解决方案
针对以上情境的解决方案均建立在灵活的访问规则基础之上。ISA Server 2004 规则负责控制对资源的访问,这里特指 Internet 访问。在创建规则的过程中,将会用到规则元素。想要获得更多信息,请参考访问规则和规则元素。
网络拓扑
为了在内网情境中实现 Internet 访问,至少需要满足以下条件:
- 一个到 Internet 的连接。在实验室环境中,这一点可以由一台连接到 ISA Server 计算机的外部网络适配器的 Web 服务器模拟。不过,这可能会对访问限制的测试带来一定局限。
- 一台充当 ISA Server 计算机的计算机。ISA Server 计算机至少必须拥有两块网络适配器。一块网络适配器连接到“外部”网络(即 Internet),另外一块网络适配器连接到“内部”网络。如果您的解决方案涉及到其他网络,例如第二个内部网络,则每个网络都必须在 ISA Server 计算机上拥有对应的网络适配器。网络的配置情况(比如:计算机、用户和子网的数量)决定什么样的解决方案比较适合。
- 一台位于 ISA Server 计算机之后的计算机,ISA Server 计算机充当其默认的网关。
控制 Internet 访问过程演示
这个过程演示将指导您完成通过 ISA Server 控制 Internet 访问所需的必要步骤。
控制安全的 Internet 访问演练过程 1:备份当前的配置
我们建议在进行任何改动之前首先备份当前的配置。万一所作的改动导致不希望的结果,可以返回到之前的备份配置。请按照以下步骤备份 ISA Server 计算机的配置。
1.右键单击 ISA Server 计算机的名称,然后单击备份。
2.在备份配置中,提供保存配置的文件的名称和位置。为了使文件容易辨认,可以在文件名中包含导出的日期,例如 ExportBackup2June2004。
3.单击备份。如果正在导出的信息是机密信息(比如:用户密码),系统会提示输入密码。从导出文件恢复配置的时候也需要这个密码。
4.备份操作完成之后,单击确定。
注意
备份以 .xml 文件的形式存在,应该在另外一台计算机上保存它的一个副本,便于进行灾难恢复。
控制安全的 Internet 访问演练过程 2:将 ISA Server 设置为 Internet 的默认网关
为了使用 ISA Server 控制 Internet 访问,ISA Server 计算机必须充当网络的 Internet 默认网关。如果不是这样,网络上的计算机可能通过其他网关访问 Internet,这样就绕过了 ISA Server 计算机。
控制安全的 Internet 演练过程 3:配置 ISA Server 解决方案
每种解决方案都需要在 ISA Server 计算机上执行以下过程中的一个或多个:
- 规则元素的创建。请参考附录 A:创建规则元素。
- 访问规则的设计和创建。该步骤介绍每个访问规则的属性。关于“新建访问规则向导”的介绍请参考附录 B:使用“新建访问规则向导”
- Web 代理属性的配置。该步骤对于需要身份验证的 Internet 请求尤为重要。正确的属性设置在过程一节中有所描述。关于如何访问属性的详细信息,请参考附录 D:配置 Web 代理属性。
本文档介绍了以下解决方案:
- 通过计划和用户集控制访问
- 通过网络实体控制访问
- 通过身份验证控制访问
- 通过内容类型控制访问
- 通过计划控制访问
通过计划和用户集控制访问
在这种情境中,公司拥有两组用户。其中一组是经理,可以在任何时间没有限制地访问 Internet。另外一组用户是员工,在工作时间他们只能访问与工作相关的站点,但是在工作前、工作后和午饭时间可以无限制地访问,不包括周末。该方案假定所有用户均通过“内部”网络访问 Internet。
这个解决方案需要创建两个访问规则。第一个规则是一个拒绝规则,拒绝员工在工作时间访问除批准站点之外的 Internet 站点。第二个规则是一个允许规则,允许所有人访问所有站点。把拒绝规则排在前面,这样经理可以在工作时间完全访问网络,而员工仅能在工作时间访问与工作相关的站点。
以下步骤是这个情境的解决方案创建过程。用户集、URL 集和计划规则元素的创建请参考附录 A:创建规则元素。
步骤 1:创建用户集
创建用户集“员工”,其中包含所有被归为员工的人,他们拥有受限制的 Internet 访问权。
步骤 2:创建一个 URL 集
创建一个 URL 集,其中包含工作时间允许“员工”访问的所有与工作相关的站点。
步骤 3:创建一个计划
创建一个计划,代表员工的工作时间。ISA Server 提供了一个“工作时间”计划,也许可以满足您的要求。
步骤 4:创建一个允许访问规则,允许所有用户在所有时间访问。
创建一个允许访问规则,允许所有用户不受限制地访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
|
常规 |
名称 |
允许所有人访问 Internet |
|
常规 |
描述 |
允许所有人没有限制地访问 Internet |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
允许 |
|
操作 |
重定向 HTTP 请求到该页面 |
未选中 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录满足规则的请求,就选中 |
|
协议 |
应用于 |
所选协议:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
内部 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
无 |
|
用户 |
应用于来自以下用户集的请求 |
所有用户 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
总是 |
|
内容类型 |
应用于:
所有内容类型
所选内容类型 |
所有内容类型 |
步骤 5:为“内部”网络的“员工”创建一个拒绝访问规则
为员工创建一个访问规则,除了在“工作时间”计划指定的时间访问 URL 集允许的站点,拒绝“员工”用户集访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
|
常规 |
名称 |
内部网络 Internet 访问拒绝规则 |
|
常规 |
描述 |
拒绝从内部网络访问 Internet,指定站点除外 |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
拒绝 |
|
操作 |
重定向 HTTP 请求到该页面 |
可选项,可以选中该选项,并提供一个网页地址 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录匹配规则的请求,就选中 |
|
协议 |
该规则应用于 |
所选规则:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
内部 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
包含工作时间允许访问的站点的 URL 集 |
|
用户 |
应用于来自以下用户集的请求 |
“员工”用户集 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
工作时间 |
|
内容类型 |
应用于:
所有内容类型
所选内容类型 |
所有内容类型 |
步骤 6:考虑规则顺序
创建规则的时候总是需要考虑规则的顺序。在这个解决方案中,拒绝“员工”用户集在“工作时间”访问的规则必须出现在允许所有用户在所有时间访问 Internet 的规则之前。如果顺序正好相反,当一个“员工”用户的请求到达时,ISA Server 将会首先读取允许规则并允许他们在工作时间访问整个 Internet。
通过网络实体控制访问
在这个情境中,我们允许所有“内部”网络用户访问 Internet。但是,仅允许他们从自己的办公室电脑访问与工作相关的站点。在员工休息室中也有几台计算机,用户可以在这里访问所有其他站点。
至少有三种可能的方法来实现该解决方案:
- 创建一个允许规则,允许从休息室的计算机访问整个 Internet。创建一个拒绝规则,拒绝从“内部”网络访问除 URL 集所允许的站点之外的站点。将允许规则排在拒绝规则之前。
- 创建两个特定的允许规则,第一个应用于休息室的计算机,允许访问整个 Internet;另外一个应用于“内部”网络,仅允许访问与工作相关的站点。
- 为“内部”网络的所有计算机创建一个允许规则。为一个计算机集——包括所有“内部”网络计算机,但休息室的计算机除外——创建一个拒绝规则,拒绝访问除工作相关站点之外的站点。将拒绝规则排在允许规则之前。
对应情境
您可能遇到正好的相反的情况:允许从“内部”网络访问整个 Internet,但大厅内的计算机除外,它们不能访问任何 Internet 站点。在这种情况下,应该创建一个包含大厅计算机的计算机集。然后创建一个允许规则,允许从“内部”网络访问外部网络,但是将包含大厅计算机的计算机集列在从选项卡的“例外”中。
这里,我们采用第一种方法,因为创建一个包含休息室计算机在内的小型计算机集要比创建一个包含全部内网计算机的计算机集容易很多。
请遵循以下步骤创建这个解决方案。关于创建网络实体和 URL 集的过程,请参考附录 A:创建规则元素。
步骤 1:创建网络实体
所创建的网络实体将是一组 IP 地址,它是在 ISA Server 中定义的一个子网。在这个例子中,创建一个包含休息室计算机的计算机集,它们是内部网络中的一组计算机。
步骤 2:创建一个 URL 集
创建一个包含所有工作相关站点的 URL 集。
步骤 3:为“内部”网络创建一个拒绝访问规则
为员工创建一个访问规则,拒绝从“内部”网络访问除 URL 集允许站点之外的 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
|
常规 |
名称 |
内部网络 Internet 访问拒绝规则 |
|
常规 |
描述 |
拒绝从内部网络访问 Internet,指定站点除外 |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
拒绝 |
|
操作 |
重定向 HTTP 请求到该页面 |
可选项,可以选中该选项,并提供一个网页地址 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录满足规则的请求,就选中 |
|
协议 |
应用于 |
所选协议:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
内部 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
包含工作相关站点的 URL 集 |
|
用户 |
应用于来自以下用户集的请求 |
所有用户 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
总是 |
|
内容类型 |
应用于:
所有内容类型
所选内容类型 |
所有内容类型 |
步骤 4:为“休息室”计算机集创建一个允许访问规则
创建一个访问规则,允许所有用户在所有时间从“休息室”计算机集访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
|
常规 |
名称 |
用于休息室的 Internet 访问允许规则 |
|
常规 |
描述 |
允许所有用户从休息室的计算机没有限制地访问 Internet |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
允许 |
|
操作 |
重定向 HTTP 请求到本页面 |
未选中 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录匹配的规则,则选中 |
|
协议 |
应用于 |
所选协议:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
“休息室”计算机集 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
无 |
|
用户 |
应用于来自以下用户集的请求 |
所有用户 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
总是 |
|
内容类型 |
应用于:
所有内容类型
所选的内容类型 |
所有内容类型 |
注意
该属性列表的关键项目是在“从”属性中对“休息室”计算机集的设置。
步骤 5:考虑规则顺序
创建访问规则的时候总是要考虑规则顺序。如果拒绝规则排在允许规则之前,ISA Server 将会处理拒绝规则并拒绝请求,即使该请求是来自一台休息室计算机。
如果允许规则排在拒绝规则之前,它会被首先处理,允许来自休息室计算机的请求。来自其他计算机的请求不会被允许规则处理。它们将被后面的拒绝规则拒绝,除非这些请求是针对允许的工作相关站点。
通过身份验证控制访问
在这个情境中,对公司计算机的物理访问并非总是安全的。例如,维护人员可以访问办公室内的所有计算机,员工也可能在晚上忘记锁定计算机。因此,当用户连接 Internet 的时候,有必要对他们进行身份验证。
步骤 1:创建一个访问规则
创建一个访问规则,允许所有用户访问 Internet,如同本文档其他部分介绍的“创建一个允许所有用户在所有时间访问 Internet 的访问规则”一样。或者,如果想要应用其他限制,也可以创建一或多个规则,如同本文档的其他解决方案介绍的那样。
步骤 2:要求身份验证
对来自任何 Web 代理客户端、通过 ISA Server 访问 Internet 的请求要求身份验证。在 Web 代理属性中进行配置,请参考附录 D:配置 Web 代理属性。
通过内容类型控制访问
在这个情境中,需要保护有限的带宽,使其用于工作,因此需要阻止对占用大量带宽的音频和视频文件的访问。针对该情境,存在两种可能的解决方案。
- 创建一个允许规则,允许所有用户没有限制地访问 Internet;然后创建一个拒绝规则,拒绝所有用户访问特定的内容类型。确保拒绝规则排在允许规则之前。
- 创建一个允许规则,允许所有用户访问 Internet,但只能访问指定的内容类型。
这里介绍第二个方法,因为它仅需要一个访问规则。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表所示的属性。
重要
不能在创建规则的时候设置内容类型。必须在规则属性对话框中设置这些属性。使用“新建访问规则向导”创建规则之后,找到“防火墙策略”详细信息窗格,双击打开它的属性对框框。选择“内容类型”选项卡,进行必要的修改。
|
常规 |
名称 |
音频和视频除外的内部网络 Internet 访问允许规则 |
|
常规 |
描述 |
允许从内部网络访问除音频和视频之外的所有 Internet 内容 |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
允许 |
|
操作 |
重定向 HTTP 请求到本页面 |
可选项,可以选中该选项,并提供一个网页地址 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录满足规则的请求,就选中可选项 |
|
协议 |
应用于 |
所选协议:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
内部 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
无 |
|
用户 |
所有用户 |
无 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
总是 |
|
内容类型 |
应用于:
所有内容类型
所选内容类型 |
所选内容类型
选中除音频和视频之外的所有内容类型 |
通过计划控制访问
在这个情境中,您希望在半夜的时候,非核心人员(比如:安全和维护人员)无法通过没有锁定的计算机访问 Internet。请遵循以下步骤,为该情境创建一个解决方案。
步骤 1:创建一个计划
创建一个计划,代表仅有得到授权的人员在工作地点的时间。例如,可能是每个工作日的 07:00 到 21:00。
步骤 2:创建一个访问规则
创建一个访问规则,允许所有用户访问 Internet,但时间仅限于新创建的计划所包含的时间。
控制安全的 Internet 访问演练过程 4:查看 ISA Server 日志中的 Internet 访问信息
如果选中记录匹配该规则的请求(在访问规则属性的操作页面),ISA Server, , 将会记录匹配特定规则的请求。
想要察看日志中的信息,请执行以下步骤:
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中,选择日志记录选项卡。 |
| 3. |
创建一个筛选器,仅记录对 Internet 的访问尝试。在任务选项卡的任务窗格中单击编辑筛选器属性,打开编辑筛选器对话框。筛选器拥有三个默认的条件,指定日志时间为活动,记录来自防火墙和 Web 代理的信息,不记录连接状态。用户可以编辑这些条件,并添加额外的条件,从而限制查询所检索的信息。 |
| 4. |
例如,选择日志时间。从条件下拉菜单选择最近 24 小时,然后单击更新。
注意
对日志筛选器表达式的更改,以及新的表达式不会保存,直到您单击启动查询(位于编辑筛选器对话框)。 |
| 5. |
选择日志记录类型。从值下拉菜单选择 Web 代理筛选器,然后单击更新。 |
| 6. |
单击启动查询。启动查询命令也可以从任务选项卡的任务窗格中调用。完成的修改可以对日志的信息进行一定程度的限制。您还可以添加额外的筛选器表达式,进一步限制信息,请按照以下步骤执行。 |
| 7. |
在任务选项卡的任务窗格,单击编辑筛选器属性,打开编辑筛选器对话框。要添加其他表达式,请从筛选依据下拉菜单选择一个项目,然后提供条件和值。下表给出了一些例子。
|
客户端 IP |
等于 |
一台客户端计算机的 IP 地址 |
提供特定客户端计算机试图访问 Internet 的日志。 |
|
客户端用户名 |
等于 |
用户名 |
提供特定用户试图访问 Internet 的日志。 |
|
目标主机名 |
等于 |
目标主机名 |
提供尝试访问特定主机的日志。 |
|
目标主机 IP |
等于 |
目标主机的 IP 地址 |
提供尝试访问特定主机的日志。 |
|
协议 |
等于 |
一个协议 |
提供通过特定协议,例如 HTTPS,试图访问 Internet 的日志。 |
|
URL |
等于 |
一个 URL |
提供试图访问特定 URL 的日志。 |
|
URL |
包含 |
一个 URL |
提供试图访问包含特定字符串的 URL 的日志,例如包含 gambling。 |
|
| 8. |
创建表达式之后,单击添加到列表,将其添加到查询列表,然后单击启动查询开始查询。必须单击启动查询,才能保存所做的更改。 |
控制安全的 Internet 访问演练过程 5:创建一份 Internet 访问报告
可以创建报告,用于总结通过 ISA Server 进行的 Internet 访问。既可以创建只运行一次的报告,也可以创建按照指定周期运行的报告。
请遵循这个过程,创建一个仅运行一次的报告。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中,选择报告选项卡。 |
| 3. |
在任务选项卡中选择生成一份新报告,启动“新建报告向导”。 |
| 4. |
在欢迎页面,为报告提供一个名称,例如某年某月某日的 Internet 访问报告。 |
| 5. |
在报告内容页面上,选择 Web 使用(确保其他类型未被选中),单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
| 6. |
在报告周期页面上,使用开始日期和结束日期字段,设置报告将要覆盖的时间。 |
| 7. |
在报告发布页面上,可以选择发布报告到目录并提供保存报告的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
| 8. |
在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
| 9. |
在“摘要”页面上检查信息,然后单击完成。报告将被显示在报告选项卡的“监视”详细信息窗格中。 |
请按照以下步骤创建重复报告。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中选择报告选项卡。 |
| 3. |
在任务选项卡上选择创建和配置报告作业,打开报告作业属性对话框。 |
| 4. |
单击添加,启动“新建报告作业向导” |
| 5. |
在欢迎页面上,为报告提供一个名称,比如:每周 Internet 访问报告。 |
| 6. |
在报告内容页面上,选择 Web 使用(确保其他类型未被选中),然后单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
| 7. |
在报告作业计划页面上,为报告选择一个频率。日报告将覆盖一天的活动,周报告将覆盖一周的活动,月报告将覆盖一月的活动。注意,如果选择在月底生成月报告,在某些特定的月份报告可能不会被生成。例如,除非在润年,否则在29日生成的报告在二月份不会被生成。为了覆盖全部日历月份,请在月度的第一天生成报告。由于报告在 01:00 生成,所以将会包括整个上一月。 |
| 8. |
在报告发布页面上,可以选择发布报告到目录并提供报告存放的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
| 9. |
在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
| 10. |
在“摘要”页面上检查信息,然后单击完成。报告生成之后,将会显示在报告选项卡的“监视”详细信息窗格中。 |
附录 A:创建规则元素
请遵循此过程创建一个规则元素。
| 1. |
展开“Microsoft ISA Server 管理” |
| 2. |
展开 ISA Server 计算机节点。 |
| 3. |
选择防火墙策略,然后在任务窗格选择工具箱选项卡。 |
| 4. |
通过单击元素的标题选择规则元素类型。 |
| 5. |
在元素列表的最顶端,单击新建。如果存在多个规则元素选项,则会显示一个下拉列表,可以从中选择想要创建的元素。 |
| 6. |
通过向导或对话框提供必要的信息。完成向导,或者在对话框中单击确定之后,将创建新的规则元素。 |
| 7. |
在详细信息窗格中单击应用,应用所作的更改。您也可以在创建访问规则之后单击 应用。也就是说,在完成所有更改之后应用更改,而不是每完成一项更改就τ靡淮巍P枰ǚ岩恍┦奔溆τ酶摹?/FONT> |
附录 B:使用“新建访问规则向导”
该过程从整体上介绍“新建访问规则向导”。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择防火墙策略。 |
| 2. |
在任务选项卡的任务窗格,选择创建新的访问规则,启动“新建访问规则向导”。 |
| 3. |
在向导的欢迎页面上,为访问规则输入一个名称。请使用描述性的名称,例如员工在工作时间访问 Internet,然后单击下一步。 |
| 4. |
在规则操作页面上,如果想要允许规则,请选择允许,或者,如果想要拒绝规则,请选择拒绝。然后单击下一步。 |
| 5. |
在协议页面上,本规则应用于默认被设置为所有出站协议。也可以选择所选协议,并使用添加按钮从添加协议对话框添加指定的 Web 协议,例如 HTTP、HTTPS 和 FTP。完成选择之后,单击下一步。 |
| 6. |
在访问规则源页面上,单击添加,打开添加网络实体对话框,单击想要为其创建访问的类别,指定特定的对象,单击添加(重复添加额外的网络对象),然后单击关闭。在访问规则源页面上,单击下一步。 |
| 7. |
在访问规则目标页面上,单击添加,打开添加网络实体对框框,单击网络,选择“外部”网络(代表 Internet),单击添加,然后单击关闭。在访问规则目标页面上,单击下一步。 |
| 8. |
在用户集页面上,如果想要将规则应用于所有用户,可以保留用户集所有用户,然后继续向导的下一个页面。如果想将规则应用于特定用户,请选择所有用户并单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。完成对用户集的选择之后,单击下一步。 |
| 9. |
检查摘要页面上的信息,然后单击完成。 |
| 10. |
在“防火墙策略”详细信息窗格中,单击应用,应用新的访问规则。应用更改可能要花费一些时间。对访问规则排序,使其与您的访问策略相匹配。如果对顺序进行了改动,需要单击应用来应用更改。 |
附录 C:配置 HTTP 策略
有些属性无法在“新建访问规则向导”中设置。访问规则创建之后,可以在“防火墙策略”详细信息窗格中通过双击来查看和编辑所有属性。“HTTP 策略”就是其中的一个属性,用于为匹配特定访问规则的请求配置 HTTP 设置。
ISA Server 是一种应用层的防火墙,可以对 HTTP 流量应用“应用程序筛选器”。ISA Server 可以检查 HTTP 请求,HTTP 应用筛选器的配置可以决定是否阻止采用 HTTP 进行传输的应用程序。HTTP 应用筛选器为 HTTP 请求提供精确的控制。可以通过 HTTP 策略来阻止应用程序,例如基于 HTTP 的消息传递应用程序或端到端的文件共享应用程序。
HTTP 策略包括以下设置:
- 请求头最大长度
- 请求负载长度
- URL 保护
- 阻止可执行文件
- 拒绝的方法
- 特定文件扩展的特定操作
- 拒绝特定的头
- 修改服务器和 Via 头
- 拒绝特定签名
要配置 HTTP 策略,请遵循该过程。
| 1. |
在允许访问规则的属性中,选择协议选项卡。 |
| 2. |
单击筛选并选择配置 HTTP,打开“为本规则配置 HTTP 策略”对话框。 |
| 3. |
选择相应的选项卡,并配置策略设置。 |
附录 D: 配置 Web 代理属性
可以遵循以下过程配置 Web 代理属性,要求对 Internet 请求执行身份验证。注意:当访问规则应用于特定用户集,或排除特定用户集的时候,将对匹配规则的用户要求身份验证,即使在 Web 代理属性中没有如此设置。但是,应用于“所有用户”的规则不会要求身份验证,除非执行以下过程。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择网络。 |
| 2. |
双击想要为其配置 Web 访问属性的网络,打开属性对话框。通常都是“内部”网络。选择 Web 代理选项卡。 |
| 3. |
选择启用 Web 代理客户端(内部网络的默认设置)。 |
| 4. |
单击身份验证,打开身份验证对话框。可以在这里选择身份验证类型。 |
| 5. |
选择要求验证所有用户。
| • |
想要选择进行身份验证的默认域,单击选择域。该选项仅对基本、摘要或 RADIUS 身份验证可用。 |
| • |
想要选择 RADIUS 服务器,单击 RADIUS 服务器。 | |
| 6. |
单击确定,关闭身份验证对话框,然后单击确定,关闭网络属性对话框。
注意
Web 代理客户端可以是任何兼容 CERN 的 Web 应用程序。来自 Web 代理客户端的请求被转发给 ISA Server 计算机上的 Microsoft 防火墙服务,该服务判断访问是否被允许。防火墙服务还可以缓存被请求的对象,或者提供来自 ISA Server 缓存的对象。
不论客户端是什么类型,当 ISA Server 接收到一个 HTTP 请求时,该客户端均被当作 Web 代理客户端对待。即使是防火墙客户端或 SecureNAT 客户端发送一个 HTTP 请求,客户端也被当作 Web 代理客户端。 |
附录 E:配置 Web 链接
访问规则决定何种类型的访问被允许。Web 链接决定访问如何进行,尤其是在 ISA Server 计算机和公司 Internet 网关之间存在其他 Web 代理计算机的情况下。
配置 Web 链接
遵循以下过程配置 Web 链接。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择网络。 |
| 2. |
在“网络”详细信息窗格中,选择Web 链接选项卡。 |
| 3. |
在任务选项卡的任务窗格中,单击创建新的 Web 链接规则,启动“新建 Web 链接规则向导”。 |
| 4. |
在欢迎页面上,为规则提供一个名称,单击下一步。 |
| 5. |
在Web 链接规则目标页面上,单击添加,打开添加网络实体对话框。选择网络,单击外部,单击添加,然后单击关闭。这将会添加“外部”网络 (Internet) 作为目标,因为我们想要路由 Internet 请求。在 Web 链接规则目标页面上,单击下一步。 |
| 6. |
在请求操作页面上,选择如何处理请求:
| • |
从特定目标直接检索请求。该选项不使用 Web 链接。 |
| • |
重定向请求到特定的上游服务器。如果选择该选项,向导的下一个页面将是主路由页面,需要在其中指定上游服务器的信息。想要继续,请参考步骤 8。
注意
基本身份验证的委派
如果选择重定向请求到特定的上游服务器,还可以选择允许基本身份验证凭据的委派。当请求到达时,ISA Server 可以处理用户身份验证,并将身份验证信息传递给 Web 服务器,这样用户就不必再次提供凭据了。 |
| • |
重定向请求到宿主站点。该选项将请求转发到一个指定的网站,需要提供该网站的名称和端口。 |
| • |
请求操作页面还允许使用拨号项目作为请求的路由,只要选择使用自动拨号即可。在使用拨号项目之前,必需指定一个自动的拨号连接,请参考附录 F:指定一个自动拨号连接。 |
| • |
完成指定操作之后,单击下一步。 | |
| 7. |
如果选择了从特定目标直接检索请求。或者重定向请求到宿主站点。,将会进入“摘要”页面。检查其中的信息,然后单击完成。在项细信息窗格中单击应用,应用所作的更改。 |
| 8. |
如果在步骤 6 中选择了重定向请求到特定的上游服务器。,将会进入主路由页面,用于选择请求的主要路由。
| • |
请提供服务器、端口 和 SSLPort信息。可以单击浏览,定位择服务器。默认的端口号是上游 ISA Server 计算机将侦听的端口。用户的上游服务器也可能侦听其他的端口。 |
| • |
如果对服务器的访问需要特定的凭据,请选择使用本帐户并单击设置帐户,打开设置帐户对话框。 |
| • |
在设置帐户对话框中,提供服务器将会接受的凭据,然后单击确定。 |
| • |
在身份验证中,选择一种身份验证方法。 |
| • |
单击下一步。 | |
| 9. |
如果在步骤 6 中选择了重定向请求到特定的上游服务器,将会进入备份操作页面,可以在其中选择备选路由选项:
| • |
忽略请求。 |
| • |
从特定目标直接检索请求。该选项不使用 Web 链接。 |
| • |
路由请求到一个上游服务器。该选项允许选择备份路由(在向导的下一个页面)。 |
| • |
备份操作页面还允许用户使用拨号项目作为请求的备选路由,只需选择使用自动拨号即可。在使用拨号项目之前,必需指定一个自动的拨号连接,请参考附录 F:指定一个自动拨号连接。 |
| • |
单击下一步。 | |
| 10. |
如果在步骤 9 中选择了路由请求到一个上游服务器,将会进入备份路由页面,可以在上面选择请求的备选路由:
| • |
提供服务器、端口和 SSLPort信息。可以单击浏览,定位服务器。默认的端口号是上游 ISA Server 计算机将会侦听的端口。用户的上游服务器也可能侦听其他的端口。 |
| • |
如果对服务器的访问需要特定的凭据,请选择使用本帐户并单击设置帐户,打开设置帐户对话框。 |
| • |
在设置帐户对话框中,提供服务器将会接受的凭据,然后单击确定。 |
| • |
在身份验证中选择一种身份验证方法。 |
| • |
单击下一步。 | |
| 11. |
在“摘要”页面中检查信息是否正确,然后单击完成。 |
附录 F:指定一个自动拨号连接
可以将 ISA Server 配置为以自动拨号的方式与某个网络建立连接。例如,如果存在一个到 Internet 的拨号连接,您可以将 ISA Server 配置为自动拨号连接到外部网络。如果存在另外一个高速 Internet 连接,拨号连接可以作为 Internet 的备份路由,请参考附录 E:配置 Web 链接。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择常规。 |
| 2. |
在详细信息窗格中选择指定拨号首选项。 |
| 3. |
选择允许自动拨号到该网络,然后选择一个网络,从而可以为其设置自动拨号连接。如果拨号连接用于 Internet 访问,请指定外部网络。 |
| 4. |
如果拨号连接是连接 Internet 的主要方式,请选择配置本拨号连接为默认网关。 |
| 5. |
在 拨号连接下,在使用以下拨号连接中,提供拨号连接的名称,或者通过单击选择来定位。 |
| 6. |
如果拨号连接绑定到一个特定的用户,请在拨号帐户下提供用户名和密码,方法是单击设置帐户。 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)