ISA应用企业策略
7.1 应用企业策略
ISA Server的企业策略是在一个组织的总部级别进行配置的,而且可以应用到所有阵列或任一阵列中。阵列策略是在分支级别进行配置,而且可以继承企业策略。对任何给定的阵列来说,ISA Server允许应用企业策略、阵列策略或者同时应用两者。
本节学习目标
在ISA Server中配置企业策略
把企业策略应用到阵列上
创建由阵列继承的默认企业策略
估计学习时间:40分钟
7.1.1 企业策略和阵列
企业策略由企业管理员配置并应用到ISA Server阵列。对任何给定的ISA Server阵列,企业策略决定了是否包含阵列策略,如果包含的话,还应决定包含哪一种规则。
7.1.1.1 如何应用企业策略
在企业已经初始化之后再安装ISA Server时,会让您选择把ISA Server作为阵列成员进行安装。如果要加入到一个已有阵列,则继承已有的企业策略。如果要创建一个新阵列,ISA Server Setup会在网络上搜索企业策略以应用到新阵列中。如果以Enterprise Admins(企业管理)组成员的身份登录,可以选择新阵列是采用默认的企业策略配置、继承已有的企业配置、继承新企业策略配置、还是忽略企业策略而只采用阵列策略。如果您不是Enterprise Admins组成员,新安装的ISA Server会自动继承企业管理员为网络所配置的默认企业策略。
注意 如果一个已有的阵列已配置为只使用阵列策略(不使用企业策略),不能把阵列策略修改为使用企业策略。同样,如果一个已有的阵列使用了企业策略,不能把阵列策略修改为忽略企业策略而只用阵列策略。
7.1.1.2 创建企业策略
企业策略包括站点和内容规则及协议规则。企业策略可以用于任何可用的阵列,而且可以由阵列的策略进一步进行限制。可以在企业级创建策略单元。策略单元可以由企业级规则或阵列级规则使用。
尽管默认情况下只有Enterprise Admins组的成员才能进行企业策略的配置,但是可以把每一个企业策略的属性修改为允许其他用户有改变策略的特权。换句话说,企业管理员可以授权给任何用户或用户组修改任何特定的企业策略。
Ø 按如下步骤创建企业策略:
1. 在ISA Management控制台树上,展开Enterprise节点
2. 右击Policies节点,指向New, 然后单击Policy。
3. 在New Enterprise Policy向导中, 按屏幕上的指示进行操作。
Ø 按如下步骤配置阵列的企业策略:
1. 在ISA Management控制台树上, 右击现行阵列, 然后单击Properties。
2. 在Policies属性页上, 单击Use Custom Enterprise Policy Settings 单选按钮。
3. 单击Use This Enterprise Policy 单选按钮, 然后单击一个企业策略,把它应用到阵 列中。
创建或配置企业策略之前,应该清楚以下几点:
为了创建企业策略,必须以Enterprise Admins组成员身份登录。
只有把ISA Server作为阵列成员进行安装,或者是管理一个企业时,才能创建一个新企业策略。
7.1.2 为企业配置策略设置
企业策略设置是指影响企业策略如何应用于阵列级的继承属性。企业管理员可以通过右击ISA Management中的Enterprise节点并选择Set Defaults,来修改这些设置。当企业管理员安装了一个阵列或修改了一个阵列的属性时,也可重新配置。
图 7.1所示是Set Defaults对话框中可用的企业策略设置。该对话框在ISA Management中的Enterprise节点打开。对话框中配置的默认企业策略设置可以应用于所有的阵列,除非企业管理员为某特定阵列配置了属性。
图 7.2所示是通过选择一个阵列属性并单击Policies属性页,显示可用的企业策略设置。选择了Use Default Enterprise Policy Settings单选按钮时,在Set Defaults对话框中配置的设置会应用到所选的阵列中。选择了Use Custom Enterprise Policy Settings单选按钮时,新配置的设置将会覆盖默认的企业设置。如果有企业管理员权限,只可以修改一个阵列的企业策略设置。如果安装ISA Server或者创建一个阵列,而没有企业管理员权限的话,默认的企业策略将会应用到新的阵列中。
企业策略设置包括:
Enterprise policy only 选择Use This Enterprise Policy 单选按钮并选择特定的策略可配置此设置.在这种情况下,企业级的管理员规定只可以采用已选中的企业策略。在阵列级不能添加新协议规则或站点和内容规则。
Combined enterprise and array policy 同时选择Allow Array-LeveAclearcase/" target="_blank" >ccess Policy Rules That Restrict Enterprise Policy 复选框和Use This Enterprise Policy 单选按钮可配置此设置。配置了该设置后,就可以允许阵列级的站点和内容规则及协议规则。但是,这些阵列级的规则只能包括拒绝类型规则。就是说,为阵列而配置的协议规则或站点和内容规则只能只能对企业级规则添加附属的限制。
Array policy only 选择Use Array Policy Only单选按钮可配置此设置。在这种情况下,没有任何企业策略应用于此阵列。阵列管理员可以创建任何规则来允许或拒绝访问。阵列使用这种方式进行配置的时候,以后不能配置为使用企业策略。
注意 在图 7.2中的Use Array Policy Only 单选按钮是不可用的。
Allow publishing rules 选择Allow Publishing Rules复选框可配置此设置。该设置控制是否可以在阵列中创建发布规则。需要注意的是,发布规则自身不能在企业级创建。
Force packet filtering on the array 选择Force Packet Filtering On The Array复选框可配置此设置。该设置决定对于一个阵列,数据包筛选是应该强制使用还是根据阵列级管理员的决定使其可用。需要注意的是,IP数据包筛选器本身既不能在企业级创建,也不能受企业设置禁止。
如果企业中的阵列当前没有使用企业设置,就可以修改默认的企业设置。如果一个阵列正在使用默认的设置,企业管理组的成员可以通过选择阵列属性Policy属性页中的Use Custom Enterprise Policy Settings单选按钮,来修改此阵列所激活的企业设置。这就允许企业管理员决定一个特定的阵列是忽略所有的企业设置,或者继承特定的企业策略,还是继承在阵列级进一步加以限制的企业 策略。
Ø 按如下步骤以配置默认的企业策略设置:
1. 在ISA Management控制台树上,右击Enterprise节点。
2. 单击Set Defaults。
3. 在Set Defaults对话框中,单击下列选项之一:
u Use Array Policy Only (如果只有阵列策略应该应用到该阵列)
u Use This Enterprise Policy (如果企业策略应该应用到该站点)
4. 如果选择了Use This Enterprise Policy单选按钮,操作下列两步或其中之一:
u 从下拉列表框中, 选择将要应用到该阵列上的企业策略。
u (可选项)为了允许阵列级的策略规则来限制所选的企业规则,单击Allow Array-leveAccess Policy Rules That Restrict Enterprise Policy复选框。
在配置默认企业策略设置之前,应该清楚以下几点:
在属于阵列的计算机上管理ISA Server时,只能应用企业策略。
如果将企业设置配置为只能使用阵列策略,随后不能把设置修改为应用企业策略。
警告 企业策略应用于阵列时,以前定义的所有阵列级的站点和内容规则以及协议规则都会被删除。