使用ISA控制安全的Internet访问（上）

领测软件测试网

　　 
　　简介
　　Microsoft Internet Security and Acceleration (ISA) Server 2004 为网络客户端对 Internet 的访问提供了精确的控制。借助 ISA Server 的多网络功能，您可以将这种控制应用于任何客户端，只要该客户端所在的网络的 Internet 网关为 ISA Server。

　　
　　多网络
　　可以将多个网络连接到一个 ISA Server 计算机，从而控制这些网络间的访问。这样就可以控制任何网络的 Internet 访问，只要由 ISA Server 计算机来充当 Internet 网关。
　　
　　访问规则
　　访问规则决定源网络的客户端对目标网络的资源的访问方式。
　　
　　可以将访问规则应用于所有 Internet 协议流量，也可以仅应用于一组特定的协议定义，或者应用于除选定协议之外的所有其他 IP 流量。
　　
　　ISA Server 中包含一系列预先配置好的常用协议定义，其中包括最常用的 Internet 协议。用户也可以添加或修改协议。
　　
　　当一个客户端使用某种特定协议请求一个对象时，ISA Server 会检查访问规则。仅当一个访问规则允许客户端使用特定的协议进行通讯，并允许对请求的对象进行访问时，请求才会被处理。
　　
　　对 Internet 访问的控制主要取决于访问规则的定义和顺序。另外一个因素是配置 Web 代理属性，以要求对 Internet 请求进行身份验证，请参考附录 C：配置 HTTP 策略。
　　
　　技巧
　　对 Internet 访问的控制只取决于两个因素：
　　
　　按顺序排列的访问规则
　　Web 代理属性
　　下表列出了所有可能的访问规则设计选择。该表按照访问规则属性页面中属性的位置进行组织。想要查看访问规则属性页面，请在“防火墙策略”详细信息窗格中双击一个访问规则（例如：默认规则）。
　　
　　注意
　　该表中提到的规则元素在本文档的“规则元素”部分有所描述。
　　
　　选项卡　　 属性　　 备注　　　　相关规则元素
　　常规　　　名称　　　规则名称。　　 无
　　
　　常规　　　描述　　 规则描述。　　 无
　　
　　常规　　　启用　　如果选中，则规则生效。 无
　　
　　操作　 允许/拒绝　允许或禁止与规则元素相匹配的请求访问 Internet？ 无
　　
　　操作　重定向 HTTP 请求到该页面　可选，当 Internet 访问请求被拒绝时，显示一个解释页面。 无
　　
　　操作　 记录匹配该规则的请求　是否希望 ISA Server 为与规则相匹配的请求记录日志。 无
　　
　　协议　所有出站 IP 流量 所选协议（从列表中选择） 所有出站协议，所选协议除外
　　（从列表中选择）
　　访问规则可以应用于所有协议、指定协议、或除指定协议之外的所有协议。该页面还通过筛选按钮提供对 HTTP 配置属性的访问。更多信息，请参考附录 C：配置 HTTP 策略。
　　协议
　　
　　从　应用于来自这些源的流量　发出请求的网络对象。 网络对象
　　
　　从　例外　规则不会应用于从这些网络对象发出的流量。 网络对象
　　
　　到　应用于发送到这些目标的流量　客户端请求的网络对象。如果希望访问 Internet，应该选择“外部”网络。
　　网络对象
　　
　　到 例外　规则不会应用于发送至这些网络对象的流量。 网络对象
　　
　　用户 应用于来自以下用户集的请求
　　指定对其应用规则的用户。如果指定特定的用户，而不是使用“所有用户”的默认设置，与规则相匹配的用户需要进行验证。
　　用户
　　
　　用户　例外 指定不对其应用规则的用户。 用户
　　
　　计划　计划　选择规则应用的时间。 计划
　　
　　内容类型　应用于：所有内容类型
　　
　　所选内容类型
　　对于“所选内容类型”这种情况，规则仅应用于响应中包含指定内容类型的 HTTP 请求。
　　内容类型
　　
　　规则元素
　　ISA Server 规则元素是一种用于改进 ISA 规则的对象。例如，一个子网规则元素代表网络中的一个子网。既可以创建仅应用于一个子网的规则，也可以创建应用于除指定子网之外整个网络的规则。
　　
　　用户集是规则元素的另外一个例子，它代表一组用户。通过创建用户集并在 ISA Server 规则中使用它们，您可以创建出仅应用于指定用户集的规则。
　　
　　想要查看哪些规则元素可用，请展开 ISA Server 计算机节点，单击防火墙策略，然后选择工具箱选项卡。其中包括五种类型的规则元素：
　　
　　协议。这种规则元素类型包括各种协议，用于限制访问规则的适用性。例如，除了同等对待所有协议之外，还可以允许或禁止一或多种协议。
　　用户。在这种规则类型中，可以创建将要应用规则的用户集，或者不应用规则的用户集。
　　内容类型。这种规则元素类型用于指定想要应用规则的常用内容类型。也可以定义新的内容类型。
　　计划。这种规则元素允许用户指定在每一周中规则所应用的时间。
　　网络对象。这种规则元素允许用户创建一组计算机或者 URL，从而可以对它们应用或者不应用规则。更多信息，请参考网络对象。
　　本文档介绍的 Internet 访问解决方案将用到以下规则元素：
　　
　　网络对象，包括 URL 集、计算机集和子网
　　用户和用户集
　　内容类型
　　计划
　　
　　网络对象
　　网络对象规则元素提供了代表计算机和 URL 的多种方式。
　　
　　网络
　　网络规则元素代表一个网络，即连接至一个 ISA Server 计算机网络适配器的所有计算机（直接连接，或者通过一个或多个路由器进行连接）。可以通过 ISA Server Management 的网络节点定义网络。
　　
　　网络集
　　网络集规则元素代表由一个或多个网络组成的网络组。可以通过该规则元素对多个网络应用规则。例如，在安装 ISA Server 的时候会创建一个“所有网络”集。
　　
　　计算机
　　计算机规则元素代表一台计算机，由它的 IP 地址来标识。
　　
　　计算机集
　　计算机集规则元素是包含一个或多个计算机规则元素的集合。
　　
　　地址范围
　　地址范围规则元素代表一组具有连续 IP 地址的计算机。
　　
　　子网
　　子网规则元素代表网络中的一个子网，由网络地址和掩码标识。
　　
　　URL 集
　　URL 集规则元素代表一组 URL，例如 http://www.adatum.com 或 http://www.fabrikam.com/tools/*。
　　
　　域名集
　　域名集规则元素代表一个包含一个或多个域名的集合，格式类似 www.fabrikam.com。
　　
　　Web 侦听器
　　Web 侦听器规则元素是一个 IP 地址，ISA Server 计算机在这里侦听 Web 请求。这个规则元素用于 Web 发布，不用于控制 Internet 访问的访问规则。
　　
　　Web 代理属性
　　可以为任何由 ISA Server 计算机提供 Internet 访问的网络配置 Web 代理属性。作为 Web 代理属性的组成部分，可以对 Web 客户端要求身份验证。关于 Web 代理属性的设置，请参考附录 D：配置 Web 代理属性。
　　
　　Web 链接
　　访问规则决定允许什么样的访问。Web 链接决定访问如何进行，尤其是在 ISA Server 计算机和公司 Internet 网关之间存在其他 Web 代理计算机的情况下。 关于如何配置 Web 链接的更多信息，请参考附录 E：配置 Web 链接。
　　
　　
　　情境
　　在很多情境中，对 Internet 访问的控制都十分重要：
　　
　　严格保留有限的带宽供公司使用。在这种情境中，您可能希望把 Internet 访问限制在具备商业价值的特定网站。
　　通过阻塞一些特定网站，保留有限的带宽或减少员工浏览 Internet 的时间。
　　阻塞特定的内容类型，可能是因为它们对公司的环境不太合适，或者因为它们需要太多带宽。
　　对不同的用户组执行不同级别的 Internet 访问限制。
　　由于法律方面的原因阻塞某些特定的站点，例如文件共享站点。
　　控制可能导致员工无法保护计算机的 Internet 访问，防止未经授权的用户访问 Internet.
　　限制 Internet 访问的允许时间，从而减少工作时间内的 Internet 使用。
　　
　　解决方案
　　针对以上情境的解决方案均建立在灵活的访问规则基础之上。ISA Server 2004 规则负责控制对资源的访问，这里特指 Internet 访问。在创建规则的过程中，将会用到规则元素。想要获得更多信息，请参考访问规则和规则元素。
　　
　　网络拓扑
　　为了在内网情境中实现 Internet 访问，至少需要满足以下条件：
　　
　　一个到 Internet 的连接。在实验室环境中，这一点可以由一台连接到 ISA Server 计算机的外部网络适配器的 Web 服务器模拟。不过，这可能会对访问限制的测试带来一定局限。
　　一台充当 ISA Server 计算机的计算机。ISA Server 计算机至少必须拥有两块网络适配器。一块网络适配器连接到“外部”网络（即 Internet），另外一块网络适配器连接到“内部”网络。如果您的解决方案涉及到其他网络，例如第二个内部网络，则每个网络都必须在 ISA Server 计算机上拥有对应的网络适配器。网络的配置情况（比如：计算机、用户和子网的数量）决定什么样的解决方案比较适合。
　　一台位于 ISA Server 计算机之后的计算机，ISA Server 计算机充当其默认的网关。
　　控制 Internet 访问过程演示
　　这个过程演示将指导您完成通过 ISA Server 控制 Internet 访问所需的必要步骤。
　　
　　控制安全的 Internet 访问演练过程 1：备份当前的配置
　　我们建议在进行任何改动之前首先备份当前的配置。万一所作的改动导致不希望的结果，可以返回到之前的备份配置。请按照以下步骤备份 ISA Server 计算机的配置。
　　
　　1.右键单击 ISA Server 计算机的名称，然后单击备

文章来源于领测软件测试网 https://www.ltesting.net/