新手学ISA（三）

ISA, 新手

［做人要厚道，如转载请注明出自bbs.54master.com及作者blazewind］

新手学ISA（一）
http://bbs.54master.com/thread-165174-1-2.html
新手学ISA系列（二）
http://bbs.54master.com/thread-165378-1-1.html
新手学ISA系列（三）
http://bbs.54master.com/thread-165648-1-1.html
新手学ISA系列（四）
http://bbs.54master.com/thread-165886-1-1.html
新手学ISA系列（五）
http://bbs.54master.com/thread-166259-1-1.html

接http://bbs.54master.com/thread-165378-1-1.html

星期六下午

老黑和小白来到小白的公司。

老黑：“小白，今天下午咱们来划分网络。”
　小白：“划分网络？”

“是啊，确切地说是划分一下IP地址。比如，那些地址属于财务部，那些地址属于业务部啊等等这类的。先叫我看看你公司的IP地址是怎么分配的。”
小白从自己的电脑上打开了一个Excel文档，里面的IP是这么分配的：
192.168.1.4 192.168.14 192.168.24 192.168.1.34 192.168.44 192.168.1.54 业务部
192.168.1.58 业务部主管
192.168.1.19-192.168.1.24
行政部
192.168.1.18 行政部主管
192.168.1.26-192.168.1.28
前台
192.168.1.29-192.168.1.38
财务部
192.168.188 小白自己用
192.168.1.248 公司内部交换文件用的FTP
192.168.1.249 公司财务部（财务软件的一台服务器）
192.168.1.250 财务部主管
192.168.1.88 老总
192.168.1.68 老总秘书
192.168.1.2 ISA
老黑看了一咧嘴：“这么分散，又不连贯。”
“怎么，有什么问题吗？”
“没，没什么问题？”
老黑打开ISA，然后在工具箱的网络对象

看这里，网络对象里不是有网络集，计算机，地址范围，子网，域名集，URL集，计算机集这些吗？
计算机集：简单点说，就是你一个部门，或者是说同一类的电脑的集合，比如说，你公司的业务部，由于IP地址不连贯，就可以把业务部所有电脑的IP地址添加到计算机集里来。
计算机：这指的就是单独的一台电脑，比如说，你公司的老总，你可以把老总电脑的IP地址添加到这里来
地址范围：这里的地址指的是IP地址，比如说，你公司的前台用的那三台电脑的IP地址不是192.168.1.26-192.168.1.28吗？你可以把这段IP添加到地址范围当中去。像这样比较连贯的IP地址，用地址范围比较合适
根据你的实际情况，将这些部门的电脑的IP地址分别添加到不同的类型里面。比如，同一个部门的，比如业务部计算机可以添加到计算机集里面，那些像老总IP地址，可以单独添到计算机里面。也可以把每台计算机都添加到计算机里这样，就可以达到精确控制使用这些IP地址的电脑能否上网了。
小白：“为什么不直接用内部呢？干什么非要添加这些东东呢，好麻烦。”
老黑：“不是不可以用内部那个，如果用那个的话，所有部门的人都可以上网，而根据你的要求，有的人只能打开网页，有的人既能打开网页，又要能上QQ等等吧，如果用了内部，那不等于跟现在一样吗？或者，要封QQ都封住了，要不封QQ都封不住了。”
小白：“对，对，对，还是你黑山老妖厉害！”
老黑：“……………”
“那子网，URL集，域名集做什么用呢？”
子网：是用来添加一个内部网络中的一个子网用的。
URL集：所谓的URL，指的就是像http://www.microsoft.com，说白了就是你访问某个网站时的网址，作用是用来在策略中限制那些URL不可以访问的。
域名集：指的是像www.microsoft.com
download.microsoft.com等等这些，这和URL集是有区别的。另外，域名集可以这么建，*.microsoft.com,*.baidu.com等。
小白：“有点不明白。”
老黑：“例如，你现在不想让员工们访问Sinaa,你就可以在策略中限制，*.sinna.com这个域名不允许访问，如果你只是不想让员工访问Sinna中的游戏栏目，那么就需要用URL集进行限制了。你可以设定，http://games.sinna.com/*不可以访问就可以了。”
“明白了，限制域名是整个网站都不可以用，而限制URL只是特定的URL不可以访问，对吧。你为什么要在后面另那个/*呢？”
“如果不加/*,那么http://games.sinaa.com/z/.../index.html就可以访问了，明白了吧。”
“哦，我明白了，明白了。看来ISA挺牛的啊。”
“是啊，这些Ccproxy,Wingate等同类软件无法做的。”
小白：“哦，那怎么添加呢？”
“别着急啊，我先给你做一下演示，我分别添加一个计算机集和一个计算机，让你看一下。剩下的，你就自己完成，OK？”
“OK！”
我先把业务部的计算机集给你建起来

在网络对象中的计算机集上右击，选择新建计算机集，然后在弹出的对话框中，先输入名称，最好是部门的名称，然后点击添加按钮，这里需要注意的是，有三个选项，“计算机，地址范围，子网”，这三个选项仅在这个计算机集中显示，不会在网络对象中的计算机，地址范围，子网中显示。也就是说，仅仅在你建立的这个名称为业务部的计算机集中显示，不会在其他地方显示。请大家注意。
老黑将业务部的几个IP依次添加进来。
“这样，计算机集就建好了，名称叫业务部。这就代表业务部所有的电脑。”
“明白。”
“我再给你显示一下怎么建立计算机。我建立一个代表你老总的计算机。”
在网络对象中的计算机上右击，选择新建计算机

在弹出的对话框中，在名称处输入老总，然后在下面的计算机IP地址（I）处，输入老总使用的那台电脑的IP地址，然后点击确定即可。
“怎么样，简单吧。”
“恩，简单。问你个问题，刚刚在建计算机集时不是也可以添加计算机吗？和这里有区别吗？”
“有啊，当然有。新建计算机集时，在那里添加的计算机，起作用的范围，或者说是只显示在你建的那个计算机集里，而不会在网络对象－计算机这个地方显示出来的。虽然名称一样，但是，作用不一样。”
“明白了！”
“剩下的，你自己来吧，你熟悉一下，顺便我也休息会。”
“好。把这些弄完是不是就可以建立访问控制策略了？”
“访问控制策略？你先把这些弄完再说吧。OK？我先抽根烟，喝杯茶。”
几分钟后，小白已经把所有的电脑的IP地址根据情况分别添加到计算机集和计算机中。
老黑看了以后，说道：“前期的工作已经差不多了，现在你要想想，那些网站不允许他们访问，还有，那些内容类型，也就是那些扩展名的文件不允许下载，除了封堵QQ，需不需要封堵其他的一些软件？还有，检查一下你ISA那台机器的硬盘分区的分区格式是不是NTFS？把这些提前弄好，然后我们就可以开始建立策略了。
“为什么硬盘分区格式需要是NTFS？”小白问道
老黑：“因为要建立缓存用。”
“缓存？作什么用？”小白不解的问道。
（未完，待续）
新手学ISA（四）http://bbs.54master.com/thread-165886-1-1.html

[ 本帖最后由 blazewind 于 2007-5-28 14:56 编辑 ]

附件: 您所在的用户组无法下载或查看附件

4 评分次数