配置協議規則
如果要允許內部網絡上的客戶端訪問Internet
則需要配置協議規則
協議規則
站點和內容規則和IP數據包篩選器共同定義訪問策略
協議規則指定來自哪些客戶端的特定的協議可以允許通過ISA Server
以及在什麼時候
本節學習目標
l 描述協議規則的功能
l 舉出幾個在ISA Server中預先配置的協議定義的例子
l 在ISA Server中創建和配置協議規則
估計學習時間
分鐘
協議規則
協議規則確定客戶端可以使用哪些協議來訪問Internet
協議規則可以允許或拒絕使用一個或多個協議定義
它也可以應用到所有的IP通信或者一個指定的協議定義集中
對於安全網絡地址轉換客戶端而言
協議規則可以應用到所有的計算機中或者按IP地址指定的一組計算機中
對於防火牆客戶端而言
協議規則可以應用到所有的計算機中
或者是按IP地址指定的一組計算機中
也可以應用到在Windows
所定義的特定的用戶和組中
Ø 按如下步驟創建協議規則
在ISA Management控制台樹上
右擊Protocol Rules
指向New
然後單擊Rule
在New Protocol Rule Wizard屏幕中
輸入該協議規則的名稱
然後單擊Next
在Rule Action頁中
指定該規則是允許還是拒絕請求
然後單擊Next
在Protocols頁中
指定該規則所采用的協議
然後單擊Next
在Schedule頁中
指定該規則何時應用
然後單擊Next
在Client Type頁中
指定該規則應用於哪些客戶端
然後單擊Next
注意 將企業策略應用到此陣列中
只能創建拒絕型規則
您可以修改先前任何時候所創建的協議規則
訪問ISA Management中的協議規則屬性對話框便可進行修改
Ø 按如下步驟修改協議規則
在ISA Management控制台樹上
單擊Protocol Rules
在View菜單中選取Advanced
在詳細信息窗格中
右擊現行協議規則
然後單擊Properties
在Protocol選項卡中
選擇下述任一步驟
u 如果規則應用到所有的協議中
包括那些沒有被ISA Server 明確定義的協議
那麼單擊All IP Traffic
u 如果規則只應用到所選擇的協議中
那麼單擊Selected Protocols
u 如果規則應用到選定的協議以外的所有協議中
那麼單擊All IP Traffic Except Selected
如果選擇了Selected Protocols或者All IP Traffic Excepted Selected
那麼在Protocols中
選擇一個或多個協議定義
注意 如果要指定的協議定義不存在
可以單擊New進行創建
然後在列表中選中它
協議規則配置方案
假設您要禁止組織內的一組用戶在工作時間內使用MSN Messenger
如果所有的客戶機上已經安裝並啟用了防火牆客戶端軟件
那麼可以配置如下參數來創建協議規則
從而實施此策略
l 設置Action to Deny The Request
l 選定Selected Protocols
l 選擇MSN Messenger協議
l 選擇Work Hours時間表
l 選擇Specific Users And Groups單選按鈕
如圖
所示
l 選擇適當的用戶組
協議的可用性
ISA Server有一個協議定義表
表中含有
個預先定義且為用戶所熟知的協議定義
包括廣為應用的Internet協議
也可以另外添加協議或者是對添加協議進行修改
需要說明的是
如果ISA Server是以緩存模式安裝的
那麼協議規則只能應用到HTTP
HTTPS
Gopher
以及 FTP 等協 議中
客戶端用特定的協議向目標發出請求時
ISA Server就會檢測協議規則
如果協議規則明確地拒絕使用該協議
那麼請求會被拒絕
只有協議規則明確地允許該客戶端使用該協議
並且站點和內容規則明確允許訪問該目標
請求才會被處理
換句話說
要允許訪問必須執行以下步驟來
創建一個協議規則
指出哪些協議可以用來訪問特定的目的
創建一個站點和內容規則
指出允許哪些客戶端訪問特定的目的集
ISA Server是以集成模式或防火牆模式安裝時
站點和內容規則默認被啟用
它允許訪問所有的站點和內容 類型
應用程序篩選器和協議的可用性
ISA Management在Policy Elements節點的Protocol Definitions文件夾中
提供了所有預先定義的
種協議及您所定義的新協議的信息
在ISA Management的詳細信息窗格的協議定義列表中
您會發現有些協議是由ISA Server 定義的
有些則是由應用程序篩選器所定義的
圖
所示為協議定義列表
對於那些由應用程序篩選器創建和安裝的協議
源應用程序篩選器禁用時
所有與之對應的協議定義也就禁用了
也就是說
使用該協議定義的通信就會被阻塞
例如
如果流媒體篩選器禁用
那麼使用Windows Media以及Real Networks協議定義的通信都會被 阻塞
需要注意的是
有些應用程序篩選器使用的協議是由ISA Server定義的
而不是它自己定義的
這些應用程序篩選器禁用時
相應的協議定義仍能正常工作
例如
假使令SMTP篩選器失效
但SMTP數據包能被允許通過
因為SMTP協議是由ISA Server定義的
而不是SMTP篩選器定義的
處理次序
協議規則不像路由規則
它沒有優先級之分
只有拒絕類型協議規則比允許類型規則優先
例如
創建兩個規則
一個允許使用所有的協議
另一個拒絕使用SMTP協議
那麼就不允許使用SMTP協議
陣列級和企業級協議規則
協議規則可以創建成陣列級和企業級
陣列策略作為企業策略的補充時
它的協議規則只能進一步地限制企業級的協議規則
換句話說
應用的是企業策略時
陣列級的協議規則只能拒絕某些特定的協議
Web協議
在ISA Management的作用域窗格中選擇協議規則
就可以用詳細信息窗格中的任務板來創建一個協議規則
該規則允許用戶只能使用特定的Web協議來訪問Internet
通過單擊名稱為Allow Web Protocols的圖標來實現這一步
表
所列出的這些Web協議定義
都是在安裝ISA Server時就預先配置好的
其中有的是ISA Server定義的
有的是ISA Server的應用程序篩選器定義的
ISA Server安裝的協議定義
表
所列的是ISA Server包含的協議定義
練習
把協議規則分配給用戶賬戶
在開始做該練習前
先創建一個名稱為user
的域用戶賬戶
注意不要給這個賬戶任何額外的權限
另外
假定已經創建了一個名稱為AllowIP的協議規則(和第
章
相同)
該規則允許所有的客戶端在任何時候都可以使用所有的IP通信
檢驗Server
的Internet Explorer 浏覽器中的代理設置是否對所有用戶都是正確配置的
本練習中
Web會話默認為匿名方式
也就是說
陣列的默認屬性沒有修改
不要求身份驗證
並且允許類型規則也都配置為不要求身份驗證
在這種情況下
用戶通過Web浏覽器和Internet進行連接
不受Windows
用戶賬號的拒絕類型規則的影響
先將ISA Server 配置為傳遞賬號信息和所有的客戶端Web會話
再創建一個拒絕某個特定用戶對Internet的訪問協議規則
最後
以該用戶的身份登錄
來觀察新協議規則的效果
練習
在ISA Management中偵聽會話
本練習復習ISA Management中的Web代理客戶端會話信息
Ø 在ISA Management中偵聽客戶端Web會話
在Server
中
打開ISA Management控制台
單擊View菜單
然後單擊Advanced
在控制台樹上
展開Monitoring節點
然後選擇Sessions文件夾
如果詳細資料窗格中列出了會話
右擊它們
然後選擇Abort Session來關閉會話
在Server
中
以user
的身份登錄到Domain
打開Internet Explorer
然後浏覽
MSN(微軟提供的網絡在線服務)Web站點處於下載狀態時
切換到Server
在Server
中
ISA Management控制台中的Sessions文件夾仍然處於打開狀態時
右擊詳細信息窗格
然後單擊Refresh
將看到一個新Web Session會話類型
用戶為匿名
沒有客戶機名
IP地址為
(Server
的地址)
Web會話默認為匿名方式
這樣
為特定用戶所定義的任何拒絕類型規則都不會影響Web會話
如要求Web會話的用戶提供身份驗證
可以創建一個要求身份驗證的允許類型規則
或者是
From:http://tw.wingwit.com/Article/os/fwq/201311/10205.html
