摘要
URL 集和域名集是在配置 Microsoft Internet Security and Acceleration (ISA) Server 2004 规则时可以创建和使用的工具箱元素。URL 集指定一个或多个分组到一个集合中的 URL。域名集将一个或多个域名定义为单个集合。
URL 集
您可以创建 URL 集,然后在访问规则中使用,以允许或拒绝对该集合中指定的 Web 站点的访问。当 ISA Server 处理一个应用于某 URL 集的规则时,它只为 Web 流量请求(HTTP、HTTPS 或 HTTP 上的 FTP)处理该规则的 URL 集合元素。如果客户端请求使用另外的协议(防火墙流量),ISA Server 将在处理该规则时忽略该 URL 集。例如,如果某规则同时指定了一个“计算机”集和一个 URL 集作为目标标准,则该规则仅评价“计算机”集。URL 集将被忽略。
在创建 URL 集时请注意以下事项:
您能够以 URL 格式指定一个或多个 URL:
://:/
在该名称的主机部分,您可以使用通配符(*)来指定计算机集。例如,要指定 Microsoft.com 域中的所有计算机,可指定为 *.microsoft.com。
在该名称的路径部分,您可以指定一个通配符星号作为路径的一部分,但是只能在结尾处指定。例如:
www.microsoft.com/* 是可接受的。
www.microsoft.com/*/sales 是不可接受的。
不能将 URL 集指定为 IP 地址。
在将请求与包含 URL 集的规则匹配时,请注意以下情况:
匹配时仅考虑请求中的主机名称和路径。
URL 的协议部分将从请求中去除并被忽略。
指定的任何端口号将从请求中去除并被忽略。
如果某个请求包括一个问号(),问号及其后面的所有内容将在匹配之前从请求中去除。
在匹配时,主机和路径名称不区分大小写。
对于 HTTP 和 HTTP 上的 FTP,当请求中指定的 URL 不带路径时,它将匹配任何路径。换句话说,http://a.com 或“a.com”等价于 http://a.com/* 。
对于 HTTPS 流量,仅当 URL 没有指定路径时才会处理 URL 集。例如 http://a.com 或“a.com”。如果 URL 指定了路径(即使只是“/”),那么对于 HTTPS 流量,该 URL 将被忽略。
一些 URL 集映射例子如下:
对于 URL 集条目:
ftp://a.com:25/apath
针对 http://a.com 的请求将得到匹配,针对 http://a.com:55 的请求也会得到匹配,因为协议和端口被去除了。
对于 URL 集条目:
http://a.com
针对 http://a.com/abc 的请求将得到匹配,针对 http://a.com/abc/def 的请求也会得到匹配。换句话说,http://a.com 等价于 http://a.com/* 。例外情况是 HTTPS 请求,它们不会被处理,因为指定了路径。
对于 URL 集条目:
http://a.com/a
针对 http://a.com/a 的请求将得到匹配。但是针对 http://a.com/a/b 的请求不会得到匹配。在这样的条目中,请求与跟在“a”后面的树不匹配。
对于 URL 集条目:
http://www.a.com/apathnext=news
问号及其后面的所有内容从请求中去除了,因此如果在拒绝规则中指定该 URL 集,并且有一个针对 http://www.a.com/apathnext=news 的请求到达,该请求将被截断为 http://www.a.com/apath,并得到允许,因为它与拒绝规则中指定的 URL 集不匹配。为了阻止这样的请求,应该在 URL 集中指定 http://www.a.com/apath。
对于 URL 集条目:
“a.com”,HTTPS 请求将得到匹配,因为没有指定路径。
对于 URL 集条目:
“b.com/”,HTTPS 请求将不会得到匹配,因为指定了路径(“/”)。
域集
域集将一个或多个域名集聚为单个集合,以便在防火墙策略中使用。
请注意以下事项:
不能将域名集指定为 IP 地址。
在将域名指定为某个域名集的一部分时,可以使用通配符(*)来指定域中的一组计算机。例如,为了指定 microsoft.com 域中的所有计算机,可键入 *.microsoft.com 作为域名。
如果要指定通配符星号,它只能出现在域名的开头,并且只能在该名称中指定一次。
在指定域名时,可使用完全限定的域名(FQDN)。例如,computer_name.microsoft.com,而不是 \computer_name。
在创建具有通配符的域(比如:*.microsoft.com)时,这仅包括该域的主计算机,例如 www.microsoft.com、ftp.microsoft.com。注意,如果域名指向某个主机,*.microsoft.com 将不会影响 URL http://Microsoft.com。
推荐输入 DNS 所返回的域名。如果在域名的结尾指定一个点,针对该域名(不带点)的请求可能无法按需要的那样匹配。
在匹配规则时,域名不区分大小写。
名称解析
ISA Server 根据访问策略来判断请求是应该被允许还是被拒绝。ISA Server 规则引擎尝试将请求与访问规则匹配,然后再与路由规则匹配。包括域名集和 URL 集的规则需要名称解析等功能。如果不存在阻止规则匹配的规则标准,并且在执行名称解析时该规则与请求相匹配,则该规则将受名称解析的限制。换句话说,如果该规则包含一个 URL 集,但是该规则的计划安排限制阻止了匹配,则该规则将不受名称解析的限制。可以标记以下类型的请求来进行名称解析:
按名称指定的 Web 请求遇到一个将地址范围指定为目标标准(正向查找)的规则。
按 IP 地址指定的 Web 请求遇到一个将 URL 集指定为目标标准(反向查找)的规则。
包括自己的 DNS 缓存的防火墙服务。如果所请求的 IP 地址或主机名称驻留在该缓存中,该请求将在不发出 DNS 请求的情况下处理。否则就会使用 Windows API 发出一个 DNS 请求。名称解析提供一个主机条目,然后规则引擎把该条目与规则的目标标准作比较。规则引擎对照 URL 集和域名集条目执行字符串比较。
要重点注意的是,需要名称解析的规则是根据 DNS 解析信息来评价和强制实施的。如果没有正确和安全地配置 DNS 信息,规则也许就无法按需要的那样应用。
