4.3
配置协议规则
如果要允许内部网络上的客户端访问Internet,则需要配置协议规则。协议规则、站点和内容规则和IP数据包筛选器共同定义访问策略。协议规则指定来自哪些客户端的特定的协议可以允许通过ISA Server,以及在什么时候。
本节学习目标
l
描述协议规则的功能
l
举出几个在ISA Server中预先配置的协议定义的例子
l
在ISA Server中创建和配置协议规则
估计学习时间:40 分钟
4.3.1
协议规则
协议规则确定客户端可以使用哪些协议来访问Internet。协议规则可以允许或拒绝使用一个或多个协议定义。它也可以应用到所有的IP通信或者一个指定的协议定义集中。
对于安全网络地址转换客户端而言,协议规则可以应用到所有的计算机中或者按IP地址指定的一组计算机中。对于防火墙客户端而言,协议规则可以应用到所有的计算机中,或者是按IP地址指定的一组计算机中,也可以应用到在Windows 2000所定义的特定的用户和组中。
Ø
按如下步骤创建协议规则:
1.
在ISA Management控制台树上,右击Protocol Rules,指向New,然后单击Rule。
2.
在New Protocol Rule Wizard屏幕中,输入该协议规则的名称,然后单击Next。
3.
在Rule Action页中,指定该规则是允许还是拒绝请求,然后单击Next。
4.
在Protocols页中,指定该规则所采用的协议,然后单击Next。
5.
在Schedule页中,指定该规则何时应用,然后单击Next。
6.
在Client Type页中,指定该规则应用于哪些客户端,然后单击Next。
注意
将企业策略应用到此阵列中,只能创建拒绝型规则。
您可以修改先前任何时候所创建的协议规则。访问ISA Management中的协议规则属性对话框便可进行修改。
Ø
按如下步骤修改协议规则:
1.
在ISA Management控制台树上,单击Protocol Rules。
2.
在View菜单中选取Advanced。
3.
在详细信息窗格中,右击现行协议规则,然后单击Properties。
4.
在Protocol选项卡中,选择下述任一步骤:
u
如果规则应用到所有的协议中,包括那些没有被ISA Server 明确定义的协议,那么单击All IP Traffic。
u
如果规则只应用到所选择的协议中,那么单击Selected Protocols。
u
如果规则应用到选定的协议以外的所有协议中,那么单击All IP Traffic Except Selected。
5.
如果选择了Selected Protocols或者All IP Traffic Excepted Selected,那么在Protocols中,选择一个或多个协议定义。
注意
如果要指定的协议定义不存在,可以单击New进行创建,然后在列表中选中它。
4.3.2
协议规则配置方案
假设您要禁止组织内的一组用户在工作时间内使用MSN Messenger。如果所有的客户机上已经安装并启用了防火墙客户端软件,那么可以配置如下参数来创建协议规则,从而实施此策略:
l
设置Action to Deny The Request
l
选定Selected Protocols
l
选择MSN Messenger协议
l
选择Work Hours时间表
l
选择Specific Users And Groups单选按钮,如图4.9所示
l
选择适当的用户组
4.3.3
协议的可用性
ISA Server有一个协议定义表。表中含有86个预先定义且为用户所熟知的协议定义,包括广为应用的Internet协议。也可以另外添加协议或者是对添加协议进行修改。需要说明的是,如果ISA Server是以缓存模式安装的,那么协议规则只能应用到HTTP、HTTPS、Gopher、以及 FTP 等协
议中。
客户端用特定的协议向目标发出请求时,ISA Server就会检测协议规则。如果协议规则明确地拒绝使用该协议,那么请求会被拒绝。只有协议规则明确地允许该客户端使用该协议,并且站点和内容规则明确允许访问该目标,请求才会被处理。换句话说,要允许访问必须执行以下步骤来:
1.
创建一个协议规则,指出哪些协议可以用来访问特定的目的。
2.
创建一个站点和内容规则,指出允许哪些客户端访问特定的目的集。ISA Server是以集成模式或防火墙模式安装时,站点和内容规则默认被启用,它允许访问所有的站点和内容
类型。
4.3.3.1 应用程序筛选器和协议的可用性
ISA Management在Policy Elements节点的Protocol Definitions文件夹中,提供了所有预先定义的86种协议及您所定义的新协议的信息。在ISA Management的详细信息窗格的协议定义列表中,您会发现有些协议是由ISA Server 定义的,有些则是由应用程序筛选器所定义的。
图4.10所示为协议定义列表。
对于那些由应用程序筛选器创建和安装的协议,源应用程序筛选器禁用时,所有与之对应的协议定义也就禁用了。也就是说,使用该协议定义的通信就会被阻塞。例如,如果流媒体筛选器禁用,那么使用Windows Media以及Real Networks协议定义的通信都会被
阻塞。
需要注意的是,有些应用程序筛选器使用的协议是由ISA Server定义的,而不是它自己定义的。这些应用程序筛选器禁用时,相应的协议定义仍能正常工作。例如,假使令SMTP筛选器失效,但SMTP数据包能被允许通过,因为SMTP协议是由ISA Server定义的,而不是SMTP筛选器定义的。
4.3.4
处理次序
协议规则不像路由规则,它没有优先级之分。只有拒绝类型协议规则比允许类型规则优先。例如,创建两个规则,一个允许使用所有的协议,另一个拒绝使用SMTP协议,那么就不允许使用SMTP协议。
4.3.5
阵列级和企业级协议规则
协议规则可以创建成阵列级和企业级。阵列策略作为企业策略的补充时,它的协议规则只能进一步地限制企业级的协议规则。换句话说,应用的是企业策略时,阵列级的协议规则只能拒绝某些特定的协议。
4.3.6
Web协议
在ISA Management的作用域窗格中选择协议规则,就可以用详细信息窗格中的任务板来创建一个协议规则。该规则允许用户只能使用特定的Web协议来访问Internet。通过单击名称为Allow Web Protocols的图标来实现这一步。表4.1所列出的这些Web协议定义,都是在安装ISA Server时就预先配置好的,其中有的是ISA Server定义的,有的是ISA Server的应用程序筛选器定义的。
4.3.7
ISA Server安装的协议定义
表4.2所列的是ISA Server包含的协议定义。
4.3.8
练习: 把协议规则分配给用户账户
在开始做该练习前,先创建一个名称为user1的域用户账户。注意不要给这个账户任何额外的权限。另外,假定已经创建了一个名称为AllowIP的协议规则(和第3章3.1相同),该规则允许所有的客户端在任何时候都可以使用所有的IP通信。检验Server2的Internet Explorer 浏览器中的代理设置是否对所有用户都是正确配置的。
本练习中,Web会话默认为匿名方式。也就是说,阵列的默认属性没有修改,不要求身份验证,并且允许类型规则也都配置为不要求身份验证。在这种情况下,用户通过Web浏览器和Internet进行连接,不受Windows 2000用户账号的拒绝类型规则的影响。先将ISA Server 配置为传递账号信息和所有的客户端Web会话,再创建一个拒绝某个特定用户对Internet的访问协议规则。最后,以该用户的身份登录,来观察新协议规则的效果。
练习1:在ISA Management中侦听会话
本练习复习ISA Management中的Web代理客户端会话信息。
Ø
在ISA Management中侦听客户端Web会话
1.
在Server1中,打开ISA Management控制台。
2.
单击View菜单,然后单击Advanced。
3.
在控制台树上,展开Monitoring节点,然后选择Sessions文件夹。
4.
如果详细资料窗格中列出了会话,右击它们,然后选择Abort Session来关闭会话。
5.
在Server2中,以user1的身份登录到Domain01,打开Internet Explorer,然后浏览http://www.msn.com。
6.
MSN(微软提供的网络在线服务)Web站点处于下载状态时,切换到Server1。
7.
在Server1中,ISA Management控制台中的Sessions文件夹仍然处于打开状态时,右击详细信息窗格,然后单击Refresh。
将看到一个新Web Session会话类型,用户为匿名,没有客户机名,IP地址为192.168.0.2 (Server2的地址)。
Web会话默认为匿名方式。这样,为特定用户所定义的任何拒绝类型规则都不会影响Web会话。如要求Web会话的用户提供身份验证,可以创建一个要求身份验证的允许类型规则,或者是
