还记得在刚刚进入MIS这个世界的时候,每次在面试时,技术主管问我,“怎么去对公司内部员工访问公网做管控啊?”
我一定会说:搭建ISA防火墙咯,然后设定ISA防火墙为局域网的网关,如果ISA外面有路由器的话,就在路由器中添加一条“只允许从ISA那里传过来的访问请求通过”的规则,就OK咯。或者,用linux做网关服务器咯。(其实,那个时候根本就不知道linux上要怎样做才能限制对外网的访问。而且,之前在做程序员的时候,那些网络管控的活,都是俺们老总在做滴了。)
而后来在做技术支持的时候,所在的公司也的确就是用ISA搭了双堡垒来对外网访问做管控的。那个时候,也一直在认为,ms的环境中,除了做ISA的话,那就只能用硬件防火墙了。 
而,当我到了WITS,自己独立负责一个企业网路管理的时候(这也是我第一份MIS的工作,一年的时间里,我接触了好多方面的东西,可谓受益匪浅。),才知道,在某些时候,不用硬件防火墙,不用ISA,用win服务器一样可以做外网访问的管控。
首先,要看公司对网络管控的要求咯。
由于公司业务的特殊性,员工一入职就要签署安全保密协议。(我头一次签署那东西)
而对网络的使用上呢?部分行政人员由于不会接触到业务数据,所以呢,可以开放大多数的网络。而,与工程业务有关的工程师们,因为工作的高度保密性,一般情况下,连sohu跟163都不允许访问呢,只允许访问跟业务有关的网站以及可以开通一个通讯工具Ichat的网路使用权限。
从领导那里得知这些信息之后,我便随口问了一句,“那咱们公司是用的ISA咯”。结果回答是:“没有”。我晕。。。。那咋玩的啊?(因为说是没有硬件防火墙的)
而当上上任MIS从家里过来跟我做工作交接的时候,我才知道,自己对server的认识,是多么的肤浅。。。。
一个win2000server中搭建了“路由与远程访问”服务。并在“IP路由选择”->“常规”中的“某网段”属性中,启用“IP路由管理器”,并且在“输入筛选器”中选择“丢弃所有除符合下列条件以外的数据包”。然后,在“筛选器”中添加被允许访问的公网网段或者公网IP地址以及协议端口等信息,以做更加精确的管控。如下图:
筛选器
这样,反正筛选器中没有添加进去的访问,在网关路由服务器这里,就直接被挡掉了。
自然,“能量”是守恒的。这样的一种控制,在一般情况下是有效的,而且在设置完成之后,是“无忧”的。但是,在添加一条信息的时候,和因为某种情况而需要对某个限制做修改的时候,就不是那么轻松的咯。因为,你要为了在里面添加一条限制而做很多的前期工作的哟。
麻烦是麻烦了点。不过,MIS的工作嘛,要怎么做,如何做,就只能取决于你所处的公司中,领导的态度与公司的财力投资重点的考虑咯。自然,我在wits的时候,这样的一种管理方式可以一直不必升级,也是因为它对于公司高度保密的规则是非常经济使用的。
用路由管理器管理外网访问,应该算是在一个没有硬件防火墙,没有ISA的网路环境中的一个比较不错的方法吧。
O(∩_∩)O哈哈~
************************
总是在说“这里没有水了”。
其实,是自己挖的不够深。
************************