协议添加到“允许内网访问Internet协议”访问准则中，而是单独建立一条访问准则，并且只允许在工作时间之外生效，步骤如下。 　　第1步，建立访问准则，并命名准则名称为“上班之外时间允许聊天等”，如图11-51所示。 　　图11-51 建立准则 　　第2步，在“准则操作”页中选择“允许”，然后单击“下一步”按钮。 　　第3步，在“协议”页中，单击“添加”按钮，并添加“QQ服务端口”、“UC”和“联众游戏”等协议，如图11-52所示。 　　图11-52 添加用户定义协议 　　第4步，在“访问准则源”页中，单击“添加”按钮，添加“内部”，然后单击“下一步”按钮。 　　第5步，在“访问准则目标”页中，单击“添加”按钮，添加“外部”，然后单击“下一步”按钮。 　　第6步，在“用户集”页中直接单击“下一步”按钮。 　　第7步，在“正在完成新建访问准则向导”页中，单击“完成”按钮。 　　第8步，双击新建的“上班之外时间允许聊天等 属性”访问准则，打开“ 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ”选项卡，单击“新建”按钮，如图11-53所示。 　　图11-53 计划 　　第9步，在“新建计划”对话框中，在“名称”文本框中键入“工作之外时间”，然后将星期一到星期一的上午8点到下午18点之间配置为“非活动”，然后单击“确定”按钮，如图11-54所示。 　　图11-54 配置计划时间 　　第10步，返回到“上班之外时间允许聊天等 属性”页中，在“计划”列表中选择“工作之外时间”，然后单击“确定”按钮。 　　第11步，单击“运用 ”按钮，让配置生效。 　　11.5.5 在ISA Server 2006中屏蔽垃圾站点、黄色站点和恶意站点 　　互联网为大家提供信息的同时，也有一些站点存在不良信息或反动信息。运用 ISA Server怎样屏蔽这些站点呢？同时，一些有恶意代码的站点、纯广告站点、或一些强制用户从其站点下载插件的站点，管理员都可以用ISA Server执行 屏蔽。 运用 ISA Server 2006屏蔽对某些站点的访问分为两个步骤，首先要禁止内网对这些站点的访问，步骤如下： 　　第1步，在ISA Server 2006控制台的“防火墙策略”页中，单击“建立新的访问准则”，在“访问准则名称”处键入“禁止访问垃圾站点 ”，然后单击“下一步”按钮，如图11-55所示。 　　第2步，在“准则操作”页中，选择“拒绝”，然后单击“下一步”按钮，如图11-56所示。 　 　　图11-55 建立禁止访问××站点的准则 图11-56 禁止操作 　　第3步，在“协议”页中，选择“所有出站通讯”，然后单击“下一步”按钮，如图11-57所示。 　　第4步，在“访问准则源”中，添加“内部”和“本地主机”，然后单击“下一步”按钮，如图11-58所示。 　 　　图11-57 选择“所有出站通讯” 图11-58 禁止“内部”和“本地主机” 　　第5步，在“访问准则目标”中，单击”添加”按钮，在弹出的“添加网络实体”页中，单击”新建→URL集”，如图11-59所示，在弹出的“新建URL集准则元素”对话框中，在“名称”字段后面键入“被禁止的站点 ”，然后单击”新建”按钮，按照“http://*.xxx.zzz/*”的格式，添加被禁止的站点，可以添加多个站点，其中xxx.zzz是被禁止的站点的域名。配置之后单击“确定”按钮返回“添加网络实体页，如图11-60所示。 　 　　图11-59 新建URL集 图11-60 在此键入禁止访问的站点名称 　　在图11-60中键入的URL集，只有当运用 HTTP协议访问这些站点时才能生效，但访问站点的方式不只http协议，还有其他的诸如FTP、telnet等，下面建立“域名集”，以包括所有的可能。 　　第6步，在“添加网络实体”页中单击“新建→域名集”，如图11-61所示.。在弹出的“新建域名集策略元素”页中的“名称”字段后面键入“禁止的域名”，单击”新建”按钮，添加被禁止的域名，如*.xxx.com，这里的xxx.com指被禁止的域名。依次添加想要禁止的域名(以后还可以再执行 编辑)，然后单击”确定”按钮返回，如图11-62所示。 　 　　图11-61 新建域名集 图11-62 添加禁止访问的域名 　　第7步，添加域名集和URL集之后，从“域名集”中双击“禁止的域名”添加到“访问准则目标”中，从“URL集”中双击“被禁止的站点 ”到“访问准则目标”中，然后单击“关上 ”按钮返回，再次单击“下一步”按钮继续，如图11-63所示。 图11-63 添加自定义域名集和URL集 　　第8步，在“用户集”页中单击”下一步”按钮继续。 　　第9步，在“正在完成新建访问准则向导”页中单击”完成”按钮。 　　第10步，建立策略完成后，用鼠标右侧单击新建的准则，从弹出的菜单中选择“上移”，并多次上移，将其移到顶端。顶端的策略有最高的优先级，这样可以保证禁止的策略能发挥作用。如图11-64所示。 　　图11-64 移动策略位置 　　当添加完这条准则后，可以禁止用户直接访问这些站点。为什么这样说呢？请继续看下面的内容。 　　11.5.6 禁止运用代理服务器访问被禁止访问的站点和禁止运用的服务 　　如果用户通过运用代理服务器的要领间接访问被防火墙禁止的站点，还是可以成功的。这就象本 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 开始所介绍的那样：禁止用户直接从A地到C地去，但不禁止用户直接从A地到B地，而B地也不禁止用户从B地到C地，则用户可以通过从A地到B地再到C地的流程而达到他的目的。代理服务器也是这样一个原理。在以前的防火墙配置中，都是通过发觉一个代理、封一个代理的要领 (将代理服务器地址添加到禁止访问的URL集中或域名集中)，但这样做很累，达不到一劳永逸的目的，因为Internet的代理服务器是层出不穷的。管理员可以在ISA中，通过禁止用户运用 “代理行为”这一要领来达到封锁所有代理的目的。 　　当用户只阅读网页的时候，只会用到get、post这两个命令，当用户运用代理服务器执行 连接时，会运用 connect命令，管理员可以在ISA Server中禁止这个命令的运行。细致步骤如下： 　　在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击“允许内网访问Internet”，从弹出的菜单中选择“配置HTTP”，如图11-65所示。 　　图11-65 配置HTTP 　　在“为准则配置HTTP策略”页中，单击”要领 ”选项卡，在“指定HTTP要领要执行的操作”字段下面选择“阻止指定的要领 (允许所有其他要领 )”，然后单击”添加”按钮，在弹出的“要领 ”对话框中，在“要领 ”后面键入CONNECT(必须大写)，然后在“描述”字段后面键入说明信息：禁止运用代理服务器。然后单击”确定”按钮返回，再次单击”确定”按钮完成配置，如图11-66所示。 　　图11-66 禁止CONNECT要领 　　建立这个准则后，将禁止运用代理服务器，这样可以禁止用户通过各种方式访问被ISA Server策略禁止的站点。 　　11.5.7 禁止用户QQ、MSN等聊天软件和BT等P2P下载软件 　　有些单位不希望职工在上班的时间运用 QQ、UC、MSN等聊天软件，也不允许用户在上班时间运用 BT等工具下载文件。ISA Server 2006可以禁止的软件类型 　　“封”某个软件的要领无非以下几种： 　　·封服务器地址：禁止用户访问提供这些服务的服务器地址； 　　·封端口：关上这些服务的端口号； 　　·封代理：禁止用户通过代理服务器访问这些服务的服务器地址。 　　对于第一种要领 “封服务器地址”，只要知道了这些聊天服务器的地址，并按照“6.7 在ISA Server 2006中屏蔽垃圾站点、黄色站点和恶意站点 ”一节的内容，禁止用户访问这些服务器的地址即可，关键疑问是：怎样才能“穷举”完这些聊天服务器的地址？这可以通过一些数据包分析软件或抓包软件来完成，这方面的内容请参见“9. 12 抓包软件运用要领 ”一节内容。 　　对于第二种要领 “封端口”，如QQ运用 UDP的8000、4000等端口，UC运用 3001端口，只要不开放相应的服务端口就可以了。 　　对于第三种要领，可以参照“11.5.6禁止运用代理服务器访问被禁止访问的站点和禁止运用的服务”一节内容执行 。可以运用 ISA Server中的“签名”功能阻止这些软件的运用。细致步骤如下： 　　第1步，在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击“允许内网访问Internet”，从弹出的菜单中选择“配置HTTP”，在“为准则配置HTTP策略”页中，单击“签名”选项卡，如图11-67所示。 图11-67 添加签名 　　第2步，单击”添加”按钮，在弹出的“签名”页中，在“名称”文本框中键入“QQ签名项”，在“查找范围”字段后面选择“请求URL”，在“签名”字段后面键入tencent.com，然后单击”确定”按钮返回图11-67，如图11-68所示。 　　图11-68 QQ签名格式和内容 　　第3步，如果想包括Windows Messenger签名，请再在图11-67页中单击“添加”按钮，在弹出的的签名页中，在“名称”字段后面键入“Windows Messenger”，在“查找范围”字段后面选择“请求头”，在“HTTP头”字段后面键入“user-Agent:”(留心，user-Agent后面有一英文的冒号：)，在“签名”字段后面键入MSMMSGS，然后单击”确定”按钮，如图11-69所示。 　　图11-69 Messenger签名格式和内容 　　第4步，如果想包含其他签名，请按照下表添加。如表11-5表示。 　　表11-5 常用软件签名一览表 　　运用 程序 　　查找范围 　　HTTP头 　　签名 　　MSN Messenger 　　请求头 　　User-Agent: 　　MSN Messenger 　　Windows Messenger 　　请求头 　　User-Agent: 　　MSMSGS 　　Netscape 7 　　请求头 　　User-Agent 　　Netscape/7 　　AOL Messenger 　　请求头 　　User-Agent Gecko/ 　　Yahoo Messenger 　　请求头 　　Host 　　msg.yahoo.com 　　BitTorrent 　　请求头 　　User-Agent: 　　BitTorrent 　　QQ 　　请求URL 　　tencent.com 　　根据表11-5，添加须要的签名，添加完成后，单击“确定”按钮完成，如图11-70所示。 　　图11-70 添加各种签名 　　11.5.8 运用 ISA Server 2006阻止某些文件 　　运用 HTTP过滤器，还可以根据文件的扩展名执行 某些操作。例如，管理员不希望当前网页显示flash动画，或者不希望当前网页显示gif动画，或者不希望网页中出现BT种子文件扩展名，就可以执行 如下的操作： 　　第1步，在ISA Server 2006控制台的“防火墙策略”页中，用鼠标右键单击”允许内网计算机访问外网Web服务”，从弹出的菜单中选择“配置HTTP”，在“为准则配置HTTP策略”页中，单击“扩展名”选项卡，在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名(允许所有其他扩展名)”，然后单击“添加”按钮，如图11-71所示。 　　图11-71 添加扩展名 　　第2步，在“扩展名”页中，在“扩展名”字段后面键入“.SWF”(留心，SWF前面有一个英文的句点)，在“描述”文本框中键入说明信息，然后单击”确定”按钮，如图11-72所示。 图11-72 添加flash扩展名 　　第3步，单击”添加”按钮(图11-71)，在弹出的“扩展名”页中，在“扩展名”文本框中键入“.torrent”(留心前面的英文句点)，在“描述”文本框中键入说明信息，然后单击”确定”按钮，如图11-73所示。 　　图11-73 BT扩展名 　　第4步，在“扩展名”选项卡中，选中“阻止包含不明确的扩展名的请求”，然后单击“确定”按钮返回，如图11-74所示。 　　图11-74 阻止未知扩展名 　　第5步，单击“运用 ”按钮，让配置生效。 出处:http://wangchunhai.blog.51cto.com/225186/164071