很多公司在使用ISA2006时，都希望用ISA对员工上网进行约束，今天我们就为大家介绍一些限制用户上网的技巧。由于在域和工作组环境下使用的方法有所不同，因此我们将内容分为两部分，一部分介绍在工作组环境下如何操作，另一部分则针对域环境。

　　我们从工作组开始介绍，在工作组环境下，控制用户上网大多采用两种手段，IP地址或用户身份验证，多数管理员会倾向于利用IP控制。

　　工作组环境的实验拓扑如下图所示，Beijing是ISA2006服务器，Perth和Istanbul是工作组内的两台计算机。

　　一 利用IP+Arp静态绑定

　　工作组环境下进行身份验证并不方便，因此管理员一般会采用IP地址进行访问控制。根据源IP限制访问者是包过滤防火墙的基本功能，从技术上看实现起来很简单。如果我们希望只有Perth能上网，那我们就可以创建一个允许上网的计算机集合，然后将Perth加入此集合即可。

　　在ISA服务器上打开ISA服务器管理，在防火墙策略工具箱中选择新建“计算机集”，如下图所示。

　　为计算机集取名为“允许上网的计算机”，点击添加计算机，准备把Perth加进来。

　　输入Perth的名称和IP地址，点击“确定“，这样我们就创建了一个计算机集合，集合内包括Perth。

　　创建了计算机集合后，我们来修改一下访问规则，现有的访问规则是允许内网和本地主机可任意访问。在访问规则属性中切换到“从”标签，如下图所示，选择“内部”，点击“删除”，然后把刚创建的计算机集合添加进来。

　　修改后的规则如下图所示。

　　在Perth上访问百度，一切正常，如下图所示。

　　换到Istanbul上访问，如下图所示，Istanbul无法访问Internet。

　　看起来我们达到了用IP控制用户上网的目的，问题已经解决，其实不然。由于目前ISA只是依靠IP地址进行访问控制，过不了多久，ISA管理员就会发现有“聪明”人开始盗用IP，冒充合法用户访问外网。为了应对这种情况，我们可以考虑使用ARP静态绑定来解决这个问题，即在ISA服务器上记录合法客户机的MAC地址。在本例中，我们让ISA记录Perth的MAC地址。如下图所示，ISA先ping Perth，然后用Arp –a查出Perth的MAC地址，最后用Arp –s进行静态绑定，这样就不用担心用户盗用IP了。