在没有ISA管控的时候

还记得在刚刚进入MIS这个世界的时候，每次在面试时，技术主管问我，“怎么去对公司内部员工访问公网做管控啊？”

我一定会说：搭建ISA防火墙咯，然后设定ISA防火墙为局域网的网关，如果ISA外面有路由器的话，就在路由器中添加一条“只允许从ISA那里传过来的访问请求通过”的规则，就OK咯。或者，用linux做网关服务器咯。（其实，那个时候根本就不知道linux上要怎样做才能限制对外网的访问。而且，之前在做程序员的时候，那些网络管控的活，都是俺们老总在做滴了。）

而后来在做技术支持的时候，所在的公司也的确就是用ISA搭了双堡垒来对外网访问做管控的。那个时候，也一直在认为，ms的环境中，除了做ISA的话，那就只能用硬件防火墙了。 

而，当我到了WITS，自己独立负责一个企业网路管理的时候（这也是我第一份MIS的工作，一年的时间里，我接触了好多方面的东西，可谓受益匪浅。），才知道，在某些时候，不用硬件防火墙，不用ISA，用win服务器一样可以做外网访问的管控。

首先，要看公司对网络管控的要求咯。

由于公司业务的特殊性，员工一入职就要签署安全保密协议。（我头一次签署那东西）

而对网络的使用上呢？部分行政人员由于不会接触到业务数据，所以呢，可以开放大多数的网络。而，与工程业务有关的工程师们，因为工作的高度保密性，一般情况下，连sohu跟163都不允许访问呢，只允许访问跟业务有关的网站以及可以开通一个通讯工具Ichat的网路使用权限。

从领导那里得知这些信息之后，我便随口问了一句，“那咱们公司是用的ISA咯”。结果回答是：“没有”。我晕。。。。那咋玩的啊？（因为说是没有硬件防火墙的）

而当上上任MIS从家里过来跟我做工作交接的时候，我才知道，自己对server的认识，是多么的肤浅。。。。

一个win2000server中搭建了“路由与远程访问”服务。并在“IP路由选择”->“常规”中的“某网段”属性中，启用“IP路由管理器”，并且在“输入筛选器”中选择“丢弃所有除符合下列条件以外的数据包”。然后，在“筛选器”中添加被允许访问的公网网段或者公网IP地址以及协议端口等信息，以做更加精确的管控。如下图：

这样，反正筛选器中没有添加进去的访问，在网关路由服务器这里，就直接被挡掉了。

自然，“能量”是守恒的。这样的一种控制，在一般情况下是有效的，而且在设置完成之后，是“无忧”的。但是，在添加一条信息的时候，和因为某种情况而需要对某个限制做修改的时候，就不是那么轻松的咯。因为，你要为了在里面添加一条限制而做很多的前期工作的哟。

麻烦是麻烦了点。不过，MIS的工作嘛，要怎么做，如何做，就只能取决于你所处的公司中，领导的态度与公司的财力投资重点的考虑咯。自然，我在wits的时候，这样的一种管理方式可以一直不必升级，也是因为它对于公司高度保密的规则是非常经济使用的。

用路由管理器管理外网访问，应该算是在一个没有硬件防火墙，没有ISA的网路环境中的一个比较不错的方法吧。

O(∩_∩)O哈哈~

************************

总是在说“这里没有水了”。

其实，是自己挖的不够深。

     本文转自dennisxinyu 51CTO博客，原文链接：http://blog.51cto.com/dennisxinyu/119327，如需转载请自行联系原作者