ISA規則列表集合-->見下圖: 防火墻策略概述: 源主機和目標主機必須位于不同的網絡? ISA Server是嚴格按照順序評估防火墻策略? 系統策略優先于防火墻策略進行處理? 訪問規則是按照出站方向的主要連接端口來進行處理 ISA客戶端類型的不同點-->見下圖: ISA客戶發送請求到ISA Server的方式將決定ISA是否必須執行正向/反向DNS解析以將客戶的請求匹配到某個訪問規則,因此,擁有一個穩定的DNS服務顯得極為重要 匹配標準: 協議: 訪問規則中為出站方向定義的主要連接端口范圍,可以為一個或者多個協議。 ??????????? 從(源網絡): 發起連接的一個或者更多的網絡對象,可以包含網絡、網絡集、計算機、計算機集、地址范圍或者子網。 ?????????? 計劃時間: 定義的任何計劃時間;。? ????????? 到(目的網絡): 連接到的一個或者更多的目的網絡,可以包含網絡、網絡集、計算機、計算機集、地址范圍、子網、域名集或者URL集;。 ???????? 用戶: 一個或者更多的用戶對象,可以包含所有用戶、所有經過認證的用戶、系統和網絡服務和其他自定義的用戶集。 ??????? 內容類型: 定義的任何內容類型。 到目的網絡(域名集和計算機集)-->見下圖: 思考: 如何創建一條防火墻策略來拒絕到www.msup.com.cn和www.tom.com的訪問,然后允許到其他站點的訪問? 到目的網絡(URL集): 當ISA處理到(目的網絡)包含有URL集的規則時,規則到(目的網絡)中的URL集只對Web協議(HTTP、HTTPS和封裝的FTP)有效,但是,對于HTTPS傳輸,URL集只有在沒有指定路徑時才進行匹配。如果客戶使用其他協議進行訪問,那么ISA Server會忽略規則中的URL集元素。 到目的網絡(URL集)-->見下圖: 用戶: 所有經過認證的用戶: 表示為所有通過驗證的用戶,注意SNat客戶端將不會進行認證,除非它們是×××客戶(××× 客戶用于登陸×××所用的×××用戶可用于身份認證); ?????? 所有用戶: 表示為所有用戶,不管是否通過了身份驗證。 ????? 系統和網絡服務: 表示為ISA計算機上的本地系統和網絡服務賬戶,被ISA Server用于部分系統策略。 用戶: 客戶端如何進行認證取決于客戶端的類型: 防火墻客戶: 在會話建立后,ISA Server要求客戶進行身份驗證,所以當防火墻客戶后來再進行訪問時,ISA不會再詢問客戶端的身份驗證信息,因為會話已經被驗證過了。記住在防火墻客戶端軟件和ISA Server進行連接時就已經驗證了用戶。 Web代理客戶: 在允許Web代理客戶訪問后,你可以配置Web代理客戶的身份驗證。如果你在Web代理偵聽器的屬性中選擇了要求所有用戶進行認證,ISA Server將總是在檢查防火墻策略之前要求用戶提供身份驗證信息;否則ISA Server只會在訪問規則要求時才要求客戶進行身份驗證。 注意事項: 如果規則是應用到所有用戶,那么ISA Server將不會要求用戶進行身份驗證? 如果你配置訪問規則要求客戶進行身份驗證,而客戶由于某種原因不能提交身份驗證信息,那么客戶的請求將被拒絕(如sNat客戶端) 用戶-->見下圖: 內容類型: 內容類型通過配置MIME和文件擴展名來指定,它只能應用到HTTP和封裝的FTP協議,對于其他的協議,包含HTTPS,ISA Server會總是忽略規則中的內容類型元素。見下圖: 結論: 當規則的內容類型不是所有類型時,對于非HTTP和封裝的FTP的協議,這條規則將永遠不會匹配執行,而不管這條規則是允許還是拒絕? 過濾標準: 只有在客戶的連接請求與某個允許規則完全匹配的情況下才檢查這些過濾標準。見下圖: 小結-->見下圖: 部署防火墻策略的十六條守則: 1.計算機沒有大腦。所以,當ISA的行為和你的要求不一致時,請檢查你的配置而不要埋怨ISA。 ??????????????????????????????????? 2.只允許你想要允許的客戶、源地址、目的地和協議。仔細的檢查你的每一條規則,看規則的元素是否和你所需要的一致,盡量避免使用拒絕規則。 ?????????????????????????????????? 3.針對相同用戶或含有相同用戶子集的訪問規則,拒絕的規則一定要放在允許的規則前面。 ?????????????????????????????????? 4.當需要使用拒絕時,顯示拒絕是首要考慮的方式。 ?????????????????????????????????? 5.在不影響防火墻策略執行效果的情況下,請將匹配度更高的規則放在前面。 ?????????????????????????????????? 6.在不影響防火墻策略執行效果的情況下,請將針對所有用戶的規則放在前面。 ?????????????????????????????????? 7.盡量簡化你的規則,執行一條規則的效率永遠比執行兩條規則的效率高。 ?????????????????????????????????? 8.永遠不要在商業網絡中使用Allow 4 ALL規則(Allow all users use all protocols from all networks to all networks),這樣只是讓你的ISA形同虛設。 ??? 9.如果可以通過配置系統策略來實現,就沒有必要再建立自定義規則。 ???????????????????????????????? 10.ISA的每條訪問規則都是獨立的,執行每條訪問規則時不會受到其他訪問規則的影響。 ???????????????????????????????? 11.永遠也不要允許任何網絡訪問ISA本機的所有協議。內部網絡也是不可信的。 ??????????????????????????????? 12.SNat客戶不能提交身份驗證信息。所以,當你使用了身份驗證時,請配置客戶為Web代理客戶或防火墻客戶。 ?????????????????????????????? 13.無論作為訪問規則中的目的還是源,最好使用IP地址。 ????????????????????????????? 14.如果你一定要在訪問規則中使用域名集或URL集,最好將客戶配置為Web代理客戶。 ???????????????????????????? 15.請不要忘了,防火墻策略的最后還有一條DENY 4 ALL。 ??????????????????????????? 16.最后,請記住,防火墻策略的測試是必需的

轉載于:https://blog.51cto.com/yejunsheng/161322

總結

以上是生活随笔為你收集整理的深入理解及配置ISA Server 2006访问规则的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。