通过内容类型控制访问
在这个情境中,需要保护有限的带宽,使其用于工作,因此需要阻止对占用大量带宽的音频和视频文件的访问。针对该情境,存在两种可能的解决方案。
- 创建一个允许规则,允许所有用户没有限制地访问 Internet;然后创建一个拒绝规则,拒绝所有用户访问特定的内容类型。确保拒绝规则排在允许规则之前。
- 创建一个允许规则,允许所有用户访问 Internet,但只能访问指定的内容类型。
这里介绍第二个方法,因为它仅需要一个访问规则。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表所示的属性。
重要
不能在创建规则的时候设置内容类型。必须在规则属性对话框中设置这些属性。使用“新建访问规则向导”创建规则之后,找到“防火墙策略”详细信息窗格,双击打开它的属性对框框。选择“内容类型”选项卡,进行必要的修改。
|
常规 |
名称 |
音频和视频除外的内部网络 Internet 访问允许规则 |
|
常规 |
描述 |
允许从内部网络访问除音频和视频之外的所有 Internet 内容 |
|
常规 |
启用 |
选中 |
|
操作 |
允许/拒绝 |
允许 |
|
操作 |
重定向 HTTP 请求到本页面 |
可选项,可以选中该选项,并提供一个网页地址 |
|
操作 |
记录匹配该规则的请求 |
如果希望 ISA Server 记录满足规则的请求,就选中可选项 |
|
协议 |
应用于 |
所选协议:
HTTP
HTTPS
FTP |
|
从 |
应用于来自这些源的流量 |
内部 |
|
从 |
例外 |
无 |
|
到 |
应用于发送到这些目标的流量 |
外部 |
|
到 |
例外 |
无 |
|
用户 |
所有用户 |
无 |
|
用户 |
例外 |
无 |
|
计划 |
计划 |
总是 |
|
内容类型 |
应用于:
所有内容类型
所选内容类型 |
所选内容类型
选中除音频和视频之外的所有内容类型 |
通过计划控制访问
在这个情境中,您希望在半夜的时候,非核心人员(比如:安全和维护人员)无法通过没有锁定的计算机访问 Internet。请遵循以下步骤,为该情境创建一个解决方案。
步骤 1:创建一个计划
创建一个计划,代表仅有得到授权的人员在工作地点的时间。例如,可能是每个工作日的 07:00 到 21:00。
步骤 2:创建一个访问规则
创建一个访问规则,允许所有用户访问 Internet,但时间仅限于新创建的计划所包含的时间。
控制安全的 Internet 访问演练过程 4:查看 ISA Server 日志中的 Internet 访问信息
如果选中记录匹配该规则的请求(在访问规则属性的操作页面),ISA Server 将会记录匹配特定规则的请求。
想要察看日志中的信息,请执行以下步骤:
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中,选择日志记录选项卡。 |
| 3. |
创建一个筛选器,仅记录对 Internet 的访问尝试。在任务选项卡的任务窗格中单击编辑筛选器属性,打开编辑筛选器对话框。筛选器拥有三个默认的条件,指定日志时间为活动,记录来自防火墙和 Web 代理的信息,不记录连接状态。用户可以编辑这些条件,并添加额外的条件,从而限制查询所检索的信息。 |
| 4. |
例如,选择日志时间。从条件下拉菜单选择最近 24 小时,然后单击更新。
注意
对日志筛选器表达式的更改,以及新的表达式不会保存,直到您单击启动查询(位于编辑筛选器对话框)。 |
| 5. |
选择日志记录类型。从值下拉菜单选择 Web 代理筛选器,然后单击更新。 |
| 6. |
单击启动查询。启动查询命令也可以从任务选项卡的任务窗格中调用。完成的修改可以对日志的信息进行一定程度的限制。您还可以添加额外的筛选器表达式,进一步限制信息,请按照以下步骤执行。 |
| 7. |
在任务选项卡的任务窗格,单击编辑筛选器属性,打开编辑筛选器对话框。要添加其他表达式,请从筛选依据下拉菜单选择一个项目,然后提供条件和值。下表给出了一些例子。
|
客户端 IP |
等于 |
一台客户端计算机的 IP 地址 |
提供特定客户端计算机试图访问 Internet 的日志。 |
|
客户端用户名 |
等于 |
用户名 |
提供特定用户试图访问 Internet 的日志。 |
|
目标主机名 |
等于 |
目标主机名 |
提供尝试访问特定主机的日志。 |
|
目标主机 IP |
等于 |
目标主机的 IP 地址 |
提供尝试访问特定主机的日志。 |
|
协议 |
等于 |
一个协议 |
提供通过特定协议,例如 HTTPS,试图访问 Internet 的日志。 |
|
URL |
等于 |
一个 URL |
提供试图访问特定 URL 的日志。 |
|
URL |
包含 |
一个 URL |
提供试图访问包含特定字符串的 URL 的日志,例如包含 gambling。 |
|
| 8. |
创建表达式之后,单击添加到列表,将其添加到查询列表,然后单击启动查询开始查询。必须单击启动查询,才能保存所做的更改。 |
控制安全的 Internet 访问演练过程 5:创建一份 Internet 访问报告
可以创建报告,用于总结通过 ISA Server 进行的 Internet 访问。既可以创建只运行一次的报告,也可以创建按照指定周期运行的报告。
请遵循这个过程,创建一个仅运行一次的报告。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中,选择报告选项卡。 |
| 3. |
在任务选项卡中选择生成一份新报告,启动“新建报告向导”。 |
| 4. |
在欢迎页面,为报告提供一个名称,例如某年某月某日的 Internet 访问报告。 |
| 5. |
在报告内容页面上,选择 Web 使用(确保其他类型未被选中),单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
| 6. |
在报告周期页面上,使用开始日期和结束日期字段,设置报告将要覆盖的时间。 |
| 7. |
在报告发布页面上,可以选择发布报告到目录并提供保存报告的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
| 8. |
在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
| 9. |
在“摘要”页面上检查信息,然后单击完成。报告将被显示在报告选项卡的“监视”详细信息窗格中。 |
请按照以下步骤创建重复报告。
| 1. |
在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
| 2. |
在“监视”详细信息窗格中选择报告选项卡。 |
| 3. |
在任务选项卡上选择创建和配置报告作业,打开报告作业属性对话框。 |
| 4. |
单击添加,启动“新建报告作业向导” |
| 5. |
在欢迎页面上,为报告提供一个名称,比如:每周 Internet 访问报告。 |
| 6. |
在报告内容页面上,选择 Web 使用(确保其他类型未被选中),然后单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
| 7. |
在报告作业计划页面上,为报告选择一个频率。日报告将覆盖一天的活动,周报告将覆盖一周的活动,月报告将覆盖一月的活动。注意,如果选择在月底生成月报告,在某些特定的月份报告可能不会被生成。例如,除非在润年,否则在29日生成的报告在二月份不会被生成。为了覆盖全部日历月份,请在月度的第一天生成报告。由于报告在 01:00 生成,所以将会包括整个上一月。 |
| 8. |
在报告发布页面上,可以选择发布报告到目录并提供报告存放的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
| 9. |
在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
| 10. |
在“摘要”页面上检查信息,然后单击完成。报告生成之后,将会显示在报告选项卡的“监视”详细信息窗格中。 |
作者:Microsoft Corp.
责任编辑:风间子
相关信息:
