4.4 配置站点和内容规则
站点和内容规则允许根据和客户端请求相关的目的及内容类型来指定Internet访问策略。协议规则允许或阻塞特定协议的传输,站点和内容规则允许或阻塞Web站点集、文件扩展名、或者全部内容(音频或视频)的传输。使用协议规则,还可以将站点和内容规则应用到特定的计算机、用户、IP地址、以及时间表的任意组合中。
本节学习目标
l
描述ISA Server站点和内容规则的功能
l
为ISA Server的Internet访问配置站点和内容规则
估计学习时间:40 分钟
4.4.1
站点和内容规则
通过创建站点和内容规则,可以根据既定请求的目的或内容类型来决定允许或拒绝该Internet访问。站点和内容规则决定用户或客户端地址集能否访问特定目的集的特定内容,以及何时可以
访问。
客户端向对象提出请求时,ISA Server 先检察站点和内容规则。如果有一个站点和内容规则明确地拒绝该请求,访问就会被拒绝。只有当站点和内容规则明确地允许该客户端(或用户)访问该内容,而且有一个协议规则允许该客户端(或用户)使用该特定协议进行通信,才能实现该请求。换句话说,要访问Internet,必须完成以下步骤:
1.
创建一个站点和内容规则,指出允许哪些客户端访问特定的目的集。
2.
创建一个协议规则,指出可以使用哪些协议来访问特定的目的。
4.4.1.1 处理次序
协议规则不像路由规则,它没有优先级之分。只有拒绝类型协议规则比允许类型规则优先。例如,如果您创建了两个规则,一个允许所有的请求进行访问,另一个则拒绝销售部门的所有用户访问,那么销售部门将不能访问Internet。
4.4.1.2 允许和拒绝操作
站点和内容规则既可以允许也可以拒绝对特定站点的访问。如果拒绝一个访问时,比如拒绝的是发向HTTP对象的请求,该请求就会被重定向到URL--通常是位于内部服务器上的一个网页――说明访问为什么被拒绝。
这样,拒绝某个访问时,ISA Server就将URL发送给Web浏览器客户端。该客户端的Web浏览器就会尝试从ISA Server重定向的目的上访问对象。
例如,假定有一个站点和内容规则拒绝访问站点http://example.microsoft.com/并将对这个站点的请求重定向到http://internal.acme.com/。如有客户端对Web页http://example. microsoft.com/ welcome.htm提出请求时,ISA Server拒绝该请求,并把站点http://internal. acme.com/返回给浏览器。于是,浏览器就对Web页http://internal.acme.com/welcome.htm发出请求。
要点
如果您选择了将重定向请求,那么您所指定的URL对于浏览器必须是可以访问的。换句话说,要么该URL在一个内部计算机上,要么有某一规则明确允许访问该URL。
4.4.2
目的集和路径处理
创建站点和内容规则时,要指定哪些目的是可以访问的。目的集可以包括特定计算机的IP地址或者是计算机主机名称。无论是前者还是后者,都可以指定计算机上的某一特定路径,使其包含在目的集中。
ISA Server根据提出请求的客户端类型以及所请求内容的类型,用不同的方式处理站点和内容规则。例如,对于某些客户端和协议,ISA Server忽略目的集中所指定的所有路径。表4.3详细列出了ISA Server是否处理目的集中为计算机所指定的路径。
针对某一既定请求执行规则时,并且和该请求相关的内容不支持路径处理时,ISA Server忽略规则中所有指定路径的目的。如果规则包含一个以上的目的集,那么只有包含不支持路径的目的才会被忽略,该规则会针对其他目的执行。例如,如果有一个规则拒绝访问两个目的:widgets.microsoft.com和//example.microsoft.com/example,那么从example.microsoft.com访问NNTP内容的请求不会被拒绝。这是因为目的集中包含有路径,既然ISA Server不支持对NNTP内容的路径处理,它就不会对该目的执行拒绝规则。但是,从widgets.microsoft.com访问NNTP内容的请求会被拒绝;因为该文件集不包含路径,所以会执行拒绝规则。
对于S-HTTP请求,如果规则拒绝对某一指定路径的目的的请求,那么ISA Server就拒绝该计算机上所有的内容,而不仅仅局限于该路径。例如,如果把一个规则配置为拒绝对example.microsoft. com/example的S-HTTP访问,ISA Server就会拒绝访问example. microsoft.com上所有的内容。
4.4.3
阵列级和企业级站点和内容规则
站点和内容规则既可以创建成阵列级,也可以创建成企业级。阵列策略处于允许状态时,它的站点和内容规则只能进一步限制企业级的站点和内容规则。阵列级的站点和内容规则只能拒绝对特定站点或内容的访问。
Ø
按如下步骤创建站点和内容规则:
1.
在ISA Management控制台树上,右击Site and Content Rules,指向New,然后单击Rule。
2.
在New Site and Content Rule向导中,输入规则的名称,然后单击Next。
3.
在Rule Action页中,指定该规则是允许还是拒绝请求,然后单击Next。
4.
在Rule Configuration页中,选择该规则是否应用到指定站点、指定时间表、指定客户端或以上所有项。然后单击Next。
5.
在随后的页中,指定该规则如何应用。
注意
如果该阵列中应用了企业策略,那么只能创建拒绝类型规则。
4.4.3.1 站点和内容规则举例
要拒绝对
http://example.microsoft.com/stuff
中所有图像进行访问,那么创建具有如下属性的站点和内容规则:
l
将Rule Action设置为Deny。
l
将Rule Configuration设置为Custom。
l
将Destination Set设置为包含如下路径的集合:example.microsoft.com/stuff/*。
l
将Schedule设置为Always。
l
将Client Type设置为Any Requests。
l
将Content Group设置为Images内容组。
Ø
按如下步骤为站点和内容规则分配目的集:
1.
在ISA Management控制台树上单击Site And Content Rules。
2.
在View菜单中,选择Advanced。
3.
在详细信息窗格中,右击现行规则,然后单击Properties。
4.
在Destinations选项卡中,选择以下之一:
u
All Destinations
u
All External Destinations
u
All Internal Destinations
u
Selected Destination Set
u
All Destinations Except Selected Set
5.
如果选择了Selected Destination Set或者All Destinations Except Selected Set,在Name字段,选择一个目的集。
4.4.4
内容组
ISA Server预先配置有如下内容组:应用程序、应用程序数据文件、音频、压缩文件、文档、HTML文档、图像、宏文档、文本文件、视频以及VRML。
创建站点和内容规则时,可以将该规则应用到这些内容组中的任意项中,如图4.11所示。
根据Web服务器,不同的MIME类型和不同的文件扩展名有关。表4.4所列的是IIS默认的MIME类型和文件扩展名的关系。
4.4.5
练习:创建新站点和内容规则
在本练习中,您将创建一个新站点和内容规则,来阻止某一用户访问所有的音频和视频内容。以两个不同的用户身份登录,观察一下这个新规则的作用。
假定您已经创建了一个名为user1的域用户账户(如4.3所示),并且没有给该账户分配任何额外的权限。您再创建一个名为user2的新域用户账户,而且也没有给它分配任何额外的权限。同时,假定您已经在ISA Server中创建了一个协议规则,该规则允许任何请求在任何时候都可以进行所有的IP通讯(如第3章,3.1所停)。最后,假定您已经将传出Web请求属性修改为提供身份验证,如第4章第4.3节所述。检验Internet Explorer浏览器中的代理设置配置对于Server2上的所有用户是否都是正确的。
如果您已经定义了一个DenyUser1协议规则(如第4章4.3所述),那么在开始这个练习之前,应该先禁用该规则,然后重新启动ISA Server服务。
练习1: 拒绝User1访问音频和视频内容
在Server1上完成本次练习。在本练习中,您将创建一个站点和内容规则,该规则拒绝user1访问所有的音频和视频内容。
Ø
拒绝user1访问音频和视频内容
1.
以Administrator的身份登录到Server1。
2.
打开ISA Management。
