案例的所有实验。
实验名称:
控制内网用户访问外网
涉及课程章节
NSS 4
涉及知识点
1. ISA Server 策略元素
2. 防火墙策略的作用
3. 防火墙策略的设定
4. ISA客户端的3种类型
实验描述
1.使用身份验证来禁止内部用户访问外网
2.使用IP地址禁止内部用户访问外网
实验拓扑
实验步骤
三台虚拟机的网络参数如下:
1ISA Server(域中计算机)
内网IP10.0.0.2/24 
外网IP192.168.3.99/24  
2DC(内网域控制器)
IP10.0.0.1/24  
3.外网WEB站点
IP192.168.3.45/24
 
任务一:使用身份验证来禁止内部用户访问外网
一.准备工作
1.在10.0.0.2上正确安装ISA Server
2.在DC创建两个域用户账号:USER1USER2
 
二.将内网计算机配置为Web Proxy客户端
1.打开IE浏览器,点击“工具”——“Internet选项”命令。
2.选择“连接”选项下的“局域网设置”,勾选“为LAN使用代理服务器”复选框,并在地址栏里输入10.0.0.2,端口为8080
三.新建被拒绝访问外网的用户集
    1.单击“防火墙策略”,在右侧工具栏中选择“用户集”,然后单击“新建”。
    2.把用户集命名为“deny”,单击“下一步”按钮。
    3.在“用户”页单击“添加”按钮,再弹出的小窗口中单击“windows用户和组”。
    4.单击“高级”、“查找”,选择“user1”用户,点击“确定”完成操作。
四.新建访问规则,用来拒绝user1账号访问外网
    1.右击“防火墙策略”,选择“新建”—“访问规则”命令,命名规则为“deny_user1”。
    2.规则动作选择“阻止”,从“内部”到“外部”,并在用户集中选择上一步中创建的“deny”用户集。
    3.完成策略创建之后选择“应用”按钮,使策略生效。
五.验证对用户的控制效果
    1.以user1登陆DC,访问外网WEB站点,看是否可以正常访问。
    2.以user2登陆DC,访问外网WEB站点,看是否可以正常访问。
    3.在“会话”监视面板中查看被允许和拒绝的会话。
 
任务二:使用IP地址来禁止内部用户访问外网
一、实验准备
    1.右击上个实验中制定的“deny_user1”策略,选择“删除”。
二、新建拒绝访问外网的计算机集
    1.单击“防火墙策略”的右侧工具栏中“计算机集”,然后点击“新建”
    2.给新建计算机机起名字为“deny_computer”,单击“添加”按钮,选择“计算机”。
    3.输入计算机名DC和对应的IP地址“10.0.0.1”,单击“确定”。
三.新建访问规则,拒绝选定计算机对外网的访问。
    1.右击“防火墙策略”,选择“新建”—“访问规则”命令,输入规则名“deny
    2.动作选择“阻止”,从内网到外网所有通信,然后在计算机集中选择“deny_computer”。
    3.单击“应用”是策略生效。
    4.从DC上访问外网WEB站点,看是否能正常访问。
    5.把DC更改成SecueNAT客户端,再次尝试访问外网站点。
 
实验完成
 
实验结论
实验让学员切实掌握了ISA Server防火墙策略的制定方法和实际用途,同时对不同客户端类型对策略制定的影响有了明确的认识,掌握了基本的对内网计算机的控制方法。