ISA权限设置
重要声明:ISA的策略运用有一定的时间延缓,凡是试验,请设置好策略后等待一会,再在客户机上继续试验。昨天我们讨论了isa 的三种客户端方式。Firewall Client(防火墙客户端)、NAT(安全网络地址转换)、web代理客户端。我更正昨天讨论中的一个谬误,。Firewall Client(防火墙客户端)和NAT客户端(安全网络地址转换)是同时可以被设置成为web代理客户端的。但是我还是推荐最小的设置方法,就是更具突Щ的应用范畴设置其成为何种客户端。微软的东西有的时候会出现很多莫名其妙的问题,最小化设置可以便于我们排查差错?BR>本来今天向讨论如何发布ISA后的一些服务器的问题,但朋友们对如何使之权限更加感兴趣。所以话题就改为对ISA中权限设置的讨论。
ISA权限设置是比较综合性的工作,同时也具有很大的灵活性。在讨论这个问题之前,我希望朋友们先考虑一下自己内部网络的情况,是对等网,还是带有服务器的局域网,如果是后者网络带不带域。(自评:白痴,既然ISA要装在NT的服务器版本上,还要考虑是不是对等网,真是智商低啊。)有一点说明ISA不一定要安装在主域控制器上。考虑这些问题后,可进一步考虑权限是设置到每台机器(IP地址)还是设置到每个人(NT的域用户)。个人认为,权限设置到用户灵活性较大,和NT网络结合更加紧密,是首先。
考虑内部网络情况更重要的一点是要考虑自己要不要发布各种服务器,如邮件服务器、WEB服务器等等。首先考虑这些服务器,是因为它们比较特殊,同时,我们的一些策略设置可能对它们能否发布成功产生无法预料的情况。所以,在设置策略之前,我们先把这些服务器单列出来,无论你是否使用DHCP和在ISA中打算主要使用何种控制手段(控制到人还是控制岛机器)你都要将它们的IP固定,并且让这些固定的IP的机器完全能够通过ISA,这样才能不给今后发布这些服务器添乱。也许朋友们问一个问题,这样做,这些服务器的安全是不是没有保障呢。其实不然,所谓通过,完全是单向通过,也就是可以出而不能进。以后如果朋友们有兴趣讨论服务器发布,我再详细说明这个问题。
言归正传,开始讨论ISA权限设置。前面已经说过,ISA的权限设置是比较灵活的,所以,控制方法不止一种,今天讨论的未必就是最好最经典的。希望朋友能够举一反三。同时也是应为这个原因,我们今天仅仅讨论一些原理,如果要讨论实例的话那就很多很繁杂了。但是我也会举一两个例子。
在ISA中,权限是可以控制到每一台机器(通过IP地址)和每一个人的(和NT的域结合)。ISA三种方式中,Firewall Client、web代理客户端都可以控制到每一个人,比较全面。NAT只可以控制到机器(IP地址)。所以,我推荐对于客户机,可以更多使用Firewall Client和web方式,对于IIS服务器、邮件服务器仅仅使用NAT方式。
在以下对客户机的讨论中,将不会提到NAT方式。
为了能够深入了解Firewall Client和web代理,我们详细比较一下Firewall Client和web代理各自特点:Firewall Client需要安装和配置,只可以运用在安装win操作系列的机器上,支持所有winsock协议的程序通过(这是相比web代理最大的优点);web代理不需要在客户端安装支持软件,需要在浏览器内设置,和操作系统无关,只能通过基于WEB应用的协议如:FTP、HTTP等。
更具客户机的运用范畴来选择客户机的类型是顺利进行下一步工作的前提。但是,既然我们使用的操作系统大多为win系列,倒不如去繁就简,使用Firewall Client,这比较方便。
在ISA中设置权限,主要是通过管理单元中的“Site and Content Rules”和“Protocol Rules”来进行。这两者的不同点在于,“Site and Content Rules”能够限制用户要去的网站(或IP地址)以及访问到的内容;“Protocol Rules”则能够限制使用的协议和端口。而其他方面的设置,诸如时间或者运用于那些用户,这些设置这两者是相同的。
与这两个管理项目所对应的,就是“Policy Elements”管理类别中的一些类别。在“Policy Elements”有很多类别是容易理解,并且一次设置可以多次别运用的。
1. Schedules:设置时间。
2. Bandwidth Priorities:带宽优先。
3. Destination Sets:目的地地址集。
4. Client Address Sets:客户端地址集。
5. Protocol Definitions:协议定义
6. Content Groups:内容组织
7. Dial-up Entries:拨号项
其中第七项是运用于拨号,和权限设置没有多大关系外,其它项目或多或少有联系。我们主要针对其中和权限设置有很大关系的1、4、5、6进行详细讨论。至于第3项如果还有朋友希望继续探讨发布服务器,届时详细探讨。
对于这些设置,我们可以预定义好,也可以在具体设置的时候“临阵磨枪”。
Schedules:时间设置。如果我们对用户的上网时间有所控制,我们可以先将用户类别进行归纳,列出不同类别的用户的上网时段,在这里设置不同的时间段。以便分配给不同用户。
Client Address Sets:客户端地址集。如果你不想通过IP来控制机器,大可不必设置。在这里你可以将内网中所用的IP地址做一个分类。
Protocol Definitions:协议定义:可以使用的协议和端口。这一项的作用很大,也很复杂。探讨服务器发布的时候可以很好的深入。
Content Groups:内容组织。可以在这里组织互联网上不同的文件类型。
从单个来讲,以上三条都很简单,也容易理解。而且,安装好ISA后,这些项目中有一些实例,可以打开去理解,也可以依葫芦画瓢,创建新的策略。
而将这几样和“Site and Content Rules”以及“Protocol Rules”相结合,就能够变化出各种综合性的策略。
理解“Site and Content Rules”和“Protocol Rules”的特点后,我们就可以知道,如果我们要禁止用户前往某一个网站,我们可以在“Site and Content Rules”中设置,如果我们要封锁用户的某一样软件,如ICQ,我们可以在“Protocol Rules”设置。而这两管理单元的设置无论是对于Firewall Client还是web代理客户端同样起作用。
昨天的讨论中,我们使用的是简单的最小设置法,所有用户都和所有协议都开放。为了给我们的网络带来更安全的应用,我们可以停止昨天设置的“All to Internet”策略。同时为了排错,我们可以先停止一个管理单元的“All to Internet”策略,而保留另一个管理单元的“All to Internet”策略,以检查我们的设置是否正确。
OK,我们先设置用户可以使用那些互联网工具。我们知道互联网工具涉及到端口和协议,所以我们选择“Protocol Rules”管理单元进行设置。我们先停止“all to Internet”策略,新建一条只允许HTTP协议的策略,选择新建后,在“Apply this rule to ”中选择“Selected protocols”,我们可以看到一些在Protocol Definition已经定义好的协议,我们可以选择。当然,为了试验,我们仅仅选择HTTP协议。定义好这一条策略后,我们会发现所有机器HTTP浏览正常,而FTP以及其他均不能连接到互联网。
在“Protocol Rules”中我们可以设置策略运用的时间和运用的哪些用户。
OK,我们可以开始完全规定哪些用户可以使用哪些协议连接到互联网。而接下来,我们可以通过“Site and Content Rules”管理单元来规定哪些地方可以去,而那些地方不可以去。就我个人来言,我比较喜欢“Site and Content Rules”的控制。因为,我将所有工具开放给用户并不是坏事,如果用户上到非法不健康网站,那就是坏事了。而且,通过“Site and Content Rules”我们还可以和用户开一些小玩笑。
“Site and Content Rules”可以控制用户浏览互联网是可以到达的地点以及可以得到的内容。用户更多的能够发现器浏览器出现内容的一些变化。简单起见,我们在那一条“All to Internet”策略上进行更改,以实验效果。
OK,我们先控制一下内容。也许我们只需要用户得到互联网上的HTML的文本信息,而图片之类的一概禁止,我们可以在该条策略的属性选项中找到这样一条“HTTP Content”,我们会看到一些设置,可以去选择。而这些设置的具体内容就是在前面讲到的Content Groups(内容组织)中定义好的。
这条这很简单,也容易理解。
那么如何阻止用户去不应该去的网站呢。我们可以先搜集一些这样的网站,如公司不允许游戏网站,或者有不良内容的网站。先在“Policy Elements”管理大类的“Sets”(如果朋友们支持,我会在讨论发布服务器的时候具体说到这个管理单元)中定义好网址或IP。
在“Site and Content Rules”属性类别中的“Destinations”中我们就可以选择到我们定义的地址组。是允许用户访问还是禁止访问我们只要在“Action”中选择了。
OK我们做一个实例。
禁止用户访问一个名叫[url]www.sex.com网站(杜撰的)。应为它太明目张胆了。呵呵。新建一条策略:策略名称:No[/url] Sex ; 动作:Drny 并且转向到:[url]www.163.com(可以是一个警告网页,比如有警察叔叔的网页阿);在任何时段(是不是考虑午夜可以开开);“Apple[/url] this rule to”:选择你定义的网站集合。
这样,凡是到[url]www.sex.com去的浏览器申请,都会阻止并且转向到你制定的网站。[/url]
如果你有IIS服务器,就可以简单制作一个劝告页面,比如公司禁止游戏,或者浏览不良网站对身心无益,或者被我抓住了等等,然后把一些禁止的访问转向到内部的网页。 请教三种客户端,可否同是存在,急需
页:
[1]
