怎么用ISA控制指定的电脑只能上指定的网站．

从内部指定某个用户
协议http到URL集(就增加某个网站)

（我的不是答案）

哆哆郡主，你有毛病吧？最讨厌你这种复制粘贴的答案，里边居然还有什么“如图”，图在哪？

由于windows Server 2003的VPN服务器地址池使用的是和本地内网卡同一段，所以很多管理员在配置ISA的时候，VPN服务的地址池仍然习惯性的使用和本地内网卡同一段，虽然使用手动输入已经被ISA禁止，但是使用DHCP确可以实现这个目的，那么为什么ISA要禁止使用已经使用在的地址呢？
首先来说windows Server 2003，为什么使用同一段地址，通过微软的一些资料可以看出，windows Server 2003对于VPN服务使用的是桥接方式。所以这里不存在路由问题，同一网段的地址是在同一个物理位置。
ISA使用的是不是桥接模式呢？桥接，就好比在一个HUB里面，无法让网关去控制下面的两个PC是不是能够互相访问。所以为了加强安全性，ISA不允许使用桥接模式，而是默认使用路由模式（也可以使用NAT模式，更提高了安全系数，这种情况分配IP地址范围就可以随意了），因为使用桥接怎么控制VPN客户端的访问权限呢。
通过DHCP，使用和内网卡（192.168.1.1/24）同一段地址，VPN客户拨入后得到IP为192.168.1.201/32，使用VPN客户端，ping内网pc，可以接通，内网用户也可以接通VPN用户，如果内网用户不以ISA内网卡地址为网关的话，在ISA另一个网卡地址上的PC将不能被接通，但是修改了网关地址，依然可以接通VPN用户，说明这已经不是在路由了，而是在桥接，为了证实想法，抓包发现，当ping VPN客户端地址的时候，本地arp表里面没有192.168.1.201的地址，于是就发出了对于192.168.1.201的广播请求，ISA内网卡回应了请求，告知192.168.1.201的MAC地址，对比这个MAC地址，和ISA内网卡一致，由此看出，如果使用同段的地址，ISA依然使用了桥接模式。那么在ISA的防火墙策略里使用VPN客户端这个网络元素就会失效，禁止VPN客户端访问内部，然而VPN客户端依然可以接通内部PC，内部PC也依然可以接通VPN客户端。当禁止了内部访问内部之后，不能接通