首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 使用 ISA Server 2004 控制安全的 Internet 访问
现在时间是: 2019-02-19 19:37
使用 ISA Server 2004 控制安全的 Internet 访问

(2005-02-21 11:36)
通过内容类型控制访问

在这个情境中,需要保护有限的带宽,使其用于工作,因此需要阻止对占用大量带宽的音频和视频文件的访问。针对该情境,存在两种可能的解决方案。

  • 创建一个允许规则,允许所有用户没有限制地访问 Internet;然后创建一个拒绝规则,拒绝所有用户访问特定的内容类型。确保拒绝规则排在允许规则之前。
  • 创建一个允许规则,允许所有用户访问 Internet,但只能访问指定的内容类型。

这里介绍第二个方法,因为它仅需要一个访问规则。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表所示的属性。

重要
不能在创建规则的时候设置内容类型。必须在规则属性对话框中设置这些属性。使用“新建访问规则向导”创建规则之后,找到“防火墙策略”详细信息窗格,双击打开它的属性对框框。选择“内容类型”选项卡,进行必要的修改。

选项卡 属性 设置

常规

名称

音频和视频除外的内部网络 Internet 访问允许规则

常规

描述

允许从内部网络访问除音频和视频之外的所有 Internet 内容

常规

启用

选中

操作

允许/拒绝

允许

操作

重定向 HTTP 请求到本页面

可选项,可以选中该选项,并提供一个网页地址

操作

记录匹配该规则的请求

如果希望 ISA Server 记录满足规则的请求,就选中可选项

协议

应用于

所选协议:

HTTP

HTTPS

FTP

应用于来自这些源的流量

内部

例外

应用于发送到这些目标的流量

外部

例外

用户

所有用户

用户

例外

计划

计划

总是

内容类型

应用于:

所有内容类型

所选内容类型

所选内容类型

选中除音频和视频之外的所有内容类型

 
通过计划控制访问

在这个情境中,您希望在半夜的时候,非核心人员(比如:安全和维护人员)无法通过没有锁定的计算机访问 Internet。请遵循以下步骤,为该情境创建一个解决方案。

步骤 1:创建一个计划

创建一个计划,代表仅有得到授权的人员在工作地点的时间。例如,可能是每个工作日的 07:00 到 21:00。

步骤 2:创建一个访问规则

创建一个访问规则,允许所有用户访问 Internet,但时间仅限于新创建的计划所包含的时间。

控制安全的 Internet 访问演练过程 4:查看 ISA Server 日志中的 Internet 访问信息

如果选中记录匹配该规则的请求(在访问规则属性的操作页面),ISA Server 将会记录匹配特定规则的请求。

想要察看日志中的信息,请执行以下步骤:
1. 在“Microsoft ISA Server 管理”控制台树中,选择监视
2. 在“监视”详细信息窗格中,选择日志记录选项卡。
3. 创建一个筛选器,仅记录对 Internet 的访问尝试。在任务选项卡的任务窗格中单击编辑筛选器属性,打开编辑筛选器对话框。筛选器拥有三个默认的条件,指定日志时间为活动,记录来自防火墙和 Web 代理的信息,不记录连接状态。用户可以编辑这些条件,并添加额外的条件,从而限制查询所检索的信息。
4. 例如,选择日志时间。从条件下拉菜单选择最近 24 小时,然后单击更新

注意
对日志筛选器表达式的更改,以及新的表达式不会保存,直到您单击启动查询(位于编辑筛选器对话框)。

5. 选择日志记录类型。从下拉菜单选择 Web 代理筛选器,然后单击更新
6. 单击启动查询启动查询命令也可以从任务选项卡的任务窗格中调用。完成的修改可以对日志的信息进行一定程度的限制。您还可以添加额外的筛选器表达式,进一步限制信息,请按照以下步骤执行。
7. 任务选项卡的任务窗格,单击编辑筛选器属性,打开编辑筛选器对话框。要添加其他表达式,请从筛选依据下拉菜单选择一个项目,然后提供条件。下表给出了一些例子。
筛选依据 条件 效果

客户端 IP

等于

一台客户端计算机的 IP 地址

提供特定客户端计算机试图访问 Internet 的日志。

客户端用户名

等于

用户名

提供特定用户试图访问 Internet 的日志。

目标主机名

等于

目标主机名

提供尝试访问特定主机的日志。

目标主机 IP

等于

目标主机的 IP 地址

提供尝试访问特定主机的日志。

协议

等于

一个协议

提供通过特定协议,例如 HTTPS,试图访问 Internet 的日志。

URL

等于

一个 URL

提供试图访问特定 URL 的日志。

URL

包含

一个 URL

提供试图访问包含特定字符串的 URL 的日志,例如包含 gambling。

 
8. 创建表达式之后,单击添加到列表,将其添加到查询列表,然后单击启动查询开始查询。必须单击启动查询,才能保存所做的更改。

控制安全的 Internet 访问演练过程 5:创建一份 Internet 访问报告

可以创建报告,用于总结通过 ISA Server 进行的 Internet 访问。既可以创建只运行一次的报告,也可以创建按照指定周期运行的报告。

请遵循这个过程,创建一个仅运行一次的报告。
1. 在“Microsoft ISA Server 管理”控制台树中,选择监视。
2. 在“监视”详细信息窗格中,选择报告选项卡。
3. 任务选项卡中选择生成一份新报告,启动“新建报告向导”。
4. 欢迎页面,为报告提供一个名称,例如某年某月某日的 Internet 访问报告
5. 报告内容页面上,选择 Web 使用(确保其他类型未被选中),单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。
6. 报告周期页面上,使用开始日期结束日期字段,设置报告将要覆盖的时间。
7. 报告发布页面上,可以选择发布报告到目录并提供保存报告的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步
8. 发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步
9. 在“摘要”页面上检查信息,然后单击完成。报告将被显示在报告选项卡的“监视”详细信息窗格中。

请按照以下步骤创建重复报告。
1. 在“Microsoft ISA Server 管理”控制台树中,选择监视。
2. 在“监视”详细信息窗格中选择报告选项卡。
3. 任务选项卡上选择创建和配置报告作业,打开报告作业属性对话框。
4. 单击添加,启动“新建报告作业向导”
5. 欢迎页面上,为报告提供一个名称,比如:每周 Internet 访问报告
6. 报告内容页面上,选择 Web 使用(确保其他类型未被选中),然后单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。
7. 报告作业计划页面上,为报告选择一个频率。日报告将覆盖一天的活动,周报告将覆盖一周的活动,月报告将覆盖一月的活动。注意,如果选择在月底生成月报告,在某些特定的月份报告可能不会被生成。例如,除非在润年,否则在29日生成的报告在二月份不会被生成。为了覆盖全部日历月份,请在月度的第一天生成报告。由于报告在 01:00 生成,所以将会包括整个上一月。
8. 报告发布页面上,可以选择发布报告到目录并提供报告存放的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步
9. 发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步
10. 在“摘要”页面上检查信息,然后单击完成。报告生成之后,将会显示在报告选项卡的“监视”详细信息窗格中。



作者:Microsoft Corp.
责任编辑:风间子

<<上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页>>
上一篇:部署防火墙策略的十六条守则 v2.1
下一篇:理解并部署ISA 2004作为具有RPC状态识别过滤器的应用层防火墙
相关信息:

How to :通过ISA防火墙允许FXP
How to : 使用IP地址来禁止内部用户上网
[重要公告]ISA Server 2004 SP3正式发布!
比比谁的ISA Server运行时间长 v2.0 - 新记录诞生!
[推荐]ISA Server 2004的故障恢复的第二种方法

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..