4.2
创建自定义的策略单元
ISA Server中所配置的访问策略能够让您判断在什么时候、从哪些源地址发出、到哪些目的、以及哪一种类型的通信可以被允许通过防火墙。在任何访问策略中,每一个特定的参数,例如内容类型、时间表、客户集、以及目的等都称为策略单元。这些策略单元就是构成策略规则的构造块。因为ISA Server允许您定义自己的策略单元,所以您可以自定义规则参数来适应自己特定的网络需求。
本节学习目标
l
在ISA Server中创建和配置自定义的策略单元
估计学习时间:45 分钟
4.2.1
策略单元
策略单元是策略规则的参数或构造块。例如,某些时候拒绝一个客户集对某个Web内容的访问时,这个客户集、Web内容、以及这些特定的时间就是所谓的策略单元。ISA Server允许创建策略单元,且这些策略单元可以在定义的任何规则中使用。所创建的策略单元可以是企业级或阵列级,它们包括:
l
时间表
l
带宽优先级
l
目的集
l
客户端地址集
l
协议定义
l
内容组
l
拨号项
4.2.1.1 阵列级和企业级策略单元
如果您使用的是ISA Server企业版,而且需要定义一个适合整个企业的访问策略,那么就可以定义企业级的策略单元。创建企业级的规则之后,就可以使用这些企业级的策略单元了。
阵列级的策略和企业级的策略在一起使用时,也可以将阵列级的规则应用到企业级的策略单
元中。
对于独立的服务器,只能创建阵列级的策略单元。
4.2.2
配置时间表
创建规则时,可以将时间表应用到规则中,以确定规则什么时候生效。
ISA Server预先配置有以下两种时间表:
l
周末,在星期六和星期天全天都允许访问
l
工作时间,从星期一到星期五的上午9:00到下午5:00时间段允许访问
ISA Server还允许自定义时间表策略单元,如图4.4所示。
以下规则可以规定时间表:
l
站点和内容规则
l
协议规则
l
带宽规则
Ø
按如下步骤创建一个时间表:
1.
在ISA Management控制台树上,右击Schedules,指向New,然后单击Schedule。
2.
在Name字段,输入该时间表的名称。
3.
(可选项) 在Description字段,输入该时间表的描述。
4.
使用表格来设置时间表。
u
单击某一单元,选择一特定工作日的某一特定时间。
u
单击左列中的某一工作日,选择整个工作日。
u
单击顶端行中的某一时间,选择所有工作日的该时间。
5.
单击Active单选按钮,使得规则在选定的时间内处于激活状态;或者单击Inactive单选按钮,使得规则在选定时间内处在禁止状态。
在时间表格中,暗色的单元意味着这个规则在该天的该时间内是有效的(active);白色的单元则意味着该规则是无效的(inactive)。
4.2.3
配置目的集
目的集就是计算机名称、IP地址、域名、或者IP范围。它们每一项都能包含路径。目的集包括一台或多台计算机,或者是特定计算机上的文件夹。规则能够应用到所有的目的集中,或者是除了指定目的集以外的所有计算机中,或者是某一个特定的目的集中。当定义一个目的集时,可以根据域名或者IP地址范围来指定一个给定的目的。也可以用通配符来指定选定域的所有主机名。例如,要指定域microsoft.com中的所有计算机,可以将*.microsoft.com作为目的输入。需要说明的是,通配符 (*) 只能出现在域名的开头,并且在该域名中只能使用一次。图4.5所示为目的集定义的一个例子。同样,可以在目的集中指定一个特定的路径来允许或防止客户端访问该路径。路径也可以包含通配符。
指定目的时,可以使用以下格式。计算机名、路径、以及文件名等不区分大小写。下式将所有文件都包含在一个文件夹中:/Path/Folder_Name/*。在文件夹中选择某一特定文件:Folder_Name/Filename。规则能够应用到内部目的集或外部目的集。内部目的集就是局域网内部的计算机组,而外部目的集包括局域网以外的计算机。
以下规则可以用来规定目的集:
l
站点和内容规则
l
带宽规则
l
Web 发布规则
l
路由规则
对于站点和内容规则以及带宽规则而言,目的集通常包括那些不在内部局域网上的计算机。对于Web发布规则而言,目的集通常包括位于内部局域网上的计算机。对于路由规则而言,那些路由传出Web请求的规则,它们的目的集包括外部计算机(位于Internet上),而那些路由传入Web请求的路由规则则包括内部计算机。
4.2.5
客户端用户和组
在Microsoft Windows 2000中所定义的用户和组,到了ISA Server中就被当做客户端类型处理。创建规则时,可以指定该规则应用于内部客户端。客户端既可以由Windows 2000用户和组来指定,也可以由客户端地址集来指定。它们都是通过IP地址来定义客户端的。
配置应用于安全网络地址转换客户端的规则时,必须根据客户端地址集而不是根据用户和组来指定客户端。否则,规则将不能执行,而且安全网络地址转换客户端请求将被拒绝。配置应用于Firewall客户端的规则时,可以根据客户端地址集或者根据用户和组来指定客户端。Windows 2000用户和组是在Windows 2000 Computer Management控制台以及Active Directory Users And Computers控制台中配置的。
4.2.6
配置协议定义
ISA Server包含有大量的预先配置的协议定义,创建协议规则或服务器发布规则时可以使用它们。服务器发布规则使用协议定义,这些定义的方向是入站的。应用程序筛选器也可能包含协议定义。安装ISA Server时就可以包括协议定义,也可在之后单独安装。还可以通过使用ISA Management创建自己的协议定义来进一步扩充协议定义集。
自定义的协议定义能够编辑或删除。与应用程序筛选器一起安装的协议定义可以删除,但不能修改。包含在ISA Server中的协议定义不能修改,也不能删除。当创建一个协议定义时,必须要指定以下几项:
l
端口号
这是一个数值在1与65525之间的端口号,用在初始的链接中。
l
低层协议
要么是TCP协议,要么是UDP协议。
l
方向
可能是Send only、Receive only、Send receive、以及Receive send。
l
辅助连接
(可选项) 这是针对在初始链接之后的附加链接或者数据包所使用的端口号范围、协议、以及方向。可以配置一个或者多个辅助连接。
方向
创建协议定义时,可以配置通信流的方向。指定通信方向将决定数据包如何通信。对于TCP协议而言,这个方向决定了最初的通信方向。对于UDP协议而言,这个方向决定了通信的流程。例如,可以配置一个协议规则,使得内部客户端在端口80上通过指定方向为“发送”,来开始一个TCP通信。与该客户端通信的服务器能够对客户端的请求作出反应,但却不能首先开始通信。
Ø
按如下步骤创建协议定义:
1.
在ISA Management控制台树上,右击Protocol Definitions,指向New,然后单击Definition。
2.
在New Protocol Definition向导中,输入该协议定义的名称,然后单击Next。
3.
在Primary Connection Information页中,指定端口数,协议类型,以及主链接的方向,然后单击Next。
图4.7所示为Primary Connection Information页。
4.
在Secondary Connections页中,指定该协议定义是否包含辅助连接。如果选择了配置一个辅助连接,就要指定端口范围,协议类型,以及辅助连接的方向等。
5.
单击Next,然后单击Finish结束向导。
4.2.7
配置内容组
内容组指定多功能Internet函件扩展系统(MIME)类型和文件扩展名。创建站点和内容规则或者是带宽规则时,可以限定规则应用到哪些指定的内容组中。这样,在配置安全策略时可以更加详细而精确,不仅可以限制对特定目的的访问,而且还可限制特定的内容。
内容组只适用于HTTP和FTP通信。它们都是通过Web代理服务来传递的。
客户端对FTP内容提出请求时,ISA Server就检测被请求对象的文件扩展名。ISA Server 通过判断规则是否适用于包含了被请求的文件扩展名的内容组,来决定是否处理该规则。
客户端对HTTP内容提出请求时,ISA Server将该请求发送到Web服务器。当Web服务器返回所要求的对象时,ISA Server就通过Web服务器所返回的报头信息来检测该对象的MIME类型或文件扩展名。ISA Server据此来确定规则是否适用于包含了被请求文件扩展名的内容组,以及如何处理该规则。
内容组不能应用到S-HTTP or HTTP内容中。
创建内容组时,建议指定内容的MIME类型以及文件的扩展名。例如,内容组包含所有的Director文件时,选择以下文件扩
