ISA创建自定义的策略单元（2）

　　 
　　ISA创建自定义的策略单元
　　 4.2.3　配置目的集

　　 目的集就是计算机名称、IP地址、域名、或者IP范围。它们每一项都能包含路径。目的集包括一台或多台计算机，或者是特定计算机上的文件夹。规则能够应用到所有的目的集中，或者是除了指定目的集以外的所有计算机中，或者是某一个特定的目的集中。当定义一个目的集时，可以根据域名或者IP地址范围来指定一个给定的目的。也可以用通配符来指定选定域的所有主机名。例如，要指定域microsoft.com中的所有计算机，可以将*.microsoft.com作为目的输入。需要说明的是，通配符 (*) 只能出现在域名的开头，并且在该域名中只能使用一次。图4.5所示为目的集定义的一个例子。同样，可以在目的集中指定一个特定的路径来允许或防止客户端访问该路径。路径也可以包含通配符。

　　 指定目的时，可以使用以下格式。计算机名、路径、以及文件名等不区分大小写。下式将所有文件都包含在一个文件夹中：/Path/Folder_Name/*。在文件夹中选择某一特定文件：Folder_Name/Filename。规则能够应用到内部目的集或外部目的集。内部目的集就是局域网内部的计算机组，而外部目的集包括局域网以外的计算机。

　　 以下规则可以用来规定目的集：

　　 站点和内容规则

　　 带宽规则

　　 Web 发布规则

　　 路由规则

　　 对于站点和内容规则以及带宽规则而言，目的集通常包括那些不在内部局域网上的计算机。对于Web发布规则而言，目的集通常包括位于内部局域网上的计算机。对于路由规则而言，那些路由传出Web请求的规则，它们的目的集包括外部计算机(位于Internet上)，而那些路由传入Web请求的路由规则则包括内部计算机。


　　 4.2.5　客户端用户和组
　　 在Microsoft Windows 2000中所定义的用户和组，到了ISA Server中就被当做客户端类型处理。创建规则时，可以指定该规则应用于内部客户端。客户端既可以由Windows 2000用户和组来指定，也可以由客户端地址集来指定。它们都是通过IP地址来定义客户端的。

　　 配置应用于安全网络地址转换客户端的规则时，必须根据客户端地址集而不是根据用户和组来指定客户端。否则，规则将不能执行，而且安全网络地址转换客户端请求将被拒绝。配置应用于Firewall客户端的规则时，可以根据客户端地址集或者根据用户和组来指定客户端。Windows 2000用户和组是在Windows 2000 Computer Management控制台以及Active Directory Users And Computers控制台中配置的。

　　 4.2.6　配置协议定义
　　 ISA Server包含有大量的预先配置的协议定义，创建协议规则或服务器发布规则时可以使用它们。服务器发布规则使用协议定义，这些定义的方向是入站的。应用程序筛选器也可能包含协议定义。安装ISA Server时就可以包括协议定义，也可在之后单独安装。还可以通过使用ISA Management创建自己的协议定义来进一步扩充协议定义集。

　　 自定义的协议定义能够编辑或删除。与应用程序筛选器一起安装的协议定义可以删除，但不能修改。包含在ISA Server中的协议定义不能修改，也不能删除。当创建一个协议定义时，必须要指定以下几项：

　　 端口号　这是一个数值在1与65525之间的端口号，用在初始的链接中。

　　 低层协议　要么是TCP协议，要么是UDP协议。

　　 方向　可能是Send only、Receive only、Send receive、以及Receive send。

　　 辅助连接　(可选项) 这是针对在初始链接之后的附加链接或者数据包所使用的端口号范围、协议、以及方向。可以配置一个或者多个辅助连接。

　　 方向
　　 创建协议定义时，可以配置通信流的方向。指定通信方向将决定数据包如何通信。对于TCP协议而言，这个方向决定了最初的通信方向。对于UDP协议而言，这个方向决定了通信的流程。例如，可以配置一个协议规则，使得内部客户端在端口80上通过指定方向为“发送”，来开始一个TCP通信。与该客户端通信的服务器能够对客户端的请求作出反应，但却不能首先开始通信。

　　 Ø　　　　　按如下步骤创建协议定义：

　　 1.　　在ISA Management控制台树上，右击ProtocoDefinitions，指向New，然后单击Definition。

　　 2.　　在New ProtocoDefinition向导中，输入该协议定义的名称，然后单击Next。

　　 3.　　在Primary Connection Information页中，指定端口数，协议类型，以及主链接的方向，然后单击Next。

　　 图4.7所示为Primary Connection Information页。

　　 4.　　在Secondary Connections页中，指定该协议定义是否包含辅助连接。如果选择了配置一个辅助连接，就要指定端口范围，协议类型，以及辅助连接的方向等。

　　 5.　　单击Next，然后单击Finish结束向导。

原文转自：http://www.ltesting.net