简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 为网络客户端对 Internet 的访问提供了精确的控制。借助 ISA Server 的多网络功能,您可以将这种控制应用于任何客户端,只要该客户端所在的网络的 Internet 网关为 ISA Server。
多网络
可以将多个网络连接到一个 ISA Server 计算机,从而控制这些网络间的访问。这样就可以控制任何网络的 Internet 访问,只要由 ISA Server 计算机来充当 Internet 网关。
访问规则
访问规则决定源网络的客户端对目标网络的资源的访问方式。
可以将访问规则应用于所有 Internet 协议流量,也可以仅应用于一组特定的协议定义,或者应用于除选定协议之外的所有其他 IP 流量。
ISA Server 中包含一系列预先配置好的常用协议定义,其中包括最常用的 Internet 协议。用户也可以添加或修改协议。
当一个客户端使用某种特定协议请求一个对象时,ISA Server 会检查访问规则。仅当一个访问规则允许客户端使用特定的协议进行通讯,并允许对请求的对象进行访问时,请求才会被处理。
对 Internet 访问的控制主要取决于访问规则的定义和顺序。另外一个因素是配置 Web 代理属性,以要求对 Internet 请求进行身份验证,请参考附录 C:配置 HTTP 策略。
技巧
对 Internet 访问的控制只取决于两个因素:
- 按顺序排列的访问规则
- Web 代理属性
下表列出了所有可能的访问规则设计选择。该表按照访问规则属性页面中属性的位置进行组织。想要查看访问规则属性页面,请在“防火墙策略”详细信息窗格中双击一个访问规则(例如:默认规则)。
注意
该表中提到的规则元素在本文档的“规则元素”部分有所描述。
选项卡 | 属性 | 备注 | 相关规则元素 |
常规 | 名称 | 规则名称。 | 无 |
常规 | 描述 | 规则描述。 | 无 |
常规 | 启用 | 如果选中,则规则生效。 | 无 |
操作 | 允许/拒绝 | 允许或禁止与规则元素相匹配的请求访问 Internet? | 无 |
操作 | 重定向 HTTP 请求到该页面 | 可选,当 Internet 访问请求被拒绝时,显示一个解释页面。 | 无 |
操作 | 记录匹配该规则的请求 | 是否希望 ISA Server 为与规则相匹配的请求记录日志。 | 无 |
协议 | 所有出站 IP 流量 所选协议(从列表中选择) 所有出站协议,所选协议除外 | 访问规则可以应用于所有协议、指定协议、或除指定协议之外的所有协议。该页面还通过筛选按钮提供对 HTTP 配置属性的访问。更多信息,请参考附录 C:配置 HTTP 策略。 | 协议 |
从 | 应用于来自这些源的流量 | 发出请求的网络对象。 | 网络对象 |
从 | 例外 | 规则不会应用于从这些网络对象发出的流量。 | 网络对象 |
到 | 应用于发送到这些目标的流量 | 客户端请求的网络对象。如果希望访问 Internet,应该选择“外部”网络。 | 网络对象 |
到 | 例外 | 规则不会应用于发送至这些网络对象的流量。 | 网络对象 |
用户 | 应用于来自以下用户集的请求 | 指定对其应用规则的用户。如果指定特定的用户,而不是使用“所有用户”的默认设置,与规则相匹配的用户需要进行验证。 | 用户 |
用户 | 例外 | 指定不对其应用规则的用户。 | 用户 |
计划 | 计划 | 选择规则应用的时间。 | 计划 |
内容类型 | 应用于: 所有内容类型 所选内容类型 | 对于“所选内容类型”这种情况,规则仅应用于响应中包含指定内容类型的 HTTP 请求。 | 内容类型 |
规则元素
ISA Server 规则元素是一种用于改进 ISA 规则的对象。例如,一个子网规则元素代表网络中的一个子网。既可以创建仅应用于一个子网的规则,也可以创建应用于除指定子网之外整个网络的规则。
用户集是规则元素的另外一个例子,它代表一组用户。通过创建用户集并在 ISA Server 规则中使用它们,您可以创建出仅应用于指定用户集的规则。
想要查看哪些规则元素可用,请展开 ISA Server 计算机节点,单击防火墙策略,然后选择工具箱选项卡。其中包括五种类型的规则元素:
- 协议。这种规则元素类型包括各种协议,用于限制访问规则的适用性。例如,除了同等对待所有协议之外,还可以允许或禁止一或多种协议。
- 用户。在这种规则类型中,可以创建将要应用规则的用户集,或者不应用规则的用户集。
- 内容类型。这种规则元素类型用于指定想要应用规则的常用内容类型。也可以定义新的内容类型。
- 计划。这种规则元素允许用户指定在每一周中规则所应用的时间。
- 网络对象。这种规则元素允许用户创建一组计算机或者 URL,从而可以对它们应用或者不应用规则。更多信息,请参考网络对象。
本文档介绍的 Internet 访问解决方案将用到以下规则元素:
- 网络对象,包括 URL 集、计算机集和子网
- 用户和用户集
- 内容类型
- 计划
网络对象
网络对象规则元素提供了代表计算机和 URL 的多种方式。
网络
网络规则元素代表一个网络,即连接至一个 ISA Server 计算机网络适配器的所有计算机(直接连接,或者通过一个或多个路由器进行连接)。可以通过 ISA Server Management 的网络节点定义网络。
网络集
网络集规则元素代表由一个或多个网络组成的网络组。可以通过该规则元素对多个网络应用规则。例如,在安装 ISA Server 的时候会创建一个“所有网络”集。
计算机
计算机规则元素代表一台计算机,由它的 IP 地址来标识。
计算机集
计算机集规则元素是包含一个或多个计算机规则元素的集合。
地址范围
地址范围规则元素代表一组具有连续 IP 地址的计算机。
子网
子网规则元素代表网络中的一个子网,由网络地址和掩码标识。
URL 集
URL 集规则元素代表一组 URL,例如 http://www.adatum.com 或 http://www.fabrikam.com/tools/*。
域名集
域名集规则元素代表一个包含一个或多个域名的集合,格式类似 www.fabrikam.com。
Web 侦听器
Web 侦听器规则元素是一个 IP 地址,ISA Server 计算机在这里侦听 Web 请求。这个规则元素用于 Web 发布,不用于控制 Internet 访问的访问规则。
Web 代理属性
可以为任何由 ISA Server 计算机提供 Internet 访问的网络配置 Web 代理属性。作为 Web 代理属性的组成部分,可以对 Web 客户端要求身份验证。关于 Web 代理属性的设置,请参考附录 D:配置 Web 代理属性。
Web 链接
访问规则决定允许什么样的访问。Web 链接决定访问如何进行,尤其是在 ISA Server 计算机和公司 Internet 网关之间存在其他 Web 代理计算机的情况下。 关于如何配置 Web 链接的更多信息,请参考附录 E:配置 Web 链接。
情境
在很多情境中,对 Internet 访问的控制都十分重要:
- 严格保留有限的带宽供公司使用。在这种情境中,您可能希望把 Internet 访问限制在具备商业价值的特定网站。
- 通过阻塞一些特定网站,保留有限的带宽或减少员工浏览 Internet 的时间。
- 阻塞特定的内容类型,可能是因为它们对公司的环境不太合适,或者因为它们需要太多带宽。
- 对不同的用户组执行不同级别的 Internet 访问限制。
- 由于法律方面的原因阻塞某些特定的站点,例如文件共享站点。
- 控制可能导致员工无法保护计算机的 Internet 访问,防止未经授权的用户访问 Internet.
- 限制 Internet 访问的允许时间,从而减少工作时间内的 Internet 使用。
解决方案
针对以上情境的解决方案均建立在灵活的访问规则基础之上。ISA Server 2004 规则负责控制对资源的访问,这里特指 Internet 访问。在创建规则的过程中,将会用到规则元素。想要获得更多信息,请参考访问规则和规则元素。
网络拓扑
为了在内网情境中实现 Internet 访问,至少需要满足以下条件:
- 一个到 Internet 的连接。在实验室环境中,这一点可以由一台连接到 ISA Server 计算机的外部网络适配器的 Web 服务器模拟。不过,这可能会对访问限制的测试带来一定局限。
- 一台充当 ISA Server 计算机的计算机。ISA Server 计算机至少必须拥有两块网络适配器。一块网络适配器连接到“外部”网络(即 Internet),另外一块网络适配器连接到“内部”网络。如果您的解决方案涉及到其他网络,例如第二个内部网络,则每个网络都必须在 ISA Server 计算机上拥有对应的网络适配器。网络的配置情况(比如:计算机、用户和子网的数量)决定什么样的解决方案比较适合。
- 一台位于 ISA Server 计算机之后的计算机,ISA Server 计算机充当其默认的网关。
控制 Internet 访问过程演示
这个过程演示将指导您完成通过 ISA Server 控制 Internet 访问所需的必要步骤。
控制安全的 Internet 访问演练过程 1:备份当前的配置
我们建议在进行任何改动之前首先备份当前的配置。万一所作的改动导致不希望的结果,可以返回到之前的备份配置。请按照以下步骤备份 ISA Server 计算机的配置。
1.右键单击 ISA Server 计算机的名称,然后单击备份。
2.在备份配置中,提供保存配置的文件的名称和位置。为了使文件容易辨认,可以在文件名中包含导出的日期,例如 ExportBackup2June2004。
3.单击备份。如果正在导出的信息是机密信息(比如:用户密码),系统会提示输入密码。从导出文件恢复配置的时候也需要这个密码。
4.备份操作完成之后,单击确定。
注意
备份以 .xml 文件的形式存在,应该在另外一台计算机上保存它的一个副本,便于进行灾难恢复。
控制安全的 Internet 访问演练过程 2:将 ISA Server 设置为 Internet 的默认网关
为了使用 ISA Server 控制 Internet 访问,ISA Server 计算机必须充当网络的 Internet 默认网关。如果不是这样,网络上的计算机可能通过其他网关访问 Internet,这样就绕过了 ISA Server 计算机。
控制安全的 Internet 演练过程 3:配置 ISA Server 解决方案
每种解决方案都需要在 ISA Server 计算机上执行以下过程中的一个或多个:
- 规则元素的创建。请参考附录 A:创建规则元素。
- 访问规则的设计和创建。该步骤介绍每个访问规则的属性。关于“新建访问规则向导”的介绍请参考附录 B:使用“新建访问规则向导”
- Web 代理属性的配置。该步骤对于需要身份验证的 Internet 请求尤为重要。正确的属性设置在过程一节中有所描述。关于如何访问属性的详细信息,请参考附录 D:配置 Web 代理属性。
本文档介绍了以下解决方案:
- 通过计划和用户集控制访问
- 通过网络实体控制访问
- 通过身份验证控制访问
- 通过内容类型控制访问
- 通过计划控制访问
通过计划和用户集控制访问
在这种情境中,公司拥有两组用户。其中一组是经理,可以在任何时间没有限制地访问 Internet。另外一组用户是员工,在工作时间他们只能访问与工作相关的站点,但是在工作前、工作后和午饭时间可以无限制地访问,不包括周末。该方案假定所有用户均通过“内部”网络访问 Internet。
这个解决方案需要创建两个访问规则。第一个规则是一个拒绝规则,拒绝员工在工作时间访问除批准站点之外的 Internet 站点。第二个规则是一个允许规则,允许所有人访问所有站点。把拒绝规则排在前面,这样经理可以在工作时间完全访问网络,而员工仅能在工作时间访问与工作相关的站点。
以下步骤是这个情境的解决方案创建过程。用户集、URL 集和计划规则元素的创建请参考附录 A:创建规则元素。
步骤 1:创建用户集
创建用户集“员工”,其中包含所有被归为员工的人,他们拥有受限制的 Internet 访问权。
步骤 2:创建一个 URL 集
创建一个 URL 集,其中包含工作时间允许“员工”访问的所有与工作相关的站点。
步骤 3:创建一个计划
创建一个计划,代表员工的工作时间。ISA Server 提供了一个“工作时间”计划,也许可以满足您的要求。
步骤 4:创建一个允许访问规则,允许所有用户在所有时间访问。
创建一个允许访问规则,允许所有用户不受限制地访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
选项卡 | 属性 | 设置 |
常规 | 名称 | 允许所有人访问 Internet |
常规 | 描述 | 允许所有人没有限制地访问 Internet |
常规 | 启用 | 选中 |
操作 | 允许/拒绝 | 允许 |
操作 | 重定向 HTTP 请求到该页面 | 未选中 |
操作 | 记录匹配该规则的请求 | 如果希望 ISA Server 记录满足规则的请求,就选中 |
协议 | 应用于 | 所选协议: HTTP HTTPS FTP |
从 | 应用于来自这些源的流量 | 内部 |
从 | 例外 | 无 |
到 | 应用于发送到这些目标的流量 | 外部 |
到 | 例外 | 无 |
用户 | 应用于来自以下用户集的请求 | 所有用户 |
用户 | 例外 | 无 |
计划 | 计划 | 总是 |
内容类型 | 应用于: 所有内容类型 所选内容类型 | 所有内容类型 |
步骤 5:为“内部”网络的“员工”创建一个拒绝访问规则
为员工创建一个访问规则,除了在“工作时间”计划指定的时间访问 URL 集允许的站点,拒绝“员工”用户集访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
选项卡 | 属性 | 设置 |
常规 | 名称 | 内部网络 Internet 访问拒绝规则 |
常规 | 描述 | 拒绝从内部网络访问 Internet,指定站点除外 |
常规 | 启用 | 选中 |
操作 | 允许/拒绝 | 拒绝 |
操作 | 重定向 HTTP 请求到该页面 | 可选项,可以选中该选项,并提供一个网页地址 |
操作 | 记录匹配该规则的请求 | 如果希望 ISA Server 记录匹配规则的请求,就选中 |
协议 | 该规则应用于 | 所选规则: HTTP HTTPS FTP |
从 | 应用于来自这些源的流量 | 内部 |
从 | 例外 | 无 |
到 | 应用于发送到这些目标的流量 | 外部 |
到 | 例外 | 包含工作时间允许访问的站点的 URL 集 |
用户 | 应用于来自以下用户集的请求 | “员工”用户集 |
用户 | 例外 | 无 |
计划 | 计划 | 工作时间 |
内容类型 | 应用于: 所有内容类型 所选内容类型 | 所有内容类型 |
步骤 6:考虑规则顺序
创建规则的时候总是需要考虑规则的顺序。在这个解决方案中,拒绝“员工”用户集在“工作时间”访问的规则必须出现在允许所有用户在所有时间访问 Internet 的规则之前。如果顺序正好相反,当一个“员工”用户的请求到达时,ISA Server 将会首先读取允许规则并允许他们在工作时间访问整个 Internet。
通过网络实体控制访问
在这个情境中,我们允许所有“内部”网络用户访问 Internet。但是,仅允许他们从自己的办公室电脑访问与工作相关的站点。在员工休息室中也有几台计算机,用户可以在这里访问所有其他站点。
至少有三种可能的方法来实现该解决方案:
- 创建一个允许规则,允许从休息室的计算机访问整个 Internet。创建一个拒绝规则,拒绝从“内部”网络访问除 URL 集所允许的站点之外的站点。将允许规则排在拒绝规则之前。
- 创建两个特定的允许规则,第一个应用于休息室的计算机,允许访问整个 Internet;另外一个应用于“内部”网络,仅允许访问与工作相关的站点。
- 为“内部”网络的所有计算机创建一个允许规则。为一个计算机集——包括所有“内部”网络计算机,但休息室的计算机除外——创建一个拒绝规则,拒绝访问除工作相关站点之外的站点。将拒绝规则排在允许规则之前。
对应情境
您可能遇到正好的相反的情况:允许从“内部”网络访问整个 Internet,但大厅内的计算机除外,它们不能访问任何 Internet 站点。在这种情况下,应该创建一个包含大厅计算机的计算机集。然后创建一个允许规则,允许从“内部”网络访问外部网络,但是将包含大厅计算机的计算机集列在从选项卡的“例外”中。
这里,我们采用第一种方法,因为创建一个包含休息室计算机在内的小型计算机集要比创建一个包含全部内网计算机的计算机集容易很多。
请遵循以下步骤创建这个解决方案。关于创建网络实体和 URL 集的过程,请参考附录 A:创建规则元素。
步骤 1:创建网络实体
所创建的网络实体将是一组 IP 地址,它是在 ISA Server 中定义的一个子网。在这个例子中,创建一个包含休息室计算机的计算机集,它们是内部网络中的一组计算机。
步骤 2:创建一个 URL 集
创建一个包含所有工作相关站点的 URL 集。
步骤 3:为“内部”网络创建一个拒绝访问规则
为员工创建一个访问规则,拒绝从“内部”网络访问除 URL 集允许站点之外的 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
选项卡 | 属性 | 设置 |
常规 | 名称 | 内部网络 Internet 访问拒绝规则 |
常规 | 描述 | 拒绝从内部网络访问 Internet,指定站点除外 |
常规 | 启用 | 选中 |
操作 | 允许/拒绝 | 拒绝 |
操作 | 重定向 HTTP 请求到该页面 | 可选项,可以选中该选项,并提供一个网页地址 |
操作 | 记录匹配该规则的请求 | 如果希望 ISA Server 记录满足规则的请求,就选中 |
协议 | 应用于 | 所选协议: HTTP HTTPS FTP |
从 | 应用于来自这些源的流量 | 内部 |
从 | 例外 | 无 |
到 | 应用于发送到这些目标的流量 | 外部 |
到 | 例外 | 包含工作相关站点的 URL 集 |
用户 | 应用于来自以下用户集的请求 | 所有用户 |
用户 | 例外 | 无 |
计划 | 计划 | 总是 |
内容类型 | 应用于: 所有内容类型 所选内容类型 | 所有内容类型 |
步骤 4:为“休息室”计算机集创建一个允许访问规则
创建一个访问规则,允许所有用户在所有时间从“休息室”计算机集访问 Internet。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表中显示的属性。
选项卡 | 属性 | 设置 |
常规 | 名称 | 用于休息室的 Internet 访问允许规则 |
常规 | 描述 | 允许所有用户从休息室的计算机没有限制地访问 Internet |
常规 | 启用 | 选中 |
操作 | 允许/拒绝 | 允许 |
操作 | 重定向 HTTP 请求到本页面 | 未选中 |
操作 | 记录匹配该规则的请求 | 如果希望 ISA Server 记录匹配的规则,则选中 |
协议 | 应用于 | 所选协议: HTTP HTTPS FTP |
从 | 应用于来自这些源的流量 | “休息室”计算机集 |
从 | 例外 | 无 |
到 | 应用于发送到这些目标的流量 | 外部 |
到 | 例外 | 无 |
用户 | 应用于来自以下用户集的请求 | 所有用户 |
用户 | 例外 | 无 |
计划 | 计划 | 总是 |
内容类型 | 应用于: 所有内容类型 所选的内容类型 | 所有内容类型 |
注意
该属性列表的关键项目是在“从”属性中对“休息室”计算机集的设置。
步骤 5:考虑规则顺序
创建访问规则的时候总是要考虑规则顺序。如果拒绝规则排在允许规则之前,ISA Server 将会处理拒绝规则并拒绝请求,即使该请求是来自一台休息室计算机。
如果允许规则排在拒绝规则之前,它会被首先处理,允许来自休息室计算机的请求。来自其他计算机的请求不会被允许规则处理。它们将被后面的拒绝规则拒绝,除非这些请求是针对允许的工作相关站点。
通过身份验证控制访问
在这个情境中,对公司计算机的物理访问并非总是安全的。例如,维护人员可以访问办公室内的所有计算机,员工也可能在晚上忘记锁定计算机。因此,当用户连接 Internet 的时候,有必要对他们进行身份验证。
步骤 1:创建一个访问规则
创建一个访问规则,允许所有用户访问 Internet,如同本文档其他部分介绍的“创建一个允许所有用户在所有时间访问 Internet 的访问规则”一样。或者,如果想要应用其他限制,也可以创建一或多个规则,如同本文档的其他解决方案介绍的那样。
步骤 2:要求身份验证
对来自任何 Web 代理客户端、通过 ISA Server 访问 Internet 的请求要求身份验证。在 Web 代理属性中进行配置,请参考附录 D:配置 Web 代理属性。
通过内容类型控制访问
在这个情境中,需要保护有限的带宽,使其用于工作,因此需要阻止对占用大量带宽的音频和视频文件的访问。针对该情境,存在两种可能的解决方案。
- 创建一个允许规则,允许所有用户没有限制地访问 Internet;然后创建一个拒绝规则,拒绝所有用户访问特定的内容类型。确保拒绝规则排在允许规则之前。
- 创建一个允许规则,允许所有用户访问 Internet,但只能访问指定的内容类型。
这里介绍第二个方法,因为它仅需要一个访问规则。遵循附录 B 中的过程:使用“新建访问规则向导”,并使用下表所示的属性。
重要
不能在创建规则的时候设置内容类型。必须在规则属性对话框中设置这些属性。使用“新建访问规则向导”创建规则之后,找到“防火墙策略”详细信息窗格,双击打开它的属性对框框。选择“内容类型”选项卡,进行必要的修改。
选项卡 | 属性 | 设置 |
常规 | 名称 | 音频和视频除外的内部网络 Internet 访问允许规则 |
常规 | 描述 | 允许从内部网络访问除音频和视频之外的所有 Internet 内容 |
常规 | 启用 | 选中 |
操作 | 允许/拒绝 | 允许 |
操作 | 重定向 HTTP 请求到本页面 | 可选项,可以选中该选项,并提供一个网页地址 |
操作 | 记录匹配该规则的请求 | 如果希望 ISA Server 记录满足规则的请求,就选中可选项 |
协议 | 应用于 | 所选协议: HTTP HTTPS FTP |
从 | 应用于来自这些源的流量 | 内部 |
从 | 例外 | 无 |
到 | 应用于发送到这些目标的流量 | 外部 |
到 | 例外 | 无 |
用户 | 所有用户 | 无 |
用户 | 例外 | 无 |
计划 | 计划 | 总是 |
内容类型 | 应用于: 所有内容类型 所选内容类型 | 所选内容类型 选中除音频和视频之外的所有内容类型 |
通过计划控制访问
在这个情境中,您希望在半夜的时候,非核心人员(比如:安全和维护人员)无法通过没有锁定的计算机访问 Internet。请遵循以下步骤,为该情境创建一个解决方案。
步骤 1:创建一个计划
创建一个计划,代表仅有得到授权的人员在工作地点的时间。例如,可能是每个工作日的 07:00 到 21:00。
步骤 2:创建一个访问规则
创建一个访问规则,允许所有用户访问 Internet,但时间仅限于新创建的计划所包含的时间。
控制安全的 Internet 访问演练过程 4:查看 ISA Server 日志中的 Internet 访问信息
如果选中记录匹配该规则的请求(在访问规则属性的操作页面),ISA Server 将会记录匹配特定规则的请求。
想要察看日志中的信息,请执行以下步骤:
1. | 在“Microsoft ISA Server 管理”控制台树中,选择监视。 | ||||||||||||||||||||||||||||||||
2. | 在“监视”详细信息窗格中,选择日志记录选项卡。 | ||||||||||||||||||||||||||||||||
3. | 创建一个筛选器,仅记录对 Internet 的访问尝试。在任务选项卡的任务窗格中单击编辑筛选器属性,打开编辑筛选器对话框。筛选器拥有三个默认的条件,指定日志时间为活动,记录来自防火墙和 Web 代理的信息,不记录连接状态。用户可以编辑这些条件,并添加额外的条件,从而限制查询所检索的信息。 | ||||||||||||||||||||||||||||||||
4. | 例如,选择日志时间。从条件下拉菜单选择最近 24 小时,然后单击更新。 注意 | ||||||||||||||||||||||||||||||||
5. | 选择日志记录类型。从值下拉菜单选择 Web 代理筛选器,然后单击更新。 | ||||||||||||||||||||||||||||||||
6. | 单击启动查询。启动查询命令也可以从任务选项卡的任务窗格中调用。完成的修改可以对日志的信息进行一定程度的限制。您还可以添加额外的筛选器表达式,进一步限制信息,请按照以下步骤执行。 | ||||||||||||||||||||||||||||||||
7. | 在任务选项卡的任务窗格,单击编辑筛选器属性,打开编辑筛选器对话框。要添加其他表达式,请从筛选依据下拉菜单选择一个项目,然后提供条件和值。下表给出了一些例子。
| ||||||||||||||||||||||||||||||||
8. | 创建表达式之后,单击添加到列表,将其添加到查询列表,然后单击启动查询开始查询。必须单击启动查询,才能保存所做的更改。 |
控制安全的 Internet 访问演练过程 5:创建一份 Internet 访问报告
可以创建报告,用于总结通过 ISA Server 进行的 Internet 访问。既可以创建只运行一次的报告,也可以创建按照指定周期运行的报告。
请遵循这个过程,创建一个仅运行一次的报告。
1. | 在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
2. | 在“监视”详细信息窗格中,选择报告选项卡。 |
3. | 在任务选项卡中选择生成一份新报告,启动“新建报告向导”。 |
4. | 在欢迎页面,为报告提供一个名称,例如某年某月某日的 Internet 访问报告。 |
5. | 在报告内容页面上,选择 Web 使用(确保其他类型未被选中),单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
6. | 在报告周期页面上,使用开始日期和结束日期字段,设置报告将要覆盖的时间。 |
7. | 在报告发布页面上,可以选择发布报告到目录并提供保存报告的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
8. | 在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
9. | 在“摘要”页面上检查信息,然后单击完成。报告将被显示在报告选项卡的“监视”详细信息窗格中。 |
请按照以下步骤创建重复报告。
1. | 在“Microsoft ISA Server 管理”控制台树中,选择监视。 |
2. | 在“监视”详细信息窗格中选择报告选项卡。 |
3. | 在任务选项卡上选择创建和配置报告作业,打开报告作业属性对话框。 |
4. | 单击添加,启动“新建报告作业向导” |
5. | 在欢迎页面上,为报告提供一个名称,比如:每周 Internet 访问报告。 |
6. | 在报告内容页面上,选择 Web 使用(确保其他类型未被选中),然后单击下一步。关于报告类型的更多信息,请参考 ISA Server 帮助。 |
7. | 在报告作业计划页面上,为报告选择一个频率。日报告将覆盖一天的活动,周报告将覆盖一周的活动,月报告将覆盖一月的活动。注意,如果选择在月底生成月报告,在某些特定的月份报告可能不会被生成。例如,除非在润年,否则在29日生成的报告在二月份不会被生成。为了覆盖全部日历月份,请在月度的第一天生成报告。由于报告在 01:00 生成,所以将会包括整个上一月。 |
8. | 在报告发布页面上,可以选择发布报告到目录并提供报告存放的目标目录,报告将被保存为 HTML 格式。如果将报告发布到一个共享目录,拥有目录访问权限的其他用户就可以查看该报告。如果不发布报告,则仅能在 ISA Server 计算机上查看报告。单击下一步。 |
9. | 在发送电子邮件通知页面上,您可以选择报告完成之后是否发送电子邮件消息,然后单击下一步。 |
10. | 在“摘要”页面上检查信息,然后单击完成。报告生成之后,将会显示在报告选项卡的“监视”详细信息窗格中。 |
附录 A:创建规则元素
请遵循此过程创建一个规则元素。
1. | 展开“Microsoft ISA Server 管理” |
2. | 展开 ISA Server 计算机节点。 |
3. | 选择防火墙策略,然后在任务窗格选择工具箱选项卡。 |
4. | 通过单击元素的标题选择规则元素类型。 |
5. | 在元素列表的最顶端,单击新建。如果存在多个规则元素选项,则会显示一个下拉列表,可以从中选择想要创建的元素。 |
6. | 通过向导或对话框提供必要的信息。完成向导,或者在对话框中单击确定之后,将创建新的规则元素。 |
7. | 在详细信息窗格中单击应用,应用所作的更改。您也可以在创建访问规则之后单击 应用。也就是说,在完成所有更改之后应用更改,而不是每完成一项更改就应用一次。需要花费一些时间应用更改。 |
附录 B:使用“新建访问规则向导”
该过程从整体上介绍“新建访问规则向导”。
1. | 在“Microsoft ISA Server 管理”控制台树中,选择防火墙策略。 |
2. | 在任务选项卡的任务窗格,选择创建新的访问规则,启动“新建访问规则向导”。 |
3. | 在向导的欢迎页面上,为访问规则输入一个名称。请使用描述性的名称,例如员工在工作时间访问 Internet,然后单击下一步。 |
4. | 在规则操作页面上,如果想要允许规则,请选择允许,或者,如果想要拒绝规则,请选择拒绝。然后单击下一步。 |
5. | 在协议页面上,本规则应用于默认被设置为所有出站协议。也可以选择所选协议,并使用添加按钮从添加协议对话框添加指定的 Web 协议,例如 HTTP、HTTPS 和 FTP。完成选择之后,单击下一步。 |
6. | 在访问规则源页面上,单击添加,打开添加网络实体对话框,单击想要为其创建访问的类别,指定特定的对象,单击添加(重复添加额外的网络对象),然后单击关闭。在访问规则源页面上,单击下一步。 |
7. | 在访问规则目标页面上,单击添加,打开添加网络实体对框框,单击网络,选择“外部”网络(代表 Internet),单击添加,然后单击关闭。在访问规则目标页面上,单击下一步。 |
8. | 在用户集页面上,如果想要将规则应用于所有用户,可以保留用户集所有用户,然后继续向导的下一个页面。如果想将规则应用于特定用户,请选择所有用户并单击删除。然后,使用添加按钮来打开添加用户对话框,从该对话框中,您可以添加规则所应用到的用户集。添加用户对话框还通过新建菜单项提供对“新建用户集向导”的访问。完成对用户集的选择之后,单击下一步。 |
9. | 检查摘要页面上的信息,然后单击完成。 |
10. | 在“防火墙策略”详细信息窗格中,单击应用,应用新的访问规则。应用更改可能要花费一些时间。对访问规则排序,使其与您的访问策略相匹配。如果对顺序进行了改动,需要单击应用来应用更改。 |
附录 C:配置 HTTP 策略
有些属性无法在“新建访问规则向导”中设置。访问规则创建之后,可以在“防火墙策略”详细信息窗格中通过双击来查看和编辑所有属性。“HTTP 策略”就是其中的一个属性,用于为匹配特定访问规则的请求配置 HTTP 设置。
ISA Server 是一种应用层的防火墙,可以对 HTTP 流量应用“应用程序筛选器”。ISA Server 可以检查 HTTP 请求,HTTP 应用筛选器的配置可以决定是否阻止采用 HTTP 进行传输的应用程序。HTTP 应用筛选器为 HTTP 请求提供精确的控制。可以通过 HTTP 策略来阻止应用程序,例如基于 HTTP 的消息传递应用程序或端到端的文件共享应用程序。
HTTP 策略包括以下设置:
- 请求头最大长度
- 请求负载长度
- URL 保护
- 阻止可执行文件
- 拒绝的方法
- 特定文件扩展的特定操作
- 拒绝特定的头
- 修改服务器和 Via 头
- 拒绝特定签名
要配置 HTTP 策略,请遵循该过程。
1. | 在允许访问规则的属性中,选择协议选项卡。 |
2. | 单击筛选并选择配置 HTTP,打开“为本规则配置 HTTP 策略”对话框。 |
3. | 选择相应的选项卡,并配置策略设置。 |
附录 D: 配置 Web 代理属性
可以遵循以下过程配置 Web 代理属性,要求对 Internet 请求执行身份验证。注意:当访问规则应用于特定用户集,或排除特定用户集的时候,将对匹配规则的用户要求身份验证,即使在 Web 代理属性中没有如此设置。但是,应用于“所有用户”的规则不会要求身份验证,除非执行以下过程。
1. | 在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择网络。 | ||||
2. | 双击想要为其配置 Web 访问属性的网络,打开属性对话框。通常都是“内部”网络。选择 Web 代理选项卡。 | ||||
3. | 选择启用 Web 代理客户端(内部网络的默认设置)。 | ||||
4. | 单击身份验证,打开身份验证对话框。可以在这里选择身份验证类型。 | ||||
5. | 选择要求验证所有用户。
| ||||
6. | 单击确定,关闭身份验证对话框,然后单击确定,关闭网络属性对话框。 注意 |
附录 E:配置 Web 链接
访问规则决定何种类型的访问被允许。Web 链接决定访问如何进行,尤其是在 ISA Server 计算机和公司 Internet 网关之间存在其他 Web 代理计算机的情况下。
配置 Web 链接
遵循以下过程配置 Web 链接。
1. | 在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择网络。 | ||||||||||
2. | 在“网络”详细信息窗格中,选择Web 链接选项卡。 | ||||||||||
3. | 在任务选项卡的任务窗格中,单击创建新的 Web 链接规则,启动“新建 Web 链接规则向导”。 | ||||||||||
4. | 在欢迎页面上,为规则提供一个名称,单击下一步。 | ||||||||||
5. | 在Web 链接规则目标页面上,单击添加,打开添加网络实体对话框。选择网络,单击外部,单击添加,然后单击关闭。这将会添加“外部”网络 (Internet) 作为目标,因为我们想要路由 Internet 请求。在 Web 链接规则目标页面上,单击下一步。 | ||||||||||
6. | 在请求操作页面上,选择如何处理请求:
| ||||||||||
7. | 如果选择了从特定目标直接检索请求。或者重定向请求到宿主站点。,将会进入“摘要”页面。检查其中的信息,然后单击完成。在项细信息窗格中单击应用,应用所作的更改。 | ||||||||||
8. | 如果在步骤 6 中选择了重定向请求到特定的上游服务器。,将会进入主路由页面,用于选择请求的主要路由。
| ||||||||||
9. | 如果在步骤 6 中选择了重定向请求到特定的上游服务器,将会进入备份操作页面,可以在其中选择备选路由选项:
| ||||||||||
10. | 如果在步骤 9 中选择了路由请求到一个上游服务器,将会进入备份路由页面,可以在上面选择请求的备选路由:
| ||||||||||
11. | 在“摘要”页面中检查信息是否正确,然后单击完成。 |
附录 F:指定一个自动拨号连接
可以将 ISA Server 配置为以自动拨号的方式与某个网络建立连接。例如,如果存在一个到 Internet 的拨号连接,您可以将 ISA Server 配置为自动拨号连接到外部网络。如果存在另外一个高速 Internet 连接,拨号连接可以作为 Internet 的备份路由,请参考附录 E:配置 Web 链接。
1. | 在“Microsoft ISA Server 管理”控制台树中,展开配置节点并选择常规。 |
2. | 在详细信息窗格中选择指定拨号首选项。 |
3. | 选择允许自动拨号到该网络,然后选择一个网络,从而可以为其设置自动拨号连接。如果拨号连接用于 Internet 访问,请指定外部网络。 |
4. | 如果拨号连接是连接 Internet 的主要方式,请选择配置本拨号连接为默认网关。 |
5. | 在 拨号连接下,在使用以下拨号连接中,提供拨号连接的名称,或者通过单击选择来定位。 |
6. | 如果拨号连接绑定到一个特定的用户,请在拨号帐户下提供用户名和密码,方法是单击设置帐户。 |