熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

ISA配置教程之配置協議規則

2013-11-11 22:13:51  來源: Windows服務器 

   配置協議規則
  如果要允許內部網絡上的客戶端訪問Internet則需要配置協議規則協議規則站點和內容規則和IP數據包篩選器共同定義訪問策略協議規則指定來自哪些客戶端的特定的協議可以允許通過ISA Server以及在什麼時候
  
  本節學習目標
  l     描述協議規則的功能
  
  l     舉出幾個在ISA Server中預先配置的協議定義的例子
  
  l     在ISA Server中創建和配置協議規則
  
  估計學習時間 分鐘
   協議規則
  協議規則確定客戶端可以使用哪些協議來訪問Internet協議規則可以允許或拒絕使用一個或多個協議定義它也可以應用到所有的IP通信或者一個指定的協議定義集中
  
  對於安全網絡地址轉換客戶端而言協議規則可以應用到所有的計算機中或者按IP地址指定的一組計算機中對於防火牆客戶端而言協議規則可以應用到所有的計算機中或者是按IP地址指定的一組計算機中也可以應用到在Windows 所定義的特定的用戶和組中
  
  Ø     按如下步驟創建協議規則
  
    在ISA Management控制台樹上右擊Protocol Rules指向New然後單擊Rule
  
    在New Protocol Rule Wizard屏幕中輸入該協議規則的名稱然後單擊Next
  
    在Rule Action頁中指定該規則是允許還是拒絕請求然後單擊Next
  
    在Protocols頁中指定該規則所采用的協議然後單擊Next
  
    在Schedule頁中指定該規則何時應用然後單擊Next
  
    在Client Type頁中指定該規則應用於哪些客戶端然後單擊Next
  
  
   注意 將企業策略應用到此陣列中只能創建拒絕型規則
  
  
  您可以修改先前任何時候所創建的協議規則訪問ISA Management中的協議規則屬性對話框便可進行修改
  
  Ø     按如下步驟修改協議規則
  
    在ISA Management控制台樹上單擊Protocol Rules
  
    在View菜單中選取Advanced
  
    在詳細信息窗格中右擊現行協議規則然後單擊Properties
  
    在Protocol選項卡中選擇下述任一步驟
  
  u     如果規則應用到所有的協議中包括那些沒有被ISA Server 明確定義的協議那麼單擊All IP Traffic
  
  u     如果規則只應用到所選擇的協議中那麼單擊Selected Protocols
  
  u     如果規則應用到選定的協議以外的所有協議中那麼單擊All IP Traffic Except Selected
  
    如果選擇了Selected Protocols或者All IP Traffic Excepted Selected那麼在Protocols中選擇一個或多個協議定義
  
  
   注意 如果要指定的協議定義不存在可以單擊New進行創建然後在列表中選中它
  
  
   協議規則配置方案
  假設您要禁止組織內的一組用戶在工作時間內使用MSN Messenger如果所有的客戶機上已經安裝並啟用了防火牆客戶端軟件那麼可以配置如下參數來創建協議規則從而實施此策略
  
  l     設置Action to Deny The Request
  
  l     選定Selected Protocols
  
  
  
  l     選擇MSN Messenger協議
  
  l     選擇Work Hours時間表
  
  l     選擇Specific Users And Groups單選按鈕如圖所示
  
  l     選擇適當的用戶組
   
   協議的可用性
  ISA Server有一個協議定義表表中含有個預先定義且為用戶所熟知的協議定義包括廣為應用的Internet協議也可以另外添加協議或者是對添加協議進行修改需要說明的是如果ISA Server是以緩存模式安裝的那麼協議規則只能應用到HTTPHTTPSGopher以及 FTP 等協  議中
  
  客戶端用特定的協議向目標發出請求時ISA Server就會檢測協議規則如果協議規則明確地拒絕使用該協議那麼請求會被拒絕只有協議規則明確地允許該客戶端使用該協議並且站點和內容規則明確允許訪問該目標請求才會被處理換句話說要允許訪問必須執行以下步驟來
  
    創建一個協議規則指出哪些協議可以用來訪問特定的目的
  
     創建一個站點和內容規則指出允許哪些客戶端訪問特定的目的集ISA Server是以集成模式或防火牆模式安裝時站點和內容規則默認被啟用它允許訪問所有的站點和內容 類型
  
   應用程序篩選器和協議的可用性
  ISA Management在Policy Elements節點的Protocol Definitions文件夾中提供了所有預先定義的種協議及您所定義的新協議的信息在ISA Management的詳細信息窗格的協議定義列表中您會發現有些協議是由ISA Server 定義的有些則是由應用程序篩選器所定義的
  
  圖所示為協議定義列表
   
  對於那些由應用程序篩選器創建和安裝的協議源應用程序篩選器禁用時所有與之對應的協議定義也就禁用了也就是說使用該協議定義的通信就會被阻塞例如如果流媒體篩選器禁用那麼使用Windows Media以及Real Networks協議定義的通信都會被  阻塞
  
  需要注意的是有些應用程序篩選器使用的協議是由ISA Server定義的而不是它自己定義的這些應用程序篩選器禁用時相應的協議定義仍能正常工作例如假使令SMTP篩選器失效但SMTP數據包能被允許通過因為SMTP協議是由ISA Server定義的而不是SMTP篩選器定義的
  
   處理次序
  協議規則不像路由規則它沒有優先級之分只有拒絕類型協議規則比允許類型規則優先例如創建兩個規則一個允許使用所有的協議另一個拒絕使用SMTP協議那麼就不允許使用SMTP協議
  
   陣列級和企業級協議規則
  協議規則可以創建成陣列級和企業級陣列策略作為企業策略的補充時它的協議規則只能進一步地限制企業級的協議規則換句話說應用的是企業策略時陣列級的協議規則只能拒絕某些特定的協議
  
   Web協議
  在ISA Management的作用域窗格中選擇協議規則就可以用詳細信息窗格中的任務板來創建一個協議規則該規則允許用戶只能使用特定的Web協議來訪問Internet通過單擊名稱為Allow Web Protocols的圖標來實現這一步所列出的這些Web協議定義都是在安裝ISA Server時就預先配置好的其中有的是ISA Server定義的有的是ISA Server的應用程序篩選器定義的
   
   ISA Server安裝的協議定義
  表所列的是ISA Server包含的協議定義
   
   
   
   
   
   練習 把協議規則分配給用戶賬戶
  在開始做該練習前先創建一個名稱為user的域用戶賬戶注意不要給這個賬戶任何額外的權限另外假定已經創建了一個名稱為AllowIP的協議規則(和第相同)該規則允許所有的客戶端在任何時候都可以使用所有的IP通信檢驗Server的Internet Explorer 浏覽器中的代理設置是否對所有用戶都是正確配置的
  
  本練習中Web會話默認為匿名方式也就是說陣列的默認屬性沒有修改不要求身份驗證並且允許類型規則也都配置為不要求身份驗證在這種情況下用戶通過Web浏覽器和Internet進行連接不受Windows 用戶賬號的拒絕類型規則的影響先將ISA Server 配置為傳遞賬號信息和所有的客戶端Web會話再創建一個拒絕某個特定用戶對Internet的訪問協議規則最後以該用戶的身份登錄來觀察新協議規則的效果
  
  練習在ISA Management中偵聽會話
  本練習復習ISA Management中的Web代理客戶端會話信息
  
  Ø     在ISA Management中偵聽客戶端Web會話
  
    在Server打開ISA Management控制台
  
    單擊View菜單然後單擊Advanced
  
    在控制台樹上展開Monitoring節點然後選擇Sessions文件夾
  
    如果詳細資料窗格中列出了會話右擊它們然後選擇Abort Session來關閉會話
  
    在Server以user的身份登錄到Domain打開Internet Explorer然後浏覽
  
    MSN(微軟提供的網絡在線服務)Web站點處於下載狀態時切換到Server
  
    在ServerISA Management控制台中的Sessions文件夾仍然處於打開狀態時右擊詳細信息窗格然後單擊Refresh
  
  將看到一個新Web Session會話類型用戶為匿名沒有客戶機名IP地址為 (Server的地址)
  
  Web會話默認為匿名方式這樣為特定用戶所定義的任何拒絕類型規則都不會影響Web會話如要求Web會話的用戶提供身份驗證可以創建一個要求身份驗證的允許類型規則或者是
From:http://tw.wingwit.com/Article/os/fwq/201311/10205.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.