配置协议规则
如果要允许内部网络上的客户端访问Internet则需要配置协议规则协议规则站点和内容规则和IP数据包筛选器共同定义访问策略协议规则指定来自哪些客户端的特定的协议可以允许通过ISA Server以及在什么时候
本节学习目标
l描述协议规则的功能
l举出几个在ISA Server中预先配置的协议定义的例子
l在ISA Server中创建和配置协议规则
估计学习时间 分钟
协议规则
协议规则确定客户端可以使用哪些协议来访问Internet协议规则可以允许或拒绝使用一个或多个协议定义它也可以应用到所有的IP通信或者一个指定的协议定义集中
对于安全网络地址转换客户端而言协议规则可以应用到所有的计算机中或者按IP地址指定的一组计算机中对于防火墙客户端而言协议规则可以应用到所有的计算机中或者是按IP地址指定的一组计算机中也可以应用到在Windows 所定义的特定的用户和组中
Ø按如下步骤创建协议规则
在ISA Management控制台树上右击Protocol Rules指向New然后单击Rule
在New Protocol Rule Wizard屏幕中输入该协议规则的名称然后单击Next
在Rule Action页中指定该规则是允许还是拒绝请求然后单击Next
在Protocols页中指定该规则所采用的协议然后单击Next
在Schedule页中指定该规则何时应用然后单击Next
在Client Type页中指定该规则应用于哪些客户端然后单击Next
注意将企业策略应用到此阵列中只能创建拒绝型规则
您可以修改先前任何时候所创建的协议规则访问ISA Management中的协议规则属性对话框便可进行修改
Ø按如下步骤修改协议规则
在ISA Management控制台树上单击Protocol Rules
在View菜单中选取Advanced
在详细信息窗格中右击现行协议规则然后单击Properties
在Protocol选项卡中选择下述任一步骤
u如果规则应用到所有的协议中包括那些没有被ISA Server 明确定义的协议那么单击All IP Traffic
u如果规则只应用到所选择的协议中那么单击Selected Protocols
u如果规则应用到选定的协议以外的所有协议中那么单击All IP Traffic Except Selected
如果选择了Selected Protocols或者All IP Traffic Excepted Selected那么在Protocols中选择一个或多个协议定义
注意如果要指定的协议定义不存在可以单击New进行创建然后在列表中选中它
协议规则配置方案
假设您要禁止组织内的一组用户在工作时间内使用MSN Messenger如果所有的客户机上已经安装并启用了防火墙客户端软件那么可以配置如下参数来创建协议规则从而实施此策略
l设置Action to Deny The Request
l选定Selected Protocols
l选择MSN Messenger协议
l选择Work Hours时间表
l选择Specific Users And Groups单选按钮如图所示
l选择适当的用户组
协议的可用性
ISA Server有一个协议定义表表中含有个预先定义且为用户所熟知的协议定义包括广为应用的Internet协议也可以另外添加协议或者是对添加协议进行修改需要说明的是如果ISA Server是以缓存模式安装的那么协议规则只能应用到HTTPHTTPSGopher以及 FTP 等协议中
客户端用特定的协议向目标发出请求时ISA Server就会检测协议规则如果协议规则明确地拒绝使用该协议那么请求会被拒绝只有协议规则明确地允许该客户端使用该协议并且站点和内容规则明确允许访问该目标请求才会被处理换句话说要允许访问必须执行以下步骤来
创建一个协议规则指出哪些协议可以用来访问特定的目的
创建一个站点和内容规则指出允许哪些客户端访问特定的目的集ISA Server是以集成模式或防火墙模式安装时站点和内容规则默认被启用它允许访问所有的站点和内容类型
应用程序筛选器和协议的可用性
ISA Management在Policy Elements节点的Protocol Definitions文件夹中提供了所有预先定义的种协议及您所定义的新协议的信息在ISA Management的详细信息窗格的协议定义列表中您会发现有些协议是由ISA Server 定义的有些则是由应用程序筛选器所定义的
图所示为协议定义列表
对于那些由应用程序筛选器创建和安装的协议源应用程序筛选器禁用时所有与之对应的协议定义也就禁用了也就是说使用该协议定义的通信就会被阻塞例如如果流媒体筛选器禁用那么使用Windows Media以及Real Networks协议定义的通信都会被阻塞
需要注意的是有些应用程序筛选器使用的协议是由ISA Server定义的而不是它自己定义的这些应用程序筛选器禁用时相应的协议定义仍能正常工作例如假使令SMTP筛选器失效但SMTP数据包能被允许通过因为SMTP协议是由ISA Server定义的而不是SMTP筛选器定义的
处理次序
协议规则不像路由规则它没有优先级之分只有拒绝类型协议规则比允许类型规则优先例如创建两个规则一个允许使用所有的协议另一个拒绝使用SMTP协议那么就不允许使用SMTP协议
阵列级和企业级协议规则
协议规则可以创建成阵列级和企业级阵列策略作为企业策略的补充时它的协议规则只能进一步地限制企业级的协议规则换句话说应用的是企业策略时阵列级的协议规则只能拒绝某些特定的协议
Web协议
在ISA Management的作用域窗格中选择协议规则就可以用详细信息窗格中的任务板来创建一个协议规则该规则允许用户只能使用特定的Web协议来访问Internet通过单击名称为Allow Web Protocols的图标来实现这一步表所列出的这些Web协议定义都是在安装ISA Server时就预先配置好的其中有的是ISA Server定义的有的是ISA Server的应用程序筛选器定义的
ISA Server安装的协议定义
表所列的是ISA Server包含的协议定义
练习 把协议规则分配给用户账户
在开始做该练习前先创建一个名称为user的域用户账户注意不要给这个账户任何额外的权限另外假定已经创建了一个名称为AllowIP的协议规则(和第章相同)该规则允许所有的客户端在任何时候都可以使用所有的IP通信检验Server的Internet Explorer 浏览器中的代理设置是否对所有用户都是正确配置的
本练习中Web会话默认为匿名方式也就是说阵列的默认属性没有修改不要求身份验证并且允许类型规则也都配置为不要求身份验证在这种情况下用户通过Web浏览器和Internet进行连接不受Windows 用户账号的拒绝类型规则的影响先将ISA Server 配置为传递账号信息和所有的客户端Web会话再创建一个拒绝某个特定用户对Internet的访问协议规则最后以该用户的身份登录来观察新协议规则的效果
练习在ISA Management中侦听会话
本练习复习ISA Management中的Web代理客户端会话信息
Ø在ISA Management中侦听客户端Web会话
在Server中打开ISA Management控制台
单击View菜单然后单击Advanced
在控制台树上展开Monitoring节点然后选择Sessions文件夹
如果详细资料窗格中列出了会话右击它们然后选择Abort Session来关闭会话
在Server中以user的身份登录到Domain打开Internet Explorer然后浏览
MSN(微软提供的网络在线服务)Web站点处于下载状态时切换到Server
在Server中ISA Management控制台中的Sessions文件夹仍然处于打开状态时右击详细信息窗格然后单击Refresh
将看到一个新Web Session会话类型用户为匿名没有客户机名IP地址为 (Server的地址)
Web会话默认为匿名方式这样为特定用户所定义的任何拒绝类型规则都不会影响Web会话如要求Web会话的用户提供身份验证可以创建一个要求身份验证的允许类型规则或者是
