首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 使用 ISA Server 2004 控制安全的 Internet 访问
现在时间是: 2019-02-19 19:37
使用 ISA Server 2004 控制安全的 Internet 访问

(2005-02-21 11:36)
通过网络实体控制访问

在这个情境中,我们允许所有“内部”网络用户访问 Internet。但是,仅允许他们从自己的办公室电脑访问与工作相关的站点。在员工休息室中也有几台计算机,用户可以在这里访问所有其他站点。

至少有三种可能的方法来实现该解决方案:

  • 创建一个允许规则,允许从休息室的计算机访问整个 Internet。创建一个拒绝规则,拒绝从“内部”网络访问除 URL 集所允许的站点之外的站点。将允许规则排在拒绝规则之前。
  • 创建两个特定的允许规则,第一个应用于休息室的计算机,允许访问整个 Internet;另外一个应用于“内部”网络,仅允许访问与工作相关的站点。
  • 为“内部”网络的所有计算机创建一个允许规则。为一个计算机集——包括所有“内部”网络计算机,但休息室的计算机除外——创建一个拒绝规则,拒绝访问除工作相关站点之外的站点。将拒绝规则排在允许规则之前。

对应情境

您可能遇到正好的相反的情况:允许从“内部”网络访问整个 Internet,但大厅内的计算机除外,它们不能访问任何 Internet 站点。在这种情况下,应该创建一个包含大厅计算机的计算机集。然后创建一个允许规则,允许从“内部”网络访问外部网络,但是将包含大厅计算机的计算机集列在选项卡的“例外”中。

这里,我们采用第一种方法,因为创建一个包含休息室计算机在内的小型计算机集要比创建一个包含全部内网计算机的计算机集容易很多。

请遵循以下步骤创建这个解决方案。关于创建网络实体和 URL 集的过程,请参考附录 A:创建规则元素。

步骤 1:创建网络实体

所创建的网络实体将是一组 IP 地址,它是在 ISA Server 中定义的一个子网。在这个例子中,创建一个包含休息室计算机的计算机集,它们是内部网络中的一组计算机。

步骤 2:创建一个 URL 集

创建一个包含所有工作相关站点的 URL 集。

步骤 3:为“内部”网络创建一个拒绝访问规则

为员工创建一个访问规则,拒绝从“内部”网络访问除 URL 集允许站点之外的 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。

选项卡 属性 设置

常规

名称

内部网络 Internet 访问拒绝规则

常规

描述

拒绝从内部网络访问 Internet,指定站点除外

常规

启用

选中

操作

允许/拒绝

拒绝

操作

重定向 HTTP 请求到该页面

可选项,可以选中该选项,并提供一个网页地址

操作

记录匹配该规则的请求

如果希望 ISA Server 记录满足规则的请求,就选中

协议

应用于

所选协议:

HTTP

HTTPS

FTP

应用于来自这些源的流量

内部

例外

应用于发送到这些目标的流量

外部

例外

包含工作相关站点的 URL 集

用户

应用于来自以下用户集的请求

所有用户

用户

例外

计划

计划

总是

内容类型

应用于:

所有内容类型

所选内容类型

所有内容类型
 

步骤 4:为“休息室”计算机集创建一个允许访问规则

创建一个访问规则,允许所有用户在所有时间从“休息室”计算机集访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。

选项卡 属性 设置

常规

名称

用于休息室的 Internet 访问允许规则

常规

描述

允许所有用户从休息室的计算机没有限制地访问 Internet

常规

启用

选中

操作

允许/拒绝

允许

操作

重定向 HTTP 请求到本页面

未选中

操作

记录匹配该规则的请求

如果希望 ISA Server 记录匹配的规则,则选中

协议

应用于

所选协议:

HTTP

HTTPS

FTP

应用于来自这些源的流量

“休息室”计算机集

例外

应用于发送到这些目标的流量

外部

例外

用户

应用于来自以下用户集的请求

所有用户

用户

例外

计划

计划

总是

内容类型

应用于:

所有内容类型

所选的内容类型

所有内容类型
 

注意
该属性列表的关键项目是在“从”属性中对“休息室”计算机集的设置。

步骤 5:考虑规则顺序

创建访问规则的时候总是要考虑规则顺序。如果拒绝规则排在允许规则之前,ISA Server 将会处理拒绝规则并拒绝请求,即使该请求是来自一台休息室计算机。

如果允许规则排在拒绝规则之前,它会被首先处理,允许来自休息室计算机的请求。来自其他计算机的请求不会被允许规则处理。它们将被后面的拒绝规则拒绝,除非这些请求是针对允许的工作相关站点。

通过身份验证控制访问

在这个情境中,对公司计算机的物理访问并非总是安全的。例如,维护人员可以访问办公室内的所有计算机,员工也可能在晚上忘记锁定计算机。因此,当用户连接 Internet 的时候,有必要对他们进行身份验证。

步骤 1:创建一个访问规则

创建一个访问规则,允许所有用户访问 Internet,如同本文档其他部分介绍的“创建一个允许所有用户在所有时间访问 Internet 的访问规则”一样。或者,如果想要应用其他限制,也可以创建一或多个规则,如同本文档的其他解决方案介绍的那样。

步骤 2:要求身份验证

对来自任何 Web 代理客户端、通过 ISA Server 访问 Internet 的请求要求身份验证。在 Web 代理属性中进行配置,请参考附录 D:配置 Web 代理属性。



作者:Microsoft Corp.
责任编辑:风间子

<<上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页>>
上一篇:部署防火墙策略的十六条守则 v2.1
下一篇:理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙
相关信息:

ISA 2004配置DEMO下载
How to : 如何配置ISA Server 的网络环境 v2.0
How to :让VPN客户解析内部网络中的计算机名
ISA Server 2004 中的HTTP筛选
ISA Server 2004中的MIME类型

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..