登录
Microsoft.com
 
Microsoft
 
 
 

none
请问如何把ISA防火墙策略中的“所有用户”改成某个域用户组? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票
     这个问题困扰我蛮久的问题了
    公司里有这么一个情况,ISA做了很多规则后,整个办公室都管住了,但老板们不乐意了
    一会这个说要用炒股软件,一会那个说要怎么怎么,这些人惹不起,我帮他们都设置了固定IP,然后在规则里设置成一个计算机集,属于这里面的一些内网IP就无限制上网
    这样可以解决问题,但固定IP总是很麻烦,该设置不方便,还会被某些坏人偷来用……

    我局域网里是域环境,每个人都有自己独立的域账号,分组也很容易
    我想尝试把ISA防火墙策略中的“所有用户”改成某个域用户组,于是做了如下测试——
    建立访问规则:名称“测试”,允许,所有出战通讯,从内部到外部,删除“所有用户”,新建了一用户集“111”,添加“windows用户和组”,在域里选了某个域账号
    应用后,我在该域账号的机器上去刷新网页,发现居然原本能http上网的机器现在网页也打不开了。检查该机器的日志如下


    被拒绝的连接 SVR1 2009-2-10 11:47:05
    日志类型: 防火墙服务
    状态:
    规则: 测试
    源: 内部 (192.168.1.154:53680)
    目标: 外部 (220.181.6.18:80)
    协议: HTTP
    用户:
    Additional information
    Number of bytes sent: 0 Number of bytes received: 0
    Processing time: 0 ms Original Client IP: 192.168.1.154
    Client agent:


    停掉规则“测试”后,又恢复正常
    想问一下我做的这个测试有什么地方错了?
    2009年2月10日 4:53
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票
     只有防火墙客户端和WEB代理客户端才能进行身份验证。而你现在使用的应是S NAT客户端吧。
    如果不使用前两者,就请继续使用固定IP分组的方式。
    下里巴人
    • 已建议为答案 rickyfang 2009年2月19日 14:37
    • 已标记为答案 rickyfang 2009年2月19日 14:37
    2009年2月19日 14:37
    |

全部回复