首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 理解ISA 2004访问规则的处理过程 v1.1
现在时间是: 2019-02-19 18:33
理解ISA 2004访问规则的处理过程 v1.1

(2005-02-28 16:18)
来源:ISAServer.ORG

URL集

当我们在策略元素的到(目的网络)中指定URL集,然后访问规则的协议中包含非Web协议(非HTTP、HTTPS和封装的FTP的协议),ISA会怎么样处理呢?当ISA处理到(目的网络)包含有URL集的规则时,规则到(目的网络)中的URL集只对Web协议(HTTP、HTTPS和封装的FTP)有效,但是,对于HTTPS传输,URL集只有在没有指定路径时才进行匹配 。如果客户使用其他协议进行访问,那么ISA Server会忽略规则中的URL集元素。

为了进行验证,我们修改防火墙策略,修改后的防火墙策略如下表所示:

序号

协议

计划时间

用户集

内容类型

动作

1

FTP
HTTP

内部

Always

URLs

所有用户

全部

允许

2

FTP
HTTP

内部

Always

IPs

所有用户

全部

允许

Last

All

All

Always

All

All Users

All

Deny

当我们使用FTP(非封装的FTP)访问www.cevi.be和www.pouseele.be时,你可以看到客户是被规则2允许的,这意味这ISA不能匹配规则1。 从另一方面来说,当ISA为非Web协议的访问忽略了访问规则中的URL集而在访问规则的到(目的网络)中没有指定其他值时,那么ISA将不能匹配这条规则,这条规则就永远不会执行,而不管它是允许还是拒绝。如果我们在规则1的目的网络中添加FQDN后再进行策略,你可以发现到达www.cevi.be的FTP访问将被规则1允许,而到达www.pouseele.be的Ftp访问将被规则2允许。

 

 

4.2.用户集

当你建立防火墙策略时,你可以将它们应用到指定的客户IP地址或者用户集。当你指定用户集时,此用户必须进行验证,出示它的验证信息,然后ISA对规则进行匹配。用户集可以包含任何认证方式的一个或者多个用户,例如,一个用户集可以包含Windows用户、RADIUS用户和SecurID用户。ISA Server预定义了以下用户集:

  • 所有经过认证的用户:表示为所有通过验证的用户,注意SNat客户端将不会进行认证,除非它们是VPN客户 (VPN客户用于登陆VPN所用的VPN用户可用于身份认证);

  • 所有用户:表示为所有用户,不管是否通过了身份验证。

  • 系统和网络服务:表示为ISA计算机上的本地系统和网络服务账户,被ISA Server用于部分系统策略。

客户端如何进行认证取决于客户端的类型:

  • 防火墙客户:在会话建立后,ISA Server要求客户进行身份验证,所以当防火墙客户后来再进行访问时,ISA不会再询问客户端的身份验证信息,因为会话已经被验证过了。记住在防火墙客户端软件和ISA Server进行连接时就已经验证了用户

  • Web代理客户:在允许Web代理客户访问后,你可以配置Web代理客户的身份验证。如果你在Web代理侦听器的属性中选择了要求所有用户进行认证,ISA Server将总是在检查防火墙策略之前要求用户提供身份验证信息;否则ISA Server只会在访问规则要求时才要求客户进行身份验证。

此外,你应该知道关于用户身份验证的两个注意事项:

  • 如果规则是应用到所有用户,那么ISA Server将不会要求用户进行身份验证。但是,防火墙客户总是会发送自己的身份验证信息给ISA Server,你可以在ISA管理控制台的会话标签中看到用户名后面有个“?”,这表明用户提供了身份验证信息,但是ISA Server并没有进行验证。

  • 如果你配置访问规则要求客户进行身份验证,而客户由于某种原因不能提交身份验证信息,那么客户的请求将被拒绝,就算规则是允许的。同样的原理,在要求身份验证的规则配置,ISA Server会拒绝非VPN客户的SNat客户。这是允许规则却拒绝连接请求的第一种情况。

我们同样通过配置防火墙策略来进行验证,建立的防火墙策略如下表所示:

序号

协议

计划时间

用户集

内容类型

动作

1

FTP
HTTP

内部

Always

外部

Tom

All

允许

2

FTP
HTTP

内部

Always

外部

所有经过认证的用户

All

允许

Last

All

All

Always

All

All Users

All

Deny

对于Web代理客户和防火墙客户的访问请求,结果如下:

  • 通过规则1,用户Tom允许使用HTTP和FTP访问任何站点;

  • 通过规则2,其他经过认证的用户可以使用HTTP和FTP访问任何站点;
    在ISA Server进行策略的评估时,虽然其他用户也提交了身份验证信息,但是不匹配规则1的用户集,所以ISA Server会跳过规则1检查下一条规则,然后发现完全匹配规则2,就按照规则2中定义的动作来允许客户的访问。

对于非VPN客户的SNat客户,结果如下所示:

  • 在规则1就拒绝了匿名用户的HTTP和FTP访问;
    当ISA Server对规则1进行评估时,会发现客户发起的连接请求匹配规则1的协议从(源网络)计划到(目的网络)元素,所以会要求客户提交身份信息进行验证,但是SNat客户不能提交身份验证信息,当ISA Server不能进行验证时,ISA会立即丢弃客户发起的请求,也不会再进行下一条规则的评估。

最后,希望你能记住本节中非常重要的内容:当客户不能提交身份验证信息时,ISA Server会在第一条要求它提交身份验证信息的规则(匹配规则的协议从(源网络)计划到(目的网络)元素)时拒绝它的请求



作者:Stefaan Pouseele
责任编辑:风间子

<<上一页 [1] [2] [3] [4] [5] [6] 下一页>>
上一篇:ISA 规则详解
下一篇:ISA Server 2004 系统策略
相关信息:

为VPN客户启用DHCP中继
ISA 规则详解
配置ISA防火墙作为进入的SMTP中继过滤
ISA Server 2004安全性最佳操作
ISA Server 2004中的无人值守安装

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..