第4章用访问策略配置Internet安全

1、第4章 用访问策略配置Internet安全4.1 用ISA Server创建访问策略814.2 创建自定义的策略单元864.3 配置协议规则944.4 配置站点和内容规则1034.5 配置IP数据包筛选器1064.6 配置ISA Server以检测外部攻击和入侵1064.7 本章复习106本章概要创建Internet安全策略需要考虑特定的网络配置和安全需要。安全需要可能会根据用户、计算机、源IP地址、目标IP地址、时期、协议、内容类型以及所要求的Web站点的不同而有所差别。要创建适合自己网络的访问策略，首先必须要了解ISA Server是如何处理客户请求的。然后，分别创建满足特定要求的策略单元

2、，例如时间表和客户集等。接着，才能够开始配置访问策略的3种规则：协议规则、站点和内容规则，以及IP数据包筛选器。最后，为了防止有害的外部入侵破坏网络，可以选择启用防火墙的入侵检测功能。 先决条件为了学习本章，您必须：l 达到“前言”所列的要求。Server1配置为域控制器，IP地址为；Server2配置为该域中的一个成员，IP地址为。Server1必须建立到Internet的拨号连接。l 完成本书第3章中所有的练习。 4.1 用ISA Server创建访问策略ISA Server的一个主要功能就是将局域网连接到Internet中，并保护局域网免受外部

3、信源的恶性内容的破坏。要定义适合自己网络的安全链接，可以用ISA Server来创建允许内部用户访问特定的Internet主机的访问策略。用户访问Internet的方式则由访问策略和路由规则一起决定。 本节学习目标l 描述ISA Server如何处理传出请求 l 说明ISA Server处理来自防火墙的通过身份验证的用户和Web代理客户的请求所需要的 条件。l 选择ISA Server的系统安全级别 估计学习时间：30 分钟 4.1.1 控制传出请求 ISA Server处理一个传出请求时，首先检测路由规则、站点和内容规则以及协议规则，以确定该访问是否得到规则许可。只有协议规则以及站点和内容规

4、则都许可，同时没有一个规则明确地拒绝该请求时，它才能允许传出。ISA Server安装成防火墙模式或集成模式时，会激活一个预定义的站点和内容规则，允许对所有站点以及所有内容进行访问。但是，协议规则没有设置为默认状态的。 协议规则以及站点和内容规则可用于源客户地址集(IP地址范围)或者是请求某一对象的特定的用户或组。根据客户端类型安全网络地址转换客户端、防火墙客户端、以及Web代理客户端)和ISA Server配置的不同，ISA Server处理请求的方法也不相同。 对于一个传出请求，规则和数据包筛选器按如下次序处理： 1.协议规则 2.站点和内容规则 3.IP数据包筛选器 4.路由规则或防火墙

5、链式配置 图4.1所示为传出Web请求的处理流程图解。 ISA Server在检测其他规则或数据包筛选器之前，先检测协议规则。ISA Server允许请求的条件是：有一个协议规则明确地允许该请求，同时没有其他的协议规则明确地拒绝该请求。 检测完协议规则之后，ISA Server开始检测站点和内容规则。ISA Server允许该请求的条件是：有一个站点和内容规则明确地允许该请求，同时没有其他的站点和内容规则明确地拒绝该请求。检测完站点和内容规则之后，ISA Server通过检测判断是否是特定配置了IP数据包筛选器来阻塞该请求。需要说明的是，IP数据包筛选器和协议规则以及站点和内容规则不同，它并不

6、一定要特定配置来允许客户机的请求。 要点 就Internet访问，ISA Server计算机和客户端的行为有很大的区别。来自ISA Server计算机的请求，IP数据包筛选器允许其有完全的Internet访问权限。和ISA Server客户端不同的是，ISA Server计算机一旦配置了允许类型的协议规则以及站点和内容规则，就不再具备完全的Internet访问权限。不过， IP数据包筛选器是静态的，规则是动态的，所以一般情况下不应经常使用ISA Server计算机作Internet访问。因此，对于位于ISA Server之后的客户端，本书将重点介绍如何配置安全的Internet访问(关于配置I

7、P数据包筛选器详见本章4.5节)。图 4.1 处理访问请求 最后，ISA Server通过检测路由规则(如果是Web代理客户向对象提出请求)或者Firewall Chaining(防火墙链式)配置(如果是安全网络地址转换客户或防火墙客户向对象提出请求)，来决定如何为请求提供服务。例如，假设您是以集成模式或防火墙模式安装了ISA Server。您的计算机上有两个网卡，其中一个网卡与Internet相连，另一个与局域网相连。您公司允许所有的用户访问所有的站点。在这种情况下，您的策略应该包含以下访问策略规则： l 协议规则 允许所有的内部客户能在任意时候使用任一种协议。 l 站点和内容规则 允许每个

8、人能在任意时候访问任意站点上的内容。需要说明的是，该规则允许内部客户对Internet的访问，但不允许外部客户访问局域网。 配置访问策略 ISA Server中配置的访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。对于独立的服务器应创建独立的访问策略。对于阵列服务器，可以创建阵列级的访问策略、企业级的访问策略，或者将这二者结合起来。 访问策略规则适用于所有的客户端类型：防火墙客户端、安全网络地址转换客户端和Web代理客户端。 4.1.2 规则和身份验证 通过配置协议规则以及站点和内容规则来准许或拒绝特定用户对指定协议、Internet站点、或者内容的访问。规则配置好

9、后并将其激活，每一个客户端请求都要先通过ISA Server的身份验证。然后，才能允许通过ISA Server的防火墙。对于安全网络地址转换客户端、防火墙客户端、以及Web代理客户端，ISA Server处理身份验证的方法也有区别。 注意 特定客户机规则和特定用户和组的策略规则不同，它是针对安全网络地址转换客户端、防火墙客户端、以及Web代理客户端而实施的。它是为客户端地址集配置的规则。客户端地址集根据IP地址范围而不是由计算机名来定义。所有的客户端类型都提供客户端机的IP地址，它们提供的信息对于成功地执行该规则很必要。 安全网络地址转换客户端与身份验证 安全网络地址转换客户端请

10、求包括所有非Web的Internet请求，且这些请求都来自于那些没有安装Firewall Client的客户端。例如，当做出邮件和新闻请求的客户端计算机的防火墙客户端软件没有激活时，这些请求就被当做安全网络地址转换会话处理。 安全网络地址转换客户端提出请求时，不需要向ISA Server提供用户名或计算机名等信息。因此，访问策略规则要求身份验证时，ISA Server会拒绝让安全网络地址转换客户端的请求通过。 例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许域用户(Domain Users)组的成员能够在任意时候访问所有的协议和所有的站点。当用户John以安全网络地址转换客

11、户端身份向ISA Server提出邮件请求时，尽管他是Domain Users组的一个成员，但他的请求还是会被拒绝。安全网络地址转换请求不能提供身份证明，而访问策略规则又要求身份验证。所以，所有的安全网络地址转换请求都会被无条件地拒绝。在这种访问策略下，John的非Web的Internet请求要得到准许，他必须在发出访问请求的计算机上安装防火墙客户端软件并激活它，同时他还必须是Domain Users的成员。 防火墙客户端与身份验证 防火墙客户端向ISA Server提出请求时，会提供用户名和计算机名等信息。因此，在Firewall Client会话中可以实施要求身份验证的访问

12、策略规则。而且，来自Firewall客户端的非Web请求也不会被无条件地拒绝。如安全网络地址转换客户端所遇到的那种情况。 例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许Domain Users组的用户在任意时候访问所有的协议和所有的站点。那么当(且仅当)John是该组的一个成员时，他的邮件请求才会被允许通过ISA Server的防火墙。同样，如果另有协议规则拒绝John的访问，那么他从Firewall客户端上所发的非Web请求将会被拒绝。 Web代理客户端与身份验证 Web代理客户端请求默认情况下设置为匿名请求。但是，在两种情况下Web代理客户端必须提供身

13、份标识。出现下述任一情况，Web代理客户端会话要执行为特定用户或组所配置的规则： l 默认ISA Server属性已经被修改，传出请求要求身份验证l 访问策略包含一个为特定用户或组所配置的允许类型规则(不论是协议规则还是站点和内容规则)任何为特定用户或组配置的允许类型规则都会提示Web代理客户端产生一个用户已经通过验证的会话。访问策略包含为特定用户或组定义的拒绝类型规则时，Web代理客户端会忽略该规则，除非另有允许类型的规则要求身份验证。 例如，假设您没有修改传出Web请求的属性，而且您的访问策略包含以下规则： l 允许访问所有协议的协议规则，不管什么时候什么请求 l 拒绝用户John访问任何

14、协议的协议规则 l 允许访问所有目的的站点和内容规则，不管什么时候什么请求 在这种情况下，John的Web请求就不会被拒绝，因为没有要求Web代理客户端提供用户标识的允许类型规则。但是，如果您给这个策略添加过允许类型的协议规则或者站点和内容规则，并且该规则允许域用户组的所有成员有完全的访问权限，那么用户John的所有Web请求都会被拒绝。 按如下步骤，要求所有的Web请求都提供身份验证： 1.在ISA Management管理控制台树上，右击现行阵列，然后单击Properties。 2.在Incoming Web Requests选项卡或Outgoing Web Requests选项卡中，选中

15、Ask Unauthenticated Users For Identification复选框。注意 重启Web代理服务器，否则该变化不会生效。4.1.3 ISA Server系统安全(系统强化) ISA Server包含有ISA Server Security Configuration向导。该向导能够为阵列中所有服务器配置全方位的系统安全设置。它允许选择以下任一种安全级别： l 专用 ISA Server作为完全专用的防火墙，没有其他的交互式应用程序时，适合用该设置。 l 限制服务 ISA Server作为防火墙和高速缓冲存储器集成服务器，适合用该设置。它可能由另外的防火墙来保护。 l 安

16、全 ISA Server 计算机上安装有其他的服务器，例如IIS服务器、数据库服务器、或者SMTP服务器时，适合用该设置。 在ISA Management中，选择Computers文件夹并启动ISA Server Security Configuration Wizard。在详细资料窗格中，右击想要配置的服务器的图标，并且从快捷菜单中选择Secure。这个过程如图4.2所示。 按如下步骤设置系统安全： 1.在ISA Management控制台树上，单击Computers。 2.在详细信息窗格中，右击现行计算机，然后单击Secure。 3.在ISA Server Security Configu

17、ration Wizard屏幕中，按照屏幕指示操作。 图 4.2 启动 ISA Server安全配置向导 4.1.4 Getting Started向导ISA Server包括一个Getting Started向导，它一步一步教您如何创建为局域网定制的访问策略，如图4.3所示。完成各步操作之后，就能配置通过ISA Server与Internet相连的安全的链接了。开始向导帮助您完成以下任务： l 配置企业策略设置(仅供阵列安装) l 创建企业级策略单元 (仅供阵列安装) l 创建企业级协议规则 (仅供阵列安装) l 创建企业级站点和内容规则(仅供阵列安装) l 创建阵列级策略单元 l 创建阵列

18、级协议规则 l 创建阵列级站点和内容规则 l 设置系统安全级别 l 配置数据包筛选功能 l 配置路由和链接 l 创建缓存策略 安装之后，您可在任何时候调用Getting Started向导。 按如下步骤启动开始向导： 1.在ISA Management中，从View菜单中选择Taskpad。 2.在控制台树上，选择Internet Security And Acceleration Server节点。 3.在详细信息窗格中，单击Getting Started Wizard图标。 4.按照详细信息窗格中的指示操作。 图 4.3 启动Getting Started向导 4.1.5 小结 ISA S

19、erver可以用来配置访问策略。访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。请求得到允许的条件是：协议规则以及站点和内容规则都允许该请求，同时没有一个规则明确地拒绝该请求。 安全网络地址转换客户端不提供用户标识。规则要求身份验证时，安全网络地址转换客户端请求会被无条件地拒绝。Firewall客户端提供用户标识，所以组成员身份以及用户权限等因素会影响传出访问。Web代理客户端发出内容请求时，身份验证信息不会传送给ISA Server，除非ISA Server要求身份验证，或者是存在要求身份验证的允许类型策略规则。 ISA Server包含有ISA Server Security

20、Configuration向导。为了加强系统的安全性，可以把向导应用到阵列中所有的服务器上，用来配置全方位的系统安全设置。最后，为了使安全和访问策略配置易于操作，Getting Started向导帮助您完成如何定义适合自己网络的访问策略。 4.2 创建自定义的策略单元ISA Server中所配置的访问策略能够让您判断在什么时候、从哪些源地址发出、到哪些目的、以及哪一种类型的通信可以被允许通过防火墙。在任何访问策略中，每一个特定的参数，例如内容类型、时间表、客户集、以及目的等都称为策略单元。这些策略单元就是构成策略规则的构造块。因为ISA Server允许您定义自己的策略单元，所以您可以自定义规

21、则参数来适应自己特定的网络需求。本节学习目标l 在ISA Server中创建和配置自定义的策略单元 估计学习时间：45 分钟 4.2.1 策略单元 策略单元是策略规则的参数或构造块。例如，某些时候拒绝一个客户集对某个Web内容的访问时，这个客户集、Web内容、以及这些特定的时间就是所谓的策略单元。ISA Server允许创建策略单元，且这些策略单元可以在定义的任何规则中使用。所创建的策略单元可以是企业级或阵列级，它们包括： l 时间表 l 带宽优先级 l 目的集 l 客户端地址集 l 协议定义 l 内容组 l 拨号项 阵列级和企业级策略单元 如果您使用的是ISA Server企

22、业版，而且需要定义一个适合整个企业的访问策略，那么就可以定义企业级的策略单元。创建企业级的规则之后，就可以使用这些企业级的策略单元了。 阵列级的策略和企业级的策略在一起使用时，也可以将阵列级的规则应用到企业级的策略单 元中。 对于独立的服务器，只能创建阵列级的策略单元。 4.2.2 配置时间表 创建规则时，可以将时间表应用到规则中，以确定规则什么时候生效。 ISA Server预先配置有以下两种时间表： l 周末，在星期六和星期天全天都允许访问 l 工作时间，从星期一到星期五的上午9：00到下午5：00时间段允许访问 ISA Server还允许自定义时间表策略单元，如图4.4所示。图 4.4

23、配置时间表策略单元以下规则可以规定时间表： l 站点和内容规则 l 协议规则 l 带宽规则 按如下步骤创建一个时间表： 1.在ISA Management控制台树上，右击Schedules，指向New，然后单击Schedule。 2.在Name字段，输入该时间表的名称。 3.(可选项) 在Description字段，输入该时间表的描述。 4.使用表格来设置时间表。 u 单击某一单元，选择一特定工作日的某一特定时间。 u 单击左列中的某一工作日，选择整个工作日。 u 单击顶端行中的某一时间，选择所有工作日的该时间。 5.单击Active单选按钮，使得规则在选定的时间内处于激活状态；或者单击Ina

24、ctive单选按钮，使得规则在选定时间内处在禁止状态。 在时间表格中，暗色的单元意味着这个规则在该天的该时间内是有效的(active)；白色的单元则意味着该规则是无效的(inactive)。 4.2.3 配置目的集 目的集就是计算机名称、IP地址、域名、或者IP范围。它们每一项都能包含路径。目的集包括一台或多台计算机，或者是特定计算机上的文件夹。规则能够应用到所有的目的集中，或者是除了指定目的集以外的所有计算机中，或者是某一个特定的目的集中。当定义一个目的集时，可以根据域名或者IP地址范围来指定一个给定的目的。也可以用通配符来指定选定域的所有主机名。例如，要指定域中的

25、所有计算机，可以将*.作为目的输入。需要说明的是，通配符 (*) 只能出现在域名的开头，并且在该域名中只能使用一次。图4.5所示为目的集定义的一个例子。同样，可以在目的集中指定一个特定的路径来允许或防止客户端访问该路径。路径也可以包含通配符。 指定目的时，可以使用以下格式。计算机名、路径、以及文件名等不区分大小写。下式将所有文件都包含在一个文件夹中：/Path/Folder_Name/*。在文件夹中选择某一特定文件：Folder_Name/Filename。规则能够应用到内部目的集或外部目的集。内部目的集就是局域网内部的计算机组，而外部目的集包括局域网以外的计算机。

26、以下规则可以用来规定目的集： l 站点和内容规则 l 带宽规则 l Web 发布规则 l 路由规则 对于站点和内容规则以及带宽规则而言，目的集通常包括那些不在内部局域网上的计算机。对于Web发布规则而言，目的集通常包括位于内部局域网上的计算机。对于路由规则而言，那些路由传出Web请求的规则，它们的目的集包括外部计算机(位于Internet上)，而那些路由传入Web请求的路由规则则包括内部计算机。 图 4.5 配置目的集策略单元 按如下步骤创建目的集： 1.在ISA Management控制台树上，右击Destination Sets，指向New，然后单击Set。 2.在Name字段，输入该目的

27、集的名称。 3.(可选项) 在Description字段，输入该目的集的描述。 4.单击Add，然后按如下步骤进行：单击Destination单选按钮，并且在单选按钮旁边的文本框中输入计算机名或完全匹配的域名。 5.(可选项) 单击IP addresses。然后，在From and To文本框中，输入适当的IP地址。 6.在Path中，输入指定计算机上的指定路径。 4.2.4 客户端地址集 客户端地址集包括一台或多台计算机。可以将规则应用到一个或多个客户端地址集中，或者是应用到除了指定客户端地址集以外的所有地址中。 以下的规则可以规定客户端地址集： l 站点和内容规则 l 协议规则 l 带宽规

28、则 l 服务器发布规则 l Web 发布规则 按如下步骤创建客户端地址集： 1.在ISA Management控制台树上右击Client Address Sets，指向New，然后单击Set。 2.在Name字段，为该集合输入一个名称。 3.(可选项) 在Description字段，输入该集合的描述。 4.单击Add。 5.在From文本框中，为集合中最小的IP地址输入一个IP地址。 6.在To文本框中，为集合中最大的IP地址输入一个IP地址。图4.6所示为一个客户端地址集定义的例子。 图 4.6 将单一计算机配置为客户端地址集4.2.5 客户端用户和组在Microsoft Windows 2

29、000中所定义的用户和组，到了ISA Server中就被当做客户端类型处理。创建规则时，可以指定该规则应用于内部客户端。客户端既可以由Windows 2000用户和组来指定，也可以由客户端地址集来指定。它们都是通过IP地址来定义客户端的。 配置应用于安全网络地址转换客户端的规则时，必须根据客户端地址集而不是根据用户和组来指定客户端。否则，规则将不能执行，而且安全网络地址转换客户端请求将被拒绝。配置应用于Firewall客户端的规则时，可以根据客户端地址集或者根据用户和组来指定客户端。Windows 2000用户和组是在Windows 2000 Computer Management控制台以及A

30、ctive Directory Users And Computers控制台中配置的。 4.2.6 配置协议定义 ISA Server包含有大量的预先配置的协议定义，创建协议规则或服务器发布规则时可以使用它们。服务器发布规则使用协议定义，这些定义的方向是入站的。应用程序筛选器也可能包含协议定义。安装ISA Server时就可以包括协议定义，也可在之后单独安装。还可以通过使用ISA Management创建自己的协议定义来进一步扩充协议定义集。 自定义的协议定义能够编辑或删除。与应用程序筛选器一起安装的协议定义可以删除，但不能修改。包含在ISA Server中的协议定义不能修改，也不能删除。当创

31、建一个协议定义时，必须要指定以下几项： l 端口号 这是一个数值在1与65525之间的端口号，用在初始的链接中。 l 低层协议 要么是TCP协议，要么是UDP协议。l 方向 可能是Send only、Receive only、Send receive、以及Receive send。 l 辅助连接 (可选项) 这是针对在初始链接之后的附加链接或者数据包所使用的端口号范围、协议、以及方向。可以配置一个或者多个辅助连接。 方向 创建协议定义时，可以配置通信流的方向。指定通信方向将决定数据包如何通信。对于TCP协议而言，这个方向决定了最初的通信方向。对于UDP协议而言，这个方向决定了通信的流程。例如，

32、可以配置一个协议规则，使得内部客户端在端口80上通过指定方向为“发送”，来开始一个TCP通信。与该客户端通信的服务器能够对客户端的请求作出反应，但却不能首先开始通信。 按如下步骤创建协议定义： 1.在ISA Management控制台树上，右击Protocol Definitions，指向New，然后单击Definition。 2.在New Protocol Definition向导中，输入该协议定义的名称，然后单击Next。 3.在Primary Connection Information页中，指定端口数，协议类型，以及主链接的方向，然后单击Next。 图4.7所示为Primary Con

33、nection Information页。 4.在Secondary Connections页中，指定该协议定义是否包含辅助连接。如果选择了配置一个辅助连接，就要指定端口范围，协议类型，以及辅助连接的方向等。 5.单击Next，然后单击Finish结束向导。 图 4.7 配置协议定义4.2.7 配置内容组 内容组指定多功能Internet函件扩展系统(MIME)类型和文件扩展名。创建站点和内容规则或者是带宽规则时，可以限定规则应用到哪些指定的内容组中。这样，在配置安全策略时可以更加详细而精确，不仅可以限制对特定目的的访问，而且还可限制特定的内容。 内容组只适用于HTTP和FTP通信。它们都是通

34、过Web代理服务来传递的。 客户端对FTP内容提出请求时，ISA Server就检测被请求对象的文件扩展名。ISA Server 通过判断规则是否适用于包含了被请求的文件扩展名的内容组，来决定是否处理该规则。 客户端对HTTP内容提出请求时，ISA Server将该请求发送到Web服务器。当Web服务器返回所要求的对象时，ISA Server就通过Web服务器所返回的报头信息来检测该对象的MIME类型或文件扩展名。ISA Server据此来确定规则是否适用于包含了被请求文件扩展名的内容组，以及如何处理该规则。 内容组不能应用到S-HTTP or HTTP内容中。 创建内容组时，建议指定内容的M

35、IME类型以及文件的扩展名。例如，内容组包含所有的Director文件时，选择以下文件扩展名以及MIME类型： l .dir l .dxr l .dcr l application/x-director ISA Server 预先配置有以下的内容组：应用程序、应用程序数据文件、音频、压缩文件、文档、HTML文档、图像、宏文档、文本文件、视频以及VRML(虚拟现实造型语言)。 按如下步骤创建内容组： 1.在ISA Management控制台树上，右击Content Groups，指向New，然后单击Content Group。 2.在Name字段中，为该内容组输入一个名称。 3.(可选项) 在D

36、escription字段，输入该内容组的描述。 4.在Available Types下拉列表框中，选择操作以下步骤之一： u 选择一个已经存在的内容类型，单击文件扩展名或MIME类型。 u 添加一个新的内容类型，输入新的文件扩展名或MIME类型。 5.单击Add。 提示 创建内容组时，要指定该内容的MIME类型和文件扩展名。图4.8所示为一个内容组定义的例子。 4.2.8 练习：创建策略单元 在这个练习中，您将创建3个策略单元(加班工作时间表、Web 站点目的和内容类型)。您以后所定义的访问策略规则将引用这3个策略单元。 在Server1计算机上完成所有的练习。 练习1：创建时间表 在这个练习

37、中，您将创建一个非工作时间的时间表，该时间表包括工作日的下午7：00到第二天上午7：00这个时间段以及周末全天。 图 4.8 配置内容组 要创建扩展的工作时间时间表 1.打开ISA Management控制台。 2.在控制台树上，依次找到Servers and Arrays、MyArray、Policy Elements。 3.展开Policy Elements，右击Schedules，指向New，然后单击Schedule。 出现New Schedule对话框。 4.在Name文本框中，输入Expanded Work Hours。 5.在Description文本框中，输入6 AM - 8 P

38、M Monday-Friday。6.单击Sunday，将其所在的行整行加亮，并且选择Inactive单选按钮。 出现一个白框状的矩形区域。 7.单击Saturday，将其所在的行整行加亮，并且选择Inactive单选按钮。8.加亮一个矩形区，覆盖从星期一到星期五的上午12：00到下午6：00的时间段，并且选择Inactive单选按钮。 9.加亮一个矩形区，覆盖从星期一到星期五的下午8：00到第二天上午6：00的时间段，并且选择Inactive单选按钮。 10.单击OK。 11.单击Schedules节点。 在详细信息窗格中出现扩展的非工作时间时间表。注意，在详细信息窗格中还有预先定义的周末时间

39、表以及工作时间时间表。 练习2： 创建目的集 在以下的练习中，您将创建一个包含特定Web站点的目的集。 创建目的集策略单元 1.在ISA Management控制台树上，依次找到Servers and Arrays、MyArray、Policy Elements。 2.展开Policy Elements，右击Destination Sets，指向New，然后单击Set。出现New Destination Set对话框。 3.在Name文本框中，输入Microsoft Online Seminars。4.在Description文本框中，输入Multimedia training at micr

40、。 5.单击Add。 出现Add/Edit Destination对话框。 6.检验Destination单选按钮是否选中，并且在Destination文本框中输入/seminar。 7.单击OK。 8.再次出现New Destination Set对话框。 9.单击OK。10.选择Destination Sets节点。 在ISA Management的详细资料窗格中出现Microsoft Online Seminars目的集。 4.2.9 小结 创建自定义的策略单元能够将策略规则应用到网络的某些特殊方面。策略单元类型包括时间表、带宽优先级、

41、目的集、客户端地址集、协议定义、内容组、以及拨号项。在ISA Management中配置这些策略单元类型，并且可在以后定义的任何策略规则、路由规则、发布规则、或者带宽规则中引用它们。 规则与ISA Server 预先定义的时间表(工作时间时间表和周末时间表)不匹配时，如果仍需要应用规则，那么可以自己创建时间表类型。目的集帮助指定IP地址、IP范围、DNS名称、或者文件路径等的组合。客户端地址集可以将客户机按IP地址分组。创建协议定义时，要指定协议的端口号、内部的传输协议、方向、以及其他辅助链接。内容组指定MIME类型和文件扩展名。 4.3 配置协议规则如果要允许内部网络上的客户端访问Inter

42、net，则需要配置协议规则。协议规则、站点和内容规则和IP数据包筛选器共同定义访问策略。协议规则指定来自哪些客户端的特定的协议可以允许通过ISA Server，以及在什么时候。本节学习目标 l 描述协议规则的功能 l 举出几个在ISA Server中预先配置的协议定义的例子 l 在ISA Server中创建和配置协议规则 估计学习时间：40 分钟 4.3.1 协议规则 协议规则确定客户端可以使用哪些协议来访问Internet。协议规则可以允许或拒绝使用一个或多个协议定义。它也可以应用到所有的IP通信或者一个指定的协议定义集中。 对于安全网络地址转换客户端而言，协议规则可以应用到所有的计算机中或

43、者按IP地址指定的一组计算机中。对于防火墙客户端而言，协议规则可以应用到所有的计算机中，或者是按IP地址指定的一组计算机中，也可以应用到在Windows 2000所定义的特定的用户和组中。 按如下步骤创建协议规则： 1.在ISA Management控制台树上，右击Protocol Rules，指向New，然后单击Rule。 2.在New Protocol Rule Wizard屏幕中，输入该协议规则的名称，然后单击Next。 3.在Rule Action页中，指定该规则是允许还是拒绝请求，然后单击Next。 4.在Protocols页中，指定该规则所采用的协议，然后单击Next。 5.在Sc

44、hedule页中，指定该规则何时应用，然后单击Next。 6.在Client Type页中，指定该规则应用于哪些客户端，然后单击Next。 注意 将企业策略应用到此阵列中，只能创建拒绝型规则。您可以修改先前任何时候所创建的协议规则。访问ISA Management中的协议规则属性对话框便可进行修改。 按如下步骤修改协议规则： 1.在ISA Management控制台树上，单击Protocol Rules。 2.在View菜单中选取Advanced。 3.在详细信息窗格中，右击现行协议规则，然后单击Properties。 4.在Protocol选项卡中，选择下述任一步骤： u 如果规则应用到所有

45、的协议中，包括那些没有被ISA Server 明确定义的协议，那么单击All IP Traffic。 u 如果规则只应用到所选择的协议中，那么单击Selected Protocols。 u 如果规则应用到选定的协议以外的所有协议中，那么单击All IP Traffic Except Selected。 5.如果选择了Selected Protocols或者All IP Traffic Excepted Selected，那么在Protocols中，选择一个或多个协议定义。 注意 如果要指定的协议定义不存在，可以单击New进行创建，然后在列表中选中它。4.3.2 协议规则配置方案假设您要禁止组织

46、内的一组用户在工作时间内使用MSN Messenger。如果所有的客户机上已经安装并启用了防火墙客户端软件，那么可以配置如下参数来创建协议规则，从而实施此策略： l 设置Action to Deny The Request l 选定Selected Protocols l 选择MSN Messenger协议 l 选择Work Hours时间表 l 选择Specific Users And Groups单选按钮，如图4.9所示 l 选择适当的用户组 图 4.9 将协议规则应用到指定的用户4.3.3 协议的可用性ISA Server有一个协议定义表。表中含有86个预先定义且为用户所熟知的协议定义，

47、包括广为应用的Internet协议。也可以另外添加协议或者是对添加协议进行修改。需要说明的是，如果ISA Server是以缓存模式安装的，那么协议规则只能应用到HTTP、HTTPS、Gopher、以及 FTP 等协 议中。 客户端用特定的协议向目标发出请求时，ISA Server就会检测协议规则。如果协议规则明确地拒绝使用该协议，那么请求会被拒绝。只有协议规则明确地允许该客户端使用该协议，并且站点和内容规则明确允许访问该目标，请求才会被处理。换句话说，要允许访问必须执行以下步骤来： 1.创建一个协议规则，指出哪些协议可以用来访问特定的目的。 2.创建一个站点和内容规则，指出允许哪些客户端访问特

48、定的目的集。ISA Server是以集成模式或防火墙模式安装时，站点和内容规则默认被启用，它允许访问所有的站点和内容 类型。 应用程序筛选器和协议的可用性 ISA Management在Policy Elements节点的Protocol Definitions文件夹中，提供了所有预先定义的86种协议及您所定义的新协议的信息。在ISA Management的详细信息窗格的协议定义列表中，您会发现有些协议是由ISA Server 定义的，有些则是由应用程序筛选器所定义的。 图4.10所示为协议定义列表。图 4.10 协议可以由ISA Server或应用程序筛选器来定义对于那些由应

49、用程序筛选器创建和安装的协议，源应用程序筛选器禁用时，所有与之对应的协议定义也就禁用了。也就是说，使用该协议定义的通信就会被阻塞。例如，如果流媒体筛选器禁用，那么使用Windows Media以及Real Networks协议定义的通信都会被 阻塞。需要注意的是，有些应用程序筛选器使用的协议是由ISA Server定义的，而不是它自己定义的。这些应用程序筛选器禁用时，相应的协议定义仍能正常工作。例如，假使令SMTP筛选器失效，但SMTP数据包能被允许通过，因为SMTP协议是由ISA Server定义的，而不是SMTP筛选器定义的。 4.3.4 处理次序 协议规则不像路由规则，它没有优先级之分。

50、只有拒绝类型协议规则比允许类型规则优先。例如，创建两个规则，一个允许使用所有的协议，另一个拒绝使用SMTP协议，那么就不允许使用SMTP协议。 4.3.5 阵列级和企业级协议规则 协议规则可以创建成阵列级和企业级。阵列策略作为企业策略的补充时，它的协议规则只能进一步地限制企业级的协议规则。换句话说，应用的是企业策略时，阵列级的协议规则只能拒绝某些特定的协议。 4.3.6 Web协议 在ISA Management的作用域窗格中选择协议规则，就可以用详细信息窗格中的任务板来创建一个协议规则。该规则允许用户只能使用特定的Web协议来访问Internet。通过单击名称为Allow Web Proto

51、cols的图标来实现这一步。表4.1所列出的这些Web协议定义，都是在安装ISA Server时就预先配置好的，其中有的是ISA Server定义的，有的是ISA Server的应用程序筛选器定义的。 表4.1 Allow Web Protocols配置的协议名 称端口号 协议类型 定义方 描 述 FTP客户端21TCPFTP 访问筛选器 FTP，用来在主机间拷贝文件 仅供FTP下载21TCPFTP 访问筛选器FTP，用来在主机间拷贝文件 Gopher 70TCPISA Server其他Internet服务的菜单驱动前端软件，包括Archie和广域信息服务器(WAIS) HTTP 80TCPI

52、SA ServerHTTP，用来实现万维网(WWW) S-HTTP (HTTPS) 443TCPISA Server使用SSL加密的HTTP版本 4.3.7 ISA Server安装的协议定义 表4.2所列的是ISA Server包含的协议定义。 表4.2 ISA Server中预先定义的协议协议名称 描 述 Any RPC Server 允许所有的RPC接口 AOL Instant Messenger Archie Chargen (TCP) 字符生成器(TCP) Chargen (UDP) 字符生成器(UDP) Daytime (TCP) Daytime (UDP) Discard (TC

53、P) Discard (UDP) DNS Query 域名系统 DNS Query Server 域名系统 服务器 DNS Zone Transfer DNS Zone Transfer Server Echo (TCP) Echo (UDP) Exchange RPC Server 允许发布Exchange server 用于从外部网络访问RPC Finger FTP 文件传输协议 FTP Download only 文件传输协议 只读 FTP Server 文件传输协议 服务器 Gopher 续表协议名称 描 述 H.323 H.323视频会议 HTTP 超文本传输协议 HTTPS 安全超

54、文本传输协议HTTPS Server 安全超文本传输协议服务器 ICA Citrix智能控制台架构ICQ ICQ即时信使协议(旧)ICQ 2000 Ident IKE Internet密钥交换 IMAP4 交互邮件访问协议 IMAP4 Server IMAPS 安全交互邮件访问协议 IMAPS Server IRC Internet中继聊天 Kerberos-Adm (TCP) Kerberos管理(TCP) Kerberos-Adm (UDP) Kerberos管理(UDP) Kerberos-IV Kerberos IV身份验证Kerberos-Sec (TCP) Kerberos V身份

55、验证(TCP) Kerberos-Sec (UDP) Kerberos V身份验证(UDP) LDAP 轻量目录访问协议 LDAP GC (Global Catalog) LDAPS 安全轻量目录访问协议 LDAPS GC (Global Catalog) Microsoft SQL Server MMS Windows Media MMS Windows Media Server MSN MSN Internet访问MSN Messenger Net2Phone Net2Phone Registration NetBIOS Datagram NetBIOS Name Service NetBIOS Session NNTP 网络新闻传输协议NNTP Server NNTPS 安全网络新闻传输协议 NNTPS Server 安全网络新闻传输协议续表协议名称 描 述 NTP (UDP) 网络计时协议(UDP) PNM (Real Networks) protocol Client 实时网络流媒