如何用ISA Server创建访问策略（2）

　　 
　　如何用ISA Server创建访问策略
　　 4.1.2　规则和身份验证

　　 通过配置协议规则以及站点和内容规则来准许或拒绝特定用户对指定协议、Internet站点、或者内容的访问。规则配置好后并将其激活，每一个客户端请求都要先通过ISA Server的身份验证。然后，才能允许通过ISA Server的防火墙。对于安全网络地址转换客户端、防火墙客户端、以及Web代理客户端，ISA Server处理身份验证的方法也有区别。


　　 注意　特定客户机规则和特定用户和组的策略规则不同，它是针对安全网络地址转换客户端、防火墙客户端、以及Web代理客户端而实施的。它是为客户端地址集配置的规则。客户端地址集根据IP地址范围而不是由计算机名来定义。所有的客户端类型都提供客户端机的IP地址，它们提供的信息对于成功地执行该规则很必要。


　　 4.1.2.1 安全网络地址转换客户端与身份验证
　　 安全网络地址转换客户端请求包括所有非Web的Internet请求，且这些请求都来自于那些没有安装FirewalClient的客户端。例如，当做出邮件和新闻请求的客户端计算机的防火墙客户端软件没有激活时，这些请求就被当做安全网络地址转换会话处理。

　　 安全网络地址转换客户端提出请求时，不需要向ISA Server提供用户名或计算机名等信息。因此，访问策略规则要求身份验证时，ISA Server会拒绝让安全网络地址转换客户端的请求通过。

　　 例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许域用户(Domain Users)组的成员能够在任意时候访问所有的协议和所有的站点。当用户John以安全网络地址转换客户端身份向ISA Server提出邮件请求时，尽管他是Domain Users组的一个成员，但他的请求还是会被拒绝。安全网络地址转换请求不能提供身份证明，而访问策略规则又要求身份验证。所以，所有的安全网络地址转换请求都会被无条件地拒绝。在这种访问策略下，John的非Web的Internet请求要得到准许，他必须在发出访问请求的计算机上安装防火墙客户端软件并激活它，同时他还必须是Domain Users的成员。

　　 4.1.2.2 防火墙客户端与身份验证
　　 防火墙客户端向ISA Server提出请求时，会提供用户名和计算机名等信息。因此，在FirewalClient会话中可以实施要求身份验证的访问策略规则。而且，来自Firewall客户端的非Web请求也不会被无条件地拒绝。如安全网络地址转换客户端所遇到的那种情况。

　　 例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许Domain Users组的用户在任意时候访问所有的协议和所有的站点。那么当(且仅当)John是该组的一个成员时，他的邮件请求才会被允许通过ISA Server的防火墙。同样，如果另有协议规则拒绝John的访问，那么他从Firewall客户端上所发的非Web请求将会被拒绝。

　　 4.1.2.3 Web代理客户端与身份验证
　　 Web代理客户端请求默认情况下设置为匿名请求。但是，在两种情况下Web代理客户端必须提供身份标识。出现下述任一情况，Web代理客户端会话要执行为特定用户或组所配置的规则：

　　 默认ISA Server属性已经被修改，传出请求要求身份验证

　　 访问策略包含一个为特定用户或组所配置的允许类型规则(不论是协议规则还是站点和内容规则)

　　 任何为特定用户或组配置的允许类型规则都会提示Web代理客户端产生一个用户已经通过验证的会话。访问策略包含为特定用户或组定义的拒绝类型规则时，Web代理客户端会忽略该规则，除非另有允许类型的规则要求身份验证。

　　 例如，假设您没有修改传出Web请求的属性，而且您的访问策略包含以下规则：

　　 允许访问所有协议的协议规则，不管什么时候什么请求

　　 拒绝用户John访问任何协议的协议规则

　　 允许访问所有目的的站点和内容规则，不管什么时候什么请求

　　 在这种情况下，John的Web请求就不会被拒绝，因为没有要求Web代理客户端提供用户标识的允许类型规则。但是，如果您给这个策略添加过允许类型的协议规则或者站点和内容规则，并且该规则允许域用户组的所有成员有完全的访问权限，那么用户John的所有Web请求都会被拒绝。

　　 Ø　　　　　按如下步骤，要求所有的Web请求都提供身份验证：

　　 1.　　在ISA Management管理控制台树上，右击现行阵列，然后单击Properties。

　　 2.　　在Incoming Web Requests选项卡或Outgoing Web Requests选项卡中，选中Ask Unauthenticated Users For Identification复选框。


　　 注意　重启Web代理服务器，否则该变化不会生效。


　　 4.1.3　ISA Server系统安全(系统强化)
　　 ISA Server包含有ISA Server Security Configuration向导。该向导能够为阵列中所有服务器配置全方位的系统安全设置。它允许选择以下任一种安全级别：

　　 专用　ISA Server作为完全专用的防火墙，没有其他的交互式应用程序时，适合用该设置。

　　 限制服务　ISA Server作为防火墙和高速缓冲存储器集成服务器，适合用该设置。它可能由另外的防火墙来保护。

　　 安全　ISA Server 计算机上安装有其他的服务器，例如IIS服务器、数据库服务器、或者SMTP服务器时，适合用该设置。

　　 在ISA Management中，选择Computers文件夹并启动ISA Server Security Configuration Wizard。在详细资料窗格中，右击想要配置的服务器的图标，并且从快捷菜单中选择Secure。这个过程如图4.2所示。

　　 Ø　　　　　按如下步骤设置系统安全：

　　 1.　　在ISA Management控制台树上，单击Computers。

　　 2.　　在详细信息窗格中，右击现行计算机，然后单击Secure。

　　 3.　　在ISA Server Security Configuration Wizard屏幕中，按照屏幕指示操作。

　　 4.1.4　Getting Started向导
　　 ISA Server包括一个Getting Started向导，它一步一步教您如何创建为局域网定制的访问策略，如图4.3所示。完成各步操作之后，就能配置通过ISA Server与Internet相连的安全的链接了。

　　 开始向导帮助您完成以下任务：

　　 配置企业策略设置(仅供阵列安装)

　　 创建企业级策略单元 (仅供阵列安装)

　　 创建企业级协议规则 (仅供阵列安装)

　　 创建企业级站点和内容规则(仅供阵列安装)

　　 创建阵列级策略单元

　　 创建阵列级协议规则

　　 创建阵列级站点和内容规则

　　 设置系统安全级别

　　 配置数据包筛选功能

　　 配置路由和链接

　　 创建缓存策略

　　 安装之后，您可在任何时候调用Getting Started向导。

　　 Ø　　　　　按如下步骤启动开始向导：

　　 1.　　在ISA Management中，从View菜单中选择Taskpad。

　　 2.　　在控制台树上，选择Internet Security And Aclearcase/" target="_blank" >cceleration Server节点。

　　 3.　　在详细信息窗格中，单击Getting Started Wizard图标。

　　 4.　　按照详细信息窗格中的指示操作。

　　 4.1.5　小结
　　 ISA Server可以用来配置访问策略。访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。请求得到允许的条件是：协议规则以及站点和内容规则都允许该请求，同时没有一个规则明确地拒绝该请求。

　　 安全网络地址转换客户端不提供用户标识。规则要求身份验证时，安全网络地址转换客户端请求会被无条件地拒绝。Firewall客户端提供用户标识，所以组成员身份以及用户权限等因素会影响传出访问。Web代理客户端发出内容请求时，身份验证信息不会传送给ISA Server，除非ISA Server要求身份验证，或者是存在要求身份验证的允许类型策略规则。

　　 ISA Server包含有ISA Server Security Configuration向导。为了加强系统的安全性，可以把向导应用到阵列中所有的服务器上，用来配置全方位的系统安全设置。最后，为了使安全和访问策略配置易于操作，Getting Started向导帮助您完成如何定义适合自己网络的访问策略。（小节完）

原文转自：http://www.ltesting.net