首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 理解ISA 2004访问规则的处理过程 v1.1
现在时间是: 2019-02-18 15:53
理解ISA 2004访问规则的处理过程 v1.1

(2005-02-28 16:18)
来源:ISAServer.ORG

4.3.内容类型

当你建立访问规则时,你可以限制访问规则应用到的内容类型。内容类型通过配置MIME和文件扩展名来指定,它只能应用到HTTP和封装的FTP协议,对于其他的协议,包含HTTPS,ISA Server会总是忽略规则中的内容类型元素。

为了进行验证,我们建立以下的防火墙策略:

序号

协议

计划

用户集

内容类型

动作

1

FTP
HTTP

内部

Always

外部

所有用户

HTML

允许

2

FTP
HTTP

内部

Always

外部

所有用户

所有

允许

Last

All

All

Always

All

All Users

所有

Deny

注意:我们使用预定义的内容类型组HTML,同样,我们使用CMD下的FTP(非封装的FTP)和IE浏览器访问来进行测试。

当我们使用HTTP来访问一个Web站点,你可以看到HTML对象文件是通过规则1允许,而其他对象文件是通过规则2允许的。ISA Server在规则1中没有找到非HTML对象文件的匹配,所以跳过规则1而检查下面的规则,发现规则2匹配,然后执行规则2定义的动作。

对于FTP访问,ISA忽略规则1中定义的内容类型,但是由于规则1的内容类型不是定义的所有类型,所以ISA无法匹配规则1,将跳过规则1而对下面的规则进行评估。规则2中允许所有类型,匹配客户的FTP访问,所以ISA会按照规则2定义的动作来允许客户的访问。这表明,当规则的内容类型不是所有类型时,对于非HTTP和封装的FTP的协议,这条规则将永远不会匹配执行,而不管这条规则是允许还是拒绝

 

 

5.过滤标准

除了在前一部分中我们讨论的匹配标准外,某条允许的规则还可以绑定一些过滤标准。注意只能为允许规则指定过滤标准,不能为拒绝规则指定。ISA Server支持HTTPFTPRPC协议的过滤标准,不过一条允许规则可以使用它们中的一个或多个协议,所以你也可以在一条规则中指定不同的过滤标准。你可以通过右键点击的规则来访问过滤标准,如下图所示:

配置HTTP:这个选项允许你配置HTTP安全过滤以通过ISA Server高级的应用层状态过滤发挥ISA ServerHTTP连接访问控制的能力。

配置FTP:这个选项允许你开启或者关闭FTP上传的功能。

配置RPC协议:这个选项允许你开启或者关闭强制严格符合RPC,这个功能要求Outlook MAPI客户使用加密的通道进行连接。

讨论过滤标准这些内容不在本文的讨论范围的之内,我们的本意是描述它们与访问策略处理时的交互。一个非常重要的概念是过滤标准的配置是基于某个协议的,只有在客户的连接请求与某个允许规则完全匹配的情况下才检查这些过滤标准。因此,如果ISA Server认为客户的某个连接请求匹配过滤标准,则客户的连接请求会被这个允许规则所禁止,因为ISA Server不会再将这个请求与其它规则进行匹配。这是允许规则却拒绝连接请求的第二种情况。

为了确认这种行为,我们来创建下列简单的防火墙策略:

序号

协议

计划

用户集

内容类型

动作

1

FTP
HTTP

内部

Always

外部

所有用户

所有

允许

2

FTP
HTTP

内部

Always

外部

所有用户

所有

允许

Last

All

All

Always

All

All Users

All

Deny

然后,我们只为规则1配置如下HTTP过滤标准:

最后,确认你通过在内置的日志查看器中的显示列中添加“过滤信息”字段启用了HTTP安全过滤日志,这个字段包含了Web过滤器记录的信息。比如,当HTTP安全过滤器拒绝了某个请求,拒绝的原因将被记录。

现在在浏览器里面打开http://www.isacn.org,你将发现后缀名为gif,jpg,png的图片都被禁止显示了。为了确认,检查ISA的日志,你会发现大量规则1允许的请求,但也有大量被规则1阻拦的请求。如果你进一步查看日志,你会发现拒绝请求的列过滤信息中有如下内容:Blocked by the HTTP Security filter: URL contains an extension which is disallowed因此,那些请求的确是被允许规则1所阻拦的。



作者:Stefaan Pouseele
责任编辑:风间子

<<上一页 [1] [2] [3] [4] [5] [6] 下一页>>
上一篇:ISA 规则详解
下一篇:ISA Server 2004 系统策略
相关信息:

访问规则和服务发布规则的区别 v1.1
如何在ISA Server 2004中禁止MSN
How to :如何让linux客户计算机通过ISA Server的集成身份验证
将OWA用户重定向到正确的路径和协议(第二部分)
浅谈ISA Server 2004的身份认证

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..