巧设ISA防火墙客户端限制SKYPE使用

   一 迫使客户机使用防火墙客户端

　　由于只有防火墙客户端具有限制程序的功能，因此我们必须让客户机使用防火墙客户端。但ISA的代理方式有三种，Web代理，防火墙客户端和SNAT，怎么才能让用户放弃其他两种选择呢?

　　首先我们先要禁止用户使用Web代理，想做到这一点很容易，只要在ISA上关闭Web代理就可以了。在ISA服务器上依次点击 开始-程序-Microsoft ISA Server-ISA服务器管理，

　　展开 配置-网络-内部，在内部网络的属性中切换到“Web代理”，如下图所示，取消“为此网络启用Web代理客户端连接”，这样ISA就不再对内网提供Web代理服务了。

　　要禁止客户机使用SNAT就要动动脑筋了，我们可以利用SNAT不支持用户身份验证的弱点，在访问规则中要求用户必须通过身份验证，这样就可以强迫用户放弃SNAT。如下图所示，现在的访问规则中允许所有用户任意访问，所有用户包括了未经身份验证的用户，因此我们要对规则进行修改。

　　编辑规则属性，切换到用户标签，如下图所示，删除“所有用户”，然后点击“添加”按钮，将用户集“所有通过身份验证的用户”添加进来。

　　由于修改后的访问规则要求用户提供身份验证，但SNAT客户端无法提供，这样客户机就被逼上了只能使用防火墙客户端的华山绝路。