ISA規(guī)則列表集合-->見下圖: 防火墻策略概述: 源主機(jī)和目標(biāo)主機(jī)必須位于不同的網(wǎng)絡(luò)? ISA Server是嚴(yán)格按照順序評估防火墻策略? 系統(tǒng)策略優(yōu)先于防火墻策略進(jìn)行處理? 訪問規(guī)則是按照出站方向的主要連接端口來進(jìn)行處理 ISA客戶端類型的不同點-->見下圖: ISA客戶發(fā)送請求到ISA Server的方式將決定ISA是否必須執(zhí)行正向/反向DNS解析以將客戶的請求匹配到某個訪問規(guī)則,因此,擁有一個穩(wěn)定的DNS服務(wù)顯得極為重要 匹配標(biāo)準(zhǔn): 協(xié)議: 訪問規(guī)則中為出站方向定義的主要連接端口范圍,可以為一個或者多個協(xié)議。 ??????????? 從(源網(wǎng)絡(luò)): 發(fā)起連接的一個或者更多的網(wǎng)絡(luò)對象,可以包含網(wǎng)絡(luò)、網(wǎng)絡(luò)集、計算機(jī)、計算機(jī)集、地址范圍或者子網(wǎng)。 ?????????? 計劃時間: 定義的任何計劃時間;。? ????????? 到(目的網(wǎng)絡(luò)): 連接到的一個或者更多的目的網(wǎng)絡(luò),可以包含網(wǎng)絡(luò)、網(wǎng)絡(luò)集、計算機(jī)、計算機(jī)集、地址范圍、子網(wǎng)、域名集或者URL集;。 ???????? 用戶: 一個或者更多的用戶對象,可以包含所有用戶、所有經(jīng)過認(rèn)證的用戶、系統(tǒng)和網(wǎng)絡(luò)服務(wù)和其他自定義的用戶集。 ??????? 內(nèi)容類型: 定義的任何內(nèi)容類型。 到目的網(wǎng)絡(luò)(域名集和計算機(jī)集)-->見下圖: 思考: 如何創(chuàng)建一條防火墻策略來拒絕到www.msup.com.cn和www.tom.com的訪問,然后允許到其他站點的訪問? 到目的網(wǎng)絡(luò)(URL集): 當(dāng)ISA處理到(目的網(wǎng)絡(luò))包含有URL集的規(guī)則時,規(guī)則到(目的網(wǎng)絡(luò))中的URL集只對Web協(xié)議(HTTP、HTTPS和封裝的FTP)有效,但是,對于HTTPS傳輸,URL集只有在沒有指定路徑時才進(jìn)行匹配。如果客戶使用其他協(xié)議進(jìn)行訪問,那么ISA Server會忽略規(guī)則中的URL集元素。 到目的網(wǎng)絡(luò)(URL集)-->見下圖: 用戶: 所有經(jīng)過認(rèn)證的用戶: 表示為所有通過驗證的用戶,注意SNat客戶端將不會進(jìn)行認(rèn)證,除非它們是×××客戶(××× 客戶用于登陸×××所用的×××用戶可用于身份認(rèn)證); ?????? 所有用戶: 表示為所有用戶,不管是否通過了身份驗證。 ????? 系統(tǒng)和網(wǎng)絡(luò)服務(wù): 表示為ISA計算機(jī)上的本地系統(tǒng)和網(wǎng)絡(luò)服務(wù)賬戶,被ISA Server用于部分系統(tǒng)策略。 用戶: 客戶端如何進(jìn)行認(rèn)證取決于客戶端的類型: 防火墻客戶: 在會話建立后,ISA Server要求客戶進(jìn)行身份驗證,所以當(dāng)防火墻客戶后來再進(jìn)行訪問時,ISA不會再詢問客戶端的身份驗證信息,因為會話已經(jīng)被驗證過了。記住在防火墻客戶端軟件和ISA Server進(jìn)行連接時就已經(jīng)驗證了用戶。 Web代理客戶: 在允許Web代理客戶訪問后,你可以配置Web代理客戶的身份驗證。如果你在Web代理偵聽器的屬性中選擇了要求所有用戶進(jìn)行認(rèn)證,ISA Server將總是在檢查防火墻策略之前要求用戶提供身份驗證信息;否則ISA Server只會在訪問規(guī)則要求時才要求客戶進(jìn)行身份驗證。 注意事項: 如果規(guī)則是應(yīng)用到所有用戶,那么ISA Server將不會要求用戶進(jìn)行身份驗證? 如果你配置訪問規(guī)則要求客戶進(jìn)行身份驗證,而客戶由于某種原因不能提交身份驗證信息,那么客戶的請求將被拒絕(如sNat客戶端) 用戶-->見下圖: 內(nèi)容類型: 內(nèi)容類型通過配置MIME和文件擴(kuò)展名來指定,它只能應(yīng)用到HTTP和封裝的FTP協(xié)議,對于其他的協(xié)議,包含HTTPS,ISA Server會總是忽略規(guī)則中的內(nèi)容類型元素。見下圖: 結(jié)論: 當(dāng)規(guī)則的內(nèi)容類型不是所有類型時,對于非HTTP和封裝的FTP的協(xié)議,這條規(guī)則將永遠(yuǎn)不會匹配執(zhí)行,而不管這條規(guī)則是允許還是拒絕? 過濾標(biāo)準(zhǔn): 只有在客戶的連接請求與某個允許規(guī)則完全匹配的情況下才檢查這些過濾標(biāo)準(zhǔn)。見下圖: 小結(jié)-->見下圖: 部署防火墻策略的十六條守則: 1.計算機(jī)沒有大腦。所以,當(dāng)ISA的行為和你的要求不一致時,請檢查你的配置而不要埋怨ISA。 ??????????????????????????????????? 2.只允許你想要允許的客戶、源地址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則,看規(guī)則的元素是否和你所需要的一致,盡量避免使用拒絕規(guī)則。 ?????????????????????????????????? 3.針對相同用戶或含有相同用戶子集的訪問規(guī)則,拒絕的規(guī)則一定要放在允許的規(guī)則前面。 ?????????????????????????????????? 4.當(dāng)需要使用拒絕時,顯示拒絕是首要考慮的方式。 ?????????????????????????????????? 5.在不影響防火墻策略執(zhí)行效果的情況下,請將匹配度更高的規(guī)則放在前面。 ?????????????????????????????????? 6.在不影響防火墻策略執(zhí)行效果的情況下,請將針對所有用戶的規(guī)則放在前面。 ?????????????????????????????????? 7.盡量簡化你的規(guī)則,執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高。 ?????????????????????????????????? 8.永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用Allow 4 ALL規(guī)則(Allow all users use all protocols from all networks to all networks),這樣只是讓你的ISA形同虛設(shè)。 ??? 9.如果可以通過配置系統(tǒng)策略來實現(xiàn),就沒有必要再建立自定義規(guī)則。 ???????????????????????????????? 10.ISA的每條訪問規(guī)則都是獨立的,執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響。 ???????????????????????????????? 11.永遠(yuǎn)也不要允許任何網(wǎng)絡(luò)訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)絡(luò)也是不可信的。 ??????????????????????????????? 12.SNat客戶不能提交身份驗證信息。所以,當(dāng)你使用了身份驗證時,請配置客戶為Web代理客戶或防火墻客戶。 ?????????????????????????????? 13.無論作為訪問規(guī)則中的目的還是源,最好使用IP地址。 ????????????????????????????? 14.如果你一定要在訪問規(guī)則中使用域名集或URL集,最好將客戶配置為Web代理客戶。 ???????????????????????????? 15.請不要忘了,防火墻策略的最后還有一條DENY 4 ALL。 ??????????????????????????? 16.最后,請記住,防火墻策略的測試是必需的

轉(zhuǎn)載于:https://blog.51cto.com/yejunsheng/161322

總結(jié)

以上是生活随笔為你收集整理的深入理解及配置ISA Server 2006访问规则的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。