ISA (Microsoft Internet Security andAcceleration)是微軟著名的路由級防火墻，它很重要的一項功能是為內(nèi)網(wǎng)提供代理，并且比一般的代理軟件功能要強大很多。下面就校園網(wǎng)中的實際操作談一談ISA2004在校園網(wǎng)上網(wǎng)控制中的應用。
　　ISA (Microsoft lnternet Security andAcCCleration)是微軟著名的路由級防火墻，它很重要的一項功能是為內(nèi)網(wǎng)提供代理，并且比一般的代理軟件功能要強大很多。下面就校園網(wǎng)中的實際操作談一談談ISA2004在校園網(wǎng)上網(wǎng)控制中的應用。
　　設學校的網(wǎng)絡環(huán)境如下：學校主交換機釆用神州數(shù)碼DCRS—6512，分支交換機釆用DCS—3628，根據(jù)瑞口連接情況劃分了四個虛擬網(wǎng)：
　　學校的ISA2004代理服務器上需要安裝雙網(wǎng)卡，配置情況如下：
　　網(wǎng)卡一：IP：172．20．1．1(縣教育局城域網(wǎng)分配的IP地址)，子網(wǎng)掩碼：255．255．0．0，網(wǎng)關：172．20．255．254，DNS：202．102．128．68。網(wǎng)卡一為城域網(wǎng)接口，通過光纜連接至縣教委信息中心主交換機。
　　網(wǎng)卡二：2 1P：192．168．1．1，子網(wǎng)掩碼：255．255．0．0。網(wǎng)卡二為校園網(wǎng)內(nèi)部接口。
　　ISA服務器在安裝ISA2004寸必須設置好內(nèi)部所有子網(wǎng)的IP地址范圍，但是由于ISA服務器內(nèi)部接口是屬于V1anl。為了與其他虛擬網(wǎng)通信，所以還需要加上Vlanl到其他虛擬網(wǎng)的路由，需要在ISA服務器的DOS命令提示符下，分別執(zhí)行以下幾條命令：
　　route add—p 192．168．2．0 mask 255．255．255．O192．168．1．254
　　route add-p 192．168．3．O mask 255．255．255．O192．168．1．254
　　route add—p 192．168．4．O mask 255．255．255．O192．168．1．254
　　1SA2004在校園上網(wǎng)控制中的作用韮要表現(xiàn)為下面幾個方面。
　　
　　一、允許校園網(wǎng)內(nèi)部所有用戶上網(wǎng)
　　
　　剛開始安裝完畢時，ISA2004默認禁止內(nèi)部所有用戶上網(wǎng)，要想讓內(nèi)部所有用戶上網(wǎng)必須新建一條訪問規(guī)則。
　　打開ISA2004，在左邊窗口中右鍵單擊“防火墻策略”，執(zhí)行“新建-訪問規(guī)則”，輸入規(guī)則名稱，如“允許所有用戶上網(wǎng)”，單擊“下一步”，規(guī)則操作選擇“允許”，協(xié)議選擇“所有出站通汛”，單擊“下一步”。在訪問規(guī)則源對話框中單擊“添加”按鈕，在彈出的添加網(wǎng)絡實體對話框中展開“網(wǎng)絡”，雙擊“內(nèi)部”，關閉添加網(wǎng)絡實體對話框。單擊“下一步”，在訪問規(guī)則目標對話框中單擊”添加”按鈕，在彈出的添加網(wǎng)絡實體對話框中展開“網(wǎng)絡”，雙擊“外部”，單擊“下一步”、用戶集按默認的所有用戶，單擊“下一步”完成此規(guī)則的建立，單擊“應用”按鈕使所建立的規(guī)則生效。此寸我們建立了一條允許內(nèi)部所有用戶上網(wǎng)的規(guī)則。
　　在校園網(wǎng)內(nèi)部的計算機的IE屬性對話框小， 單擊“連接”選項卡，單擊“局域網(wǎng)設置”按鈕，設置代理服務器的IP地址為192．168．1．1(ISA服務器的內(nèi)部網(wǎng)卡地址)，端口為8080，如果網(wǎng)絡連接正常，我們在校內(nèi)就能通過ISA代理連接到Internet。
　　
　　二、禁止校園網(wǎng)內(nèi)部某些用戶的上網(wǎng)
　　
　　想禁止校園網(wǎng)內(nèi)部某些用戶上網(wǎng)，如禁止微機室上網(wǎng)，我們可以進行如下操作。
　　第一步，對禁止上網(wǎng)的內(nèi)部用戶建立一個地址集或計算機集，在I SA右邊窗口的“工具箱”選項卡中，右鍵單擊“地址范圍”，在彈出的快捷菜單中選擇“新建地址范圍”。彈出的對話框中輸入地址范圍名稱，比如“微機室”，指定IP地址范圍：192．168．4．1－192．168．4．253。
　　第二步，建立一條訪問規(guī)則，如“禁止微機室上網(wǎng)”，但是這次建立的訪問規(guī)則和上面的不問，這里規(guī)則操作選擇“拒絕”，在訪問規(guī)則源對話框添加網(wǎng)絡實體時展開“地址范圍”，雙擊“微機室”，其他操作和“允許所有用戶上網(wǎng)”規(guī)則相同，單擊“應用”按鈕使規(guī)則生效，即我們建立了一條拒絕微機室訪問外部的規(guī)則。此時微機室子網(wǎng)中所有微機已不能連接到Internet。
　　
　　三、限制校園網(wǎng)內(nèi)部某些用戶上網(wǎng)的時間
　　
　　如果想限制辦公區(qū)老師們的上網(wǎng)時間， 如在上午9：00—11：00間不能上互聯(lián)網(wǎng)，則可以及進行如下操作。
　　第一步，建立一個地址集或計算機集，仿照上述步驟建立一個地址范圍，名稱為“辦公區(qū)”，指定IP地址范圍：192．168．2．1—192．168．2．253。
　　第二步，建立一條允許辦公區(qū)到外部的訪問規(guī)則，名稱為“限制辦公區(qū)上網(wǎng)時間”，在建立規(guī)則的過程中規(guī)則操作選擇“允許”，在訪問規(guī)則源對話框添加網(wǎng)絡實體時展開“地址范圍”，雙擊“辦公區(qū)”；。其他操作和“允許所有用戶上網(wǎng)”規(guī)則相同。然后右鍵單擊新建的“限制辦公區(qū)上網(wǎng)時間”訪問規(guī)則名稱，在彈出的快捷菜單中選擇屬性，打開訪問規(guī)則的屬性對話框，單擊“計劃”選項卡，默認計劃“總是”，在下面的時間方格里顯示周口到周六每一天24小時全部處于活動狀態(tài)，即允許任何時間上網(wǎng)。單擊“新建”按鈕新建一個計劃，把從周口到周六每天的上午9：00－11：00之間的方格設置成非活動狀態(tài)，讓“限制辦公區(qū)上網(wǎng)時間”訪問規(guī)則按我們新建的計劃丁作。
　　應用以后，辦公區(qū)的計算機在每天的上午911：00之間不能上互聯(lián)網(wǎng)。
　　
　　四、禁止校園網(wǎng)內(nèi)部某些用戶訪問某些網(wǎng)站
　　
　　為了盡量避免學生從網(wǎng)絡上接受垃圾信息，學校需要對學生電腦進行限制，如對一些有害網(wǎng)站、游戲網(wǎng)站等，限制學生的訪問。假設我們不想讓教學區(qū)的計算機訪問搜狐網(wǎng)站，我們可以這樣設置：
　　第一步，建立一個地址范圍，名稱為“教學區(qū)”，指定IP地址范圍：192．168．3．1—192．168．3．253。在“工具箱”選項卡的域名集中新建一個域名集，名稱為“禁止訪問的網(wǎng)站”，在“新建域名集策略元素”對話框中單擊“新建”按鈕，輸入“http：／／sohu．com”，如果還想禁止其他的網(wǎng)站。繼續(xù)單擊“新建”按鈕輸入，單擊確定按鈕，域名集建立完畢。
　　第二步，建立一條針對教學區(qū)的訪問規(guī)則，如“禁止教學區(qū)訪問的網(wǎng)站”。建立規(guī)則時，操作選擇“拒絕”，在訪問規(guī)則源對話框添加網(wǎng)絡實體時展開“地址范圍”，雙擊“教學區(qū)”，在訪問規(guī)則目標對話框中添加網(wǎng)絡實體寸展開“域名集”，選擇“禁止訪問的網(wǎng)站”，其他默認，也就是建立了一條拒絕從教學區(qū)到“禁止訪問的網(wǎng)站”域名集的訪問規(guī)則。
　　應用以后，教學區(qū)的計算機不能上搜孤網(wǎng)站，但是能上其他網(wǎng)站。
　　
　　五、使校園網(wǎng)內(nèi)部各子網(wǎng)之間能夠互訪
　　
　　ISA安裝完畢以后，默認情況下不允許校內(nèi)各子網(wǎng)之間通訊。解決辦法是建立一條內(nèi)部到內(nèi)部的訪問規(guī)則，如“內(nèi)部互訪”規(guī)則。這和“允許所有用戶上網(wǎng)”訪問規(guī)則有一點不同，就是在訪問規(guī)則目標村話框：卜添加網(wǎng)絡實體時展開“網(wǎng)絡”，不是選擇“外部”，而是選擇“內(nèi)部”， 即從內(nèi)部到內(nèi)部是允許訪問的，這樣校內(nèi)各子網(wǎng)之間才能夠互訪。
　　以上簡單地介紹了ISA2004代理在校園網(wǎng)控制中的幾個應用，可以舉一反三，更方便地管理校園網(wǎng)絡。運用ISA2004作代理，不會降低上網(wǎng)的速度，相反在ISA2004中適當設置緩存會提高內(nèi)部上網(wǎng)的速度。隨著校園網(wǎng)建設規(guī)模的擴大，對校園內(nèi)部用戶上網(wǎng)進行適當?shù)目刂?，運用ISA2004做代理是一個比較理想的選