4.1
用ISA Server创建访问策略
ISA Server的一个主要功能就是将局域网连接到Internet中,并保护局域网免受外部信源的恶性内容的破坏。要定义适合自己网络的安全链接,可以用ISA Server来创建允许内部用户访问特定的Internet主机的访问策略。用户访问Internet的方式则由访问策略和路由规则一起决定。
本节学习目标
l
描述ISA Server如何处理传出请求
l
说明ISA Server处理来自防火墙的通过身份验证的用户和Web代理客户的请求所需要的
条件。
l
选择ISA Server的系统安全级别
估计学习时间:30 分钟
4.1.1
控制传出请求
ISA Server处理一个传出请求时,首先检测路由规则、站点和内容规则以及协议规则,以确定该访问是否得到规则许可。只有协议规则以及站点和内容规则都许可,同时没有一个规则明确地拒绝该请求时,它才能允许传出。ISA Server安装成防火墙模式或集成模式时,会激活一个预定义的站点和内容规则,允许对所有站点以及所有内容进行访问。但是,协议规则没有设置为默认状态的。
协议规则以及站点和内容规则可用于源客户地址集(IP地址范围)或者是请求某一对象的特定的用户或组。根据客户端类型安全网络地址转换客户端、防火墙客户端、以及Web代理客户端)和ISA Server配置的不同,ISA Server处理请求的方法也不相同。
对于一个传出请求,规则和数据包筛选器按如下次序处理:
1.
协议规则
2.
站点和内容规则
3.
IP数据包筛选器
4.
路由规则或防火墙链式配置
图4.1所示为传出Web请求的处理流程图解。
ISA Server在检测其他规则或数据包筛选器之前,先检测协议规则。ISA Server允许请求的条件是:有一个协议规则明确地允许该请求,同时没有其他的协议规则明确地拒绝该请求。
检测完协议规则之后,ISA Server开始检测站点和内容规则。ISA Server允许该请求的条件是:有一个站点和内容规则明确地允许该请求,同时没有其他的站点和内容规则明确地拒绝该请求。
检测完站点和内容规则之后,ISA Server通过检测判断是否是特定配置了IP数据包筛选器来阻塞该请求。需要说明的是,IP数据包筛选器和协议规则以及站点和内容规则不同,它并不一定要特定配置来允许客户机的请求。
要点
就Internet访问,ISA Server计算机和客户端的行为有很大的区别。来自ISA Server计算机的请求,IP数据包筛选器允许其有完全的Internet访问权限。和ISA Server客户端不同的是,ISA Server计算机一旦配置了允许类型的协议规则以及站点和内容规则,就不再具备完全的Internet访问权限。不过, IP数据包筛选器是静态的,规则是动态的,所以一般情况下不应经常使用ISA Server计算机作Internet访问。因此,对于位于ISA Server之后的客户端,本书将重点介绍如何配置安全的Internet访问(关于配置IP数据包筛选器详见本章4.5节)。
最后,ISA Server通过检测路由规则(如果是Web代理客户向对象提出请求)或者Firewall Chaining(防火墙链式)配置(如果是安全网络地址转换客户或防火墙客户向对象提出请求),来决定如何为请求提供服务。
例如,假设您是以集成模式或防火墙模式安装了ISA Server。您的计算机上有两个网卡,其中一个网卡与Internet相连,另一个与局域网相连。您公司允许所有的用户访问所有的站点。在这种情况下,您的策略应该包含以下访问策略规则:
l
协议规则
允许所有的内部客户能在任意时候使用任一种协议。
l
站点和内容规则
允许每个人能在任意时候访问任意站点上的内容。需要说明的是,该规则允许内部客户对Internet的访问,但不允许外部客户访问局域网。
4.1.1.1 配置访问策略
ISA Server中配置的访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。对于独立的服务器应创建独立的访问策略。对于阵列服务器,可以创建阵列级的访问策略、企业级的访问策略,或者将这二者结合起来。
访问策略规则适用于所有的客户端类型:防火墙客户端、安全网络地址转换客户端和Web代理客户端。
4.1.2
规则和身份验证
通过配置协议规则以及站点和内容规则来准许或拒绝特定用户对指定协议、Internet站点、或者内容的访问。规则配置好后并将其激活,每一个客户端请求都要先通过ISA Server的身份验证。然后,才能允许通过ISA Server的防火墙。对于安全网络地址转换客户端、防火墙客户端、以及Web代理客户端,ISA Server处理身份验证的方法也有区别。
注意
特定客户机规则和特定用户和组的策略规则不同,它是针对安全网络地址转换客户端、防火墙客户端、以及Web代理客户端而实施的。它是为客户端地址集配置的规则。客户端地址集根据IP地址范围而不是由计算机名来定义。所有的客户端类型都提供客户端机的IP地址,它们提供的信息对于成功地执行该规则很必要。
4.1.2.1 安全网络地址转换客户端与身份验证
安全网络地址转换客户端请求包括所有非Web的Internet请求,且这些请求都来自于那些没有安装Firewall Client的客户端。例如,当做出邮件和新闻请求的客户端计算机的防火墙客户端软件没有激活时,这些请求就被当做安全网络地址转换会话处理。
安全网络地址转换客户端提出请求时,不需要向ISA Server提供用户名或计算机名等信息。因此,访问策略规则要求身份验证时,ISA Server会拒绝让安全网络地址转换客户端的请求通过。
例如,如果您的访问策略既包含协议规则,又包含站点和内容规则,它们允许域用户(Domain Users)组的成员能够在任意时候访问所有的协议和所有的站点。当用户John以安全网络地址转换客户端身份向ISA Server提出邮件请求时,尽管他是Domain Users组的一个成员,但他的请求还是会被拒绝。安全网络地址转换请求不能提供身份证明,而访问策略规则又要求身份验证。所以,所有的安全网络地址转换请求都会被无条件地拒绝。在这种访问策略下,John的非Web的Internet请求要得到准许,他必须在发出访问请求的计算机上安装防火墙客户端软件并激活它,同时他还必须是Domain Users的成员。
4.1.2.2 防火墙客户端与身份验证
防火墙客户端向ISA Server提出请求时,会提供用户名和计算机名等信息。因此,在Firewall Client会话中可以实施要求身份验证的访问策略规则。而且,来自Firewall客户端的非Web请求也不会被无条件地拒绝。如安全网络地址转换客户端所遇到的那种情况。
例如,如果您的访问策略既包含协议规则,又包含站点和内容规则,它们允许Domain Users组的用户在任意时候访问所有的协议和所有的站点。那么当(且仅当)John是该组的一个成员时,他的邮件请求才会被允许通过ISA Server的防火墙。同样,如果另有协议规则拒绝John的访问,那么他从Firewall客户端上所发的非Web请求将会被拒绝。
4.1.2.3 Web代理客户端与身份验证
Web代理客户端请求默认情况下设置为匿名请求。但是,在两种情况下Web代理客户端必须提供身份标识。出现下述任一情况,Web代理客户端会话要执行为特定用户或组所配置的规则:
l
默认ISA Server属性已经被修改,传出请求要求身份验证
l
访问策略包含一个为特定用户或组所配置的允许类型规则(不论是协议规则还是站点和内容规则)
任何为特定用户或组配置的允许类型规则都会提示Web代理客户端产生一个用户已经通过验证的会话。访问策略包含为特定用户或组定义的拒绝类型规则时,Web代理客户端会忽略该规则,除非另有允许类型的规则要求身份验证。
例如,假设您没有修改传出Web请求的属性,而且您的访问策略包含以下规则:
l
允许访问所有协议的协议规则,不管什么时候什么请求
l
拒绝用户John访问任何协议的协议规则
l
允许访问所有目的的站点和内容规则,不管什么时候什么请求
在这种情况下,John的Web请求就不会被拒绝,因为没有要求Web代理客户端提供用户标识的允许类型规则。但是,如果您给这个策略添加过允许类型的协议规则或者站点和内容规则,并且该规则允许域用户组的所有成员有完全的访问权限,那么用户John的所有Web请求都会被拒绝。
Ø
按如下步骤,要求所有的Web请求都提供身份验证:
1.
在ISA Management管理控制台树上,右击现行阵列,然后单击Properties。
2.
在Incoming Web Requests选项卡或Outgoing Web Requests选项卡中,选中Ask Unauthenticated Users For Identification复选框。
注意
重启Web代理服务器,否则该变化不会生效。
4.1.3
ISA Server系统安全(系统强化)
ISA Server包含有ISA Server Security Configuration向导。该向导能够为阵列中所有服务器配置全方位的系统安全设置。它允许选择以下任一种安全级别:
l
专用
ISA Server作为完全专用的防火墙,没有其他的交互式应用程序时,适合用该设置。
l
限制服务
ISA Server作为防火墙和高速缓冲存储器集成服务器,适合用该设置。它可能由另外的防火墙来保护。
l
安全
ISA Server 计算机
