54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

使用ISA控制安全的I

时间:2010-10-28 21:31来源:编辑部 编辑:Liy

  通过内容类型控制访问
  在这个情境中,需要保护有限的带宽,使其用于工作,因此需要阻止对占用大量带宽的音频和视频文件的访问。针对该情境,存在两种可能的解决方案。
  
  创建一个允许规则,允许所有用户没有限制地访问 Internet;然后创建一个拒绝规则,拒绝所有用户访问特定的内容类型。确保拒绝规则排在允许规则之前。
  创建一个允许规则,允许所有用户访问 Internet,但只能访问指定的内容类型。
  这里介绍第二个方法,因为它仅需要一个访问规则。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表所示的属性。
  
  重要
  不能在创建规则的时候设置内容类型。必须在规则属性对话框中设置这些属性。使用“新建访问规则向导”创建规则之后,找到“防火墙策略”详细信息窗格,双击打开它的属性对框框。选择“内容类型”选项卡,进行必要的修改。
  
 

  通过计划控制访问
  在这个情境中,您希望在半夜的时候,非核心人员(比如:安全和维护人员)无法通过没有锁定的计算机访问 Internet。请遵循以下步骤,为该情境创建一个解决方案。
  
  步骤 1:创建一个计划
  
  创建一个计划,代表仅有得到授权的人员在工作地点的时间。例如,可能是每个工作日的 07:00 到 21:00。
  
  步骤 2:创建一个访问规则
  
  创建一个访问规则,允许所有用户访问 Internet,但时间仅限于新创建的计划所包含的时间。
  
  控制安全的 Internet 访问演练过程 4:查看 ISA Server 日志中的 Internet 访问信息
  如果选中记录匹配该规则的请求(在访问规则属性的操作页面),ISA Server 将会记录匹配特定规则的请求。
  
  想要察看日志中的信息,请执行以下步骤: 1. 在“Microsoft ISA Server 管理”控制台树中,选择监视。
  2. 在“监视”详细信息窗格中,选择日志记录选项卡。
  3. 创建一个筛选器,仅记录对 Internet 的访问尝试。在任务选项卡的任务窗格中单击编辑筛选器属性,打开编辑筛选器对话框。筛选器拥有三个默认的条件,指定日志时间为活动,记录来自防火墙和 Web 代理的信息,不记录连接状态。用户可以编辑这些条件,并添加额外的条件,从而限制查询所检索的信息。
  4. 例如,选择日志时间。从条件下拉菜单选择最近 24 小时,然后单击更新。
  注意
  对日志筛选器表达式的更改,以及新的表达式不会保存,直到您单击启动查询(位于编辑筛选器对话框)。
  
  5. 选择日志记录类型。从值下拉菜单选择 Web 代理筛选器,然后单击更新。
  6. 单击启动查询。启动查询命令也可以从任务选项卡的任务窗格中调用。完成的修改可以对日志的信息进行一定程度的限制。您还可以添加额外的筛选器表达式,进一步限制信息,请按照以下步骤执行。
  7. 在任务选项卡的任务窗格,单击编辑筛选器属性,打开编辑筛选器对话框。要添加其他表达式,请从筛选依据下拉菜单选择一个项目,然后提供条件和值。下表给出了一些例子。
  

  8. 创建表达式之后,单击添加到列表,将其添加到查询列表,然后单击启动查询开始查询。必须单击启动查询,才能保存所做的更改。
  
  控制安全的 Internet 访问演练过程 5:创建一份 Internet 访问报告
  可以创建报告,用于总结通过 ISA Server 进行的 Internet 访问。既可以创建只运行一次的报告,也可以创建按照指定周期运行的报告。
  
  请遵循这个过程,创建一个仅运行一次的报告。 1. 在“Microsoft ISA Server 管理”控制台树中,选择监视。
  2. 在“监视”详细信息窗格中,选择报告选项卡。
  3. 在任务选项卡中选择生成一份新报告,启动“新建报告向导”。
  4. 在欢迎页面,为报告提供一个名称,例如某年某月某日的 Internet 访问报告。
  5. 在报告内容页面上,选择 Web 使用(确保其他类型未被选中),单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。
  6. 在报告周期页面上,使用开始日期和结束日期字段,设置报告将要覆盖的时间。
  7. 在报告发布页面上,可以选择发布报告到目录并提供保存报告的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。
  8. 在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。
  9. 在“摘要”页面上检查信息,然后单击完成。报告将被显示在报告选项卡的“监视”详细信息窗格中。
  
  请按照以下步骤创建重复报告。 1. 在“Microsoft ISA Server 管理”控制台树中,选择监视。
  2. 在“监视”详细信息窗格中选择报告选项卡。
  3. 在任务选项卡上选择创建和配置报告作业,打开报告作业属性对话框。
  4. 单击添加,启动“新建报告作业向导”
  5. 在欢迎页面上,为报告提供一个名称,比如:每周 Internet 访问报告。
  6. 在报告内容页面上,选择 Web 使用(确保其他类型未被选中),然后单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。
  7. 在报告作业计划页面上,为报告选择一个频率。日报告将覆盖一天的活动,周报告将覆盖一周的活动,月报告将覆盖一月的活动。注意,如果选择在月底生成月报告,在某些特定的月份报告可能不会被生成。例如,除非在润年,否则在29日生成的报告在二月份不会被生成。为了覆盖全部日历月份,请在月度的第一天生成报告。由于报告在 01:00 生成,所以将会包括整个上一月。
  8. 在报告发布页面上,可以选择发布报告到目录并提供报告存放的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。
  9. 在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。
  10. 在“摘要”页面上检查信息,然后单击完成。报告生成之后,将会显示在报告选项卡的“监视”详细信息窗格中。
  
  附录 A:创建规则元素
  请遵循此过程创建一个规则元素。 1. 展开“Microsoft ISA Server 管理”
  2. 展开 ISA Server 计算机节点。
  3. 选择防火墙策略,然后在任务窗格选择工具箱选项卡。
  4. 通过单击元素的标题选择规则元素类型。
  5. 在元素列表的最顶端,单击新建。如果存在多个规则元素选项,则会显示一个下拉列表,可以从中选择想要创建的元素。
  6. 通过向导或对话框提供必要的信息。完成向导,或者在对话框中单击确定之后,将创建新的规则元素。
  7. 在详细信息窗格中单击应用,应用所作的更改。您也可以在创建访问规则之后单击 应用。也就是说,在完成所有更改之后应用更改,而不是每完成一项更改就应用一次。需要花费一些时间应用更改。
  
  附录 B:使用“新建访问规则向导”
  该过程从整体上介绍“新建访问规则向导”。 1. 在“Microsoft ISA Server 管理”控制台树中,选择防火墙策略。
  2. 在任务选项卡的任务窗格,选择创建新的访问规则,启动“新建访问规则向导”。
  3. 在向导的欢迎页面上,为访问规则输入一个名称。请使用描述性的名称,例如员工在工作时间访问 Internet,然后单击下一步。
  4. 在规则操作页面上,如果想要允许规则,请选择允许,或者,如果想要拒绝规则,请选择拒绝。然后单击下一步。
  5. 在协议页面上,本规则应用于默认被设置为所有出站协议。也可以选择所选协议,并使用添加按钮从添加协议对话框添加指定的 Web 协议,例如 HTTP、HTTPS 和 FTP。完成选择之后,单击下一步。
  6. 在访问规则源页面上,单击添加,打开添加网络实体对话框,单击想要为其创建访问的类别,指定特定的对象,单击添加(重复添加额外的网络对象),然后单击关闭。在访问规则源页面上,单击下一步。
  7. 在访问规则目标页面上,单击添加,打开添加网络实体对框框,单击网络,选择“外部”网络(代表 Internet),单击添加,然后单击关闭。在访问规则目标页面上,单击下一步。
  8. 在用户集页面上,如果想要将规则应用于所有用户,可以保留用户集所有用户,然后继续向导的下一个页面。如果想将规则应用于特定用户,请选择所有用户并单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。完成对用户集的选择之后,单击下一步。
  9. 检查摘要页面上的信息,然后单击完成。
  10. 在“防火墙策略”详细信息窗格中,单击应用,应用新的访问规则。应用更改可能要花费一些时间。对访问规则排序,使其与您的访问策略相匹配。如果对顺序进行了改动,需要单击应用来应用更改。
  
  附录 C:配置 HTTP 策略
  有些属性无法在“新建访问规则向导”中设置。访问规则创建之后,可以在“防火墙策略”详细信息窗格中通过双击来查看和编辑所有属性。“HTTP 策略”就是其中的一个属性,用于为匹配特定访问规则的请求配置 HTTP 设置。
  
  ISA Server 是一种应用层的防火墙,可以对 HTTP 流量应用“应用程序筛选器”。ISA Server 可以检查 HTTP 请求,HTTP 应用筛选器的配置可以决定是否阻止采用 HTTP 进行传输的应用程序。HTTP 应用筛选器为 HTTP 请求提供精确的控制。可以通过 HTTP 策略来

[责任编辑:Lavy]

------分隔线----------------------------