如何用ISA Server创建访问策略（1）

　　 
　　如何用ISA Server创建访问策略
   　4.1　用ISA Server创建访问策略

　　 ISA Server的一个主要功能就是将局域网连接到Internet中，并保护局域网免受外部信源的恶性内容的破坏。要定义适合自己网络的安全链接，可以用ISA Server来创建允许内部用户访问特定的Internet主机的访问策略。用户访问Internet的方式则由访问策略和路由规则一起决定。

　　 本节学习目标
　　 描述ISA Server如何处理传出请求

　　 说明ISA Server处理来自防火墙的通过身份验证的用户和Web代理客户的请求所需要的　条件。

　　 选择ISA Server的系统安全级别

　　 估计学习时间：30 分钟

　　 4.1.1　控制传出请求
　　　　 ISA Server处理一个传出请求时，首先检测路由规则、站点和内容规则以及协议规则，以确定该访问是否得到规则许可。只有协议规则以及站点和内容规则都许可，同时没有一个规则明确地拒绝该请求时，它才能允许传出。ISA Server安装成防火墙模式或集成模式时，会激活一个预定义的站点和内容规则，允许对所有站点以及所有内容进行访问。但是，协议规则没有设置为默认状态的。

　　　　 协议规则以及站点和内容规则可用于源客户地址集(IP地址范围)或者是请求某一对象的特定的用户或组。根据客户端类型安全网络地址转换客户端、防火墙客户端、以及Web代理客户端)和ISA Server配置的不同，ISA Server处理请求的方法也不相同。

　　　　 对于一个传出请求，规则和数据包筛选器按如下次序处理：

　　 1.　　协议规则

　　 2.　　站点和内容规则

　　 3.　　IP数据包筛选器

　　 4.　　路由规则或防火墙链式配置

　　 图4.1所示为传出Web请求的处理流程图解。

　　　　 ISA Server在检测其他规则或数据包筛选器之前，先检测协议规则。ISA Server允许请求的条件是：有一个协议规则明确地允许该请求，同时没有其他的协议规则明确地拒绝该请求。

　　 检测完协议规则之后，ISA Server开始检测站点和内容规则。ISA Server允许该请求的条件是：有一个站点和内容规则明确地允许该请求，同时没有其他的站点和内容规则明确地拒绝该请求。

　　 检测完站点和内容规则之后，ISA Server通过检测判断是否是特定配置了IP数据包筛选器来阻塞该请求。需要说明的是，IP数据包筛选器和协议规则以及站点和内容规则不同，它并不一定要特定配置来允许客户机的请求。


　　 要点　就Internet访问，ISA Server计算机和客户端的行为有很大的区别。来自ISA Server计算机的请求，IP数据包筛选器允许其有完全的Internet访问权限。和ISA Server客户端不同的是，ISA Server计算机一旦配置了允许类型的协议规则以及站点和内容规则，就不再具备完全的Internet访问权限。不过， IP数据包筛选器是静态的，规则是动态的，所以一般情况下不应经常使用ISA Server计算机作Internet访问。因此，对于位于ISA Server之后的客户端，本书将重点介绍如何配置安全的Internet访问(关于配置IP数据包筛选器详见本章4.5节)。

　　 最后，ISA Server通过检测路由规则(如果是Web代理客户向对象提出请求)或者FirewalChaining(防火墙链式)配置(如果是安全网络地址转换客户或防火墙客户向对象提出请求)，来决定如何为请求提供服务。

　　 例如，假设您是以集成模式或防火墙模式安装了ISA Server。您的计算机上有两个网卡，其中一个网卡与Internet相连，另一个与局域网相连。您公司允许所有的用户访问所有的站点。在这种情况下，您的策略应该包含以下访问策略规则：

　　 协议规则　允许所有的内部客户能在任意时候使用任一种协议。

　　 站点和内容规则　允许每个人能在任意时候访问任意站点上的内容。需要说明的是，该规则允许内部客户对Internet的访问，但不允许外部客户访问局域网。

　　 4.1.1.1 配置访问策略
　　 ISA Server中配置的访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。对于独立的服务器应创建独立的访问策略。对于阵列服务器，可以创建阵列级的访问策略、企业级的访问策略，或者将这二者结合起来。

　　 访问策略规则适用于所有的客户端类型：防火墙客户端、安全网络地址转换客户端和Web代理客户端。

原文转自：http://www.ltesting.net