ISA配置协议规则（3）

　　 
　　ISA配置协议规则
　　 4.3.8　练习： 把协议规则分配给用户账户

　　 在开始做该练习前，先创建一个名称为user1的域用户账户。注意不要给这个账户任何额外的权限。另外，假定已经创建了一个名称为AllowIP的协议规则(和第3章3.1相同)，该规则允许所有的客户端在任何时候都可以使用所有的IP通信。检验Server2的Inte.net Explorer 浏览器中的代理设置是否对所有用户都是正确配置的。

　　 本练习中，Web会话默认为匿名方式。也就是说，阵列的默认属性没有修改，不要求身份验证，并且允许类型规则也都配置为不要求身份验证。在这种情况下，用户通过Web浏览器和Internet进行连接，不受Windows 2000用户账号的拒绝类型规则的影响。先将ISA Server 配置为传递账号信息和所有的客户端Web会话，再创建一个拒绝某个特定用户对Internet的访问协议规则。最后，以该用户的身份登录，来观察新协议规则的效果。

　　 练习1：在ISA Management中侦听会话
　　　　 本练习复习ISA Management中的Web代理客户端会话信息。

　　 Ø　　　　　在ISA Management中侦听客户端Web会话

　　 1.　　在Server1中，打开ISA Management控制台。

　　 2.　　单击View菜单，然后单击Advanced。

　　 3.　　在控制台树上，展开Monitoring节点，然后选择Sessions文件夹。

　　 4.　　如果详细资料窗格中列出了会话，右击它们，然后选择Abort Session来关闭会话。

　　 5.　　在Server2中，以user1的身份登录到Domain01，打开Internet Explorer，然后浏览http：//www.msn.com。

　　 6.　　MSN(微软提供的网络在线服务)Web站点处于下载状态时，切换到Server1。

　　 7.　　在Server1中，ISA Management控制台中的Sessions文件夹仍然处于打开状态时，右击详细信息窗格，然后单击Refresh。

　　 将看到一个新Web Session会话类型，用户为匿名，没有客户机名，IP地址为192.168.0.2 (Server2的地址)。

　　 Web会话默认为匿名方式。这样，为特定用户所定义的任何拒绝类型规则都不会影响Web会话。如要求Web会话的用户提供身份验证，可以创建一个要求身份验证的允许类型规则，或者是修改阵列属性，要求传出Web请求提供用户身份验证。

　　 练习2：要求身份验证的Web会话
　　 在本练习中，停止匿名Web访问，并且要求通过Web浏览器访问Internet的用户提供身份验证。这样就可以对特定的Windows 2000用户和组进行访问策略规则配置，影响所有的客户端Web会话。

　　 Ø　　　　　提供Web会话的账户信息

　　 1.　　在Server1中，打开ISA Management控制台，然后在控制台树上找到MyArray。

　　 2.　　右击MyArray节点，选择Properties。

　　　　　 出现MyArray Properties对话框。

　　 3.　　选择Outgoing Web Requests选项卡。

　　 4.　　在Connections区，选择Ask Unauthenticated Users For Identification复选框。

　　 5.　　确认选定了Resolve Requests Within Array Before Routing复选框。

　　 6.　　单击OK ，出现一个ISA Server Warning对话框。

　　 7.　　选择Save The Changes But Don't Restart The Service(s)单选按钮，然后单击OK。

　　 8.　　在ISA Management中先停止并重新启动防火墙和Web代理服务。

　　 9.　　在Server2计算机中，以user1身份登录，打开Web浏览器，并浏览http：//www.msn.com。

　　 10.　当这一页仍在下载时，切换到Server1，在ISA Management控制台树上选择Sessions文件夹，右击详细信息窗格，选择Refresh。

　　 详细信息窗格中将列出一个新Web会话，用户名为域名\user1，客户端地址为192.168.0.2。

　　 现在已经配置了将要通过Web浏览器的账户信息，可以将ISA Server 规则应用到通过Web浏览器访问Internet的Windows 2000用户中。

　　 练习3：将协议规则分配给某个Windows 2000用户
　　 在本练习中，配置一个ISA Server规则，阻止某个特定的Windows 2000用户访问Internet。

　　 Ø　　　　　将协议规则分配给某个Windows 2000用户

　　 1.　　在Server1中，打开ISA Management控制台，依次找到MyArray 、Aclearcase/" target="_blank" >ccess Policy、ProtocoRules。

　　 2.　　右击ProtocoRules文件夹，指向New，然后单击Rule。

　　 出现New ProtocoRule Wizard。

　　 3.　　在ProtocoRule Name文本框中，输入DenyUser1。

　　 4.　　单击Next。

　　 5.　　在Rule Action屏幕中，选择Deny，然后单击Next。

　　 6.　　在Protocols屏幕中，把AlIP Traffic设置为默认状态，然后单击Next。

　　 7.　　在Schedule屏幕中，把Always设置为默认状态，然后单击Next。

　　 8.　　在Client Type屏幕中，选择Specific Users And Groups单选按钮，然后单击Next。

　　 9.　　在Users And Groups屏幕中，单击Add。

　　 出现Select Users Or Groups窗口。

　　 10.　在顶部的窗格中，选择user1，单击Add，然后单击OK。

　　 出现Users And Groups屏幕， DOMAIN01\user1列在了Account框中。

　　 11.　单击Next。

　　 出现Completing The New ProtocoRule Wizard屏幕。

　　 12.　单击Finish。

　　 出现ISA Management控制台。

　　 DenyUser1作为一个协议规则列在ProtocoRules文件夹的详细信息窗格中。

　　 13.　在控制台树上，选择Monitoring节点的Services文件夹，然后重新启动Web代理和防火墙服务。

　　 14.　切换到Server2。以user1身份登录，然后打开Internet Explorer浏览器。如果已经打开了一个浏览器，那么刷新该浏览器视窗。

　　 出现Enter Network Password对话框。因为DenyUser1协议规则已经停止了user1与Web会话有关的账户。如果以user1身份登录后仍想浏览Web，那么必须使用另外一个Windows 2000账户的用户名和密码，且该账户不受ISA Server 规则阻塞。

　　 15.　单击Cance。

　　 4.3.9　小结
　　 通过创建协议规则，可以允许或拒绝使用某些协议或协议集的客户端通过ISA Server。协议规则、站点和内容规则和IP数据包筛选器一起组成了ISA Server 的访问策略。

　　 无论什么时候，客户端向防火墙另一端的对象发出请求时，ISA Server 都会首先检测协议规则。如果没有协议规则允许该客户端使用该请求所要求的特定协议来进行通信，或者另有协议规则明确地拒绝使用该协议，那么这个请求将被拒绝。

　　 可供参考的协议规则有ISA Server中预先配置的协议规则列表。该表中的协议都是连网和Internet服务经常用到的。同时，也可以在协议规则中额外配置一些自己所需要的协议。（小节完）

原文转自：http://www.ltesting.net