ISA系列之ISA Server 2004 中的新增功能--单一规则库

在Florence计算机上执行以下步骤。
1.在Florence计算机上,浏览单一防火墙策略规则列表。
创建访问规则:
名称:允许Web通讯访问Internet
应用于:HTTP
源网络:内部
目标网络:外部

a.在Florence计算机上,在ISAServer控制台的左窗格中,选择“防火墙策略(ITALY)”。
  ※ISAServer使用“单一”规则列表来构造访问规则和发布规则。
b.在右窗格中的“防火墙策略”选项卡上,选择“默认规则”。
  ※注意:新规则将添加到规则列表中当前所选规则的前面。尽管在只有默认规则的情况下,这并没有什么区别,但这是一个好的习惯,即在创建新规则之前,始终明确选择一个现有规则。
c.在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
d.在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许Web通讯访问Internet”,然后单击“下一步”。

e.在“规则操作”页面上,选择“允许”,然后单击“下一步”。
f.在“协议”页面上的“此规则应用到”列表框中,选择“所选的协议”,然后单击“添加”。
  ※此时将显示“添加协议”对话框。
g.在“添加协议”对话框中,
  ※依次单击“Web”、“HTTP”和“添加”,然后单击“关闭”以关闭“添加协议”对话框。

h.在“协议”页面上,单击“下一步”。
i.在“访问规则源”页面上,单击“添加”。
  ※此时将显示“添加网络实体”对话框。
j.在“添加网络实体”对话框中,
  ※依次单击“网络”、“内部”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。

k.在“访问规则源”页面上,单击“下一步”。
l.在“访问规则目标”页面上,单击“添加”。
  ※此时将再次显示“添加网络实体”对话框。
m.在“添加网络实体”对话框中,
  ※依次单击“网络”、“外部”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。

n.在“访问规则目标”页面上,单击“下一步”。
o.在“用户集”页面上,单击“下一步”。
p.在“正在完成新建访问规则向导”页面上,单击“完成”。
  ※此时创建了一个新的防火墙策略,该规则允许所有用户从“内部”网络通过HTTP协议访问“外部”网络。外部网络指的是Internet。
  ※注意,我们尚未应用该新规则。

q.请不要单击“应用”以应用此新规则。
比较:
  ※ISAServer2004�C在单击“应用”之前,不会应用对防火墙策略规则列表所做的更改。这样,您就可以同时应用多个新规则或对规则所做的更改。
  ※ISAServer2000�C一旦更改了任何访问策略规则和发布规则,所做的更改将立即生效。

2.将HTTPS和FTP协议添加到“允许Web通讯访问Internet”访问规则中。

a.在任务窗格的“工具箱”选项卡上,在“协议”部分中单击“Web”。
  ※此时将打开Web协议列表。列表中包括HTTPS和FTP。
b.从工具箱中,将“HTTPS”拖到“允许Web通讯访问Internet”访问规则“协议”列中的“HTTP”上。
  ※此时,HTTPS协议已添加到该访问规则中。
c.从工具箱中,将“FTP”拖到“允许Web通讯访问Internet”访问规则“协议”列中的“HTTP/HTTPS”上。
  ※此时,FTP协议已添加到该访问规则中。
d.单击“允许Web通讯访问Internet”访问规则前面带有“减号”的框,以便在一行上显示这一访问规则以及多个协议。
  ※此处不是通过拖动工具箱中的协议来配置防火墙策略规则,您还可以右键单击该规则,然后选择“属性”,如下一个任务中所示。


3.了解“允许Web通讯访问Internet”访问规则的属性。

a.右键单击“允许Web通讯访问Internet”访问规则,然后单击“属性”。
b.在“允许Web通讯访问Internet属性对话框”中,单击“协议”选项卡上的“添加”。
c.在“添加协议”对话框中,单击“通用协议”。
  ※您可以向此访问规则中添加任何TCP/UDP协议。您还可以向该访问规则中添加非TCP/UDP协议,如Ping(ICMP)。在ISAServer2000中,这需要一个“协议规则”(对于TCP/UDP)或一个“数据包筛选器规则”(对于非TCP/UDP)。
d.单击“关闭”以关闭“添加协议”对话框。
e.在“到”选项卡上,单击“添加”。
  ※此处不是将访问规则应用于指向外部网络上所有目标的通讯,您可以使用任何其他网络实体(计算机、 地址范围、子网、域名集、URL集和计算机集)来限制对特定“目标”的访问。
  ※在ISAServer2000中,这需要“站点和内容规则”。
f.单击“关闭”以关闭“添加网络实体”对话框。

g.在“从”选项卡上,单击“添加”。
h.在“添加网络实体”对话框中,单击“网络”。
  ※“本地主机”网络(表示ISAServer计算机)可用作访问规则中的源计算机。
  ※在ISAServer2000中,这需要“数据包筛选器规则”。
i.单击“关闭”以关闭“添加网络实体”对话框。

j.单击“取消”以关闭“允许Web通讯访问Internet属性”对话框。
  比较:
   ※ISAServer2004�C访问规则可以包含所有规则元素,从而为从任何计算机(包括ISAServer计算机)到任何其他计算机的任何TCP/UDP或非TCP/UDP协议定义出站访问策略。这就在单一规则列表中结合了ISAServer2000的“数据包筛选器规则”、“协议规则”以及“站点和内容规则”的功能。
   ※ISAServer2000�C防火墙访问规则可以要求结合“数据包筛选器规则”、“协议规则”以及“站点和内容规则”。这就导致出现三个不同的规则列表。

4. 了解“允许 Web 通讯访问
Internet”访问规则的HTTP 协议扫描功能。
出于演示需要,配置该规则来拦截来自 MSN Messenger 的 HTTP 通讯。
HTTP 头:
--用户代理:MSMSGS

a. 右键单击“允许 Web 通讯访问 Internet”访问规则,然后单击“配置 HTTP”。

b. 在“为规则配置 HTTP 策略”对话框中,检查具有 HTTP筛选器设置的五个选项卡。
  ※ISA Server 将检查所有 HTTP 通讯的内容。这称作应 用程序级筛选,或内容筛选。不符合“常规”选项卡上 的规格的 HTTP 数据包将被拦截
  ※许多应用程序使用 HTTP 作为其传输协议,甚至作为 隧道协议,因为大多数防火墙已配置为允许 HTTP端口 80 通讯。应用程序级筛选可以拦截不符合协议规范的 HTTP 通讯或不必要的 HTTP 应用程序或内容。
  ※这些设置(如限制最大 URL 长度等)已经拦截了在40多份不同的 Microsoft 安全公告(从 MS98-003至今)中介绍的各种漏洞的攻击。

c. 在“签名”选项卡上,单击“添加”。
d. 在“签名”对话框中,填写以下信息:
●名称:MSN Messenger 通讯
● 查找范围:请求头
● HTTP 头:用户代理
●签名:MSMSGS
然后单击“确定”。
e. 单击“确定”以关闭“为规则配置 HTTP 策略”对话框。
  ※“允许 Web 通讯访问 Internet”访问规则将允许来自Web 浏览器的 HTTP 通讯,但会拦截来自 MSNMessenger 的 HTTP 通讯。


5. 了解防火墙策略中的“系统策略规则”。

a. 在左窗格中,确保选择“防火墙策略(ITALY)”。
b. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
  ※在右窗格中,将显示 34 个控制进出“本地主机”(ISAServer 计算机)的通讯的预定义访问规则。这些规则称作“系统策略规则”。系统策略规则 31 至 34 只有 ISA Server 2004Enterprise Edition 才提供。
c. 在任务窗格的“任务”选项卡上,单击“编辑系统策略”。
  ※此时将显示“系统策略编辑器”对话框。您只能对系统策略规则做细微的变更,但可以启用或禁用大多数系统策略规则。

d. 单击“取消”以关闭“系统策略编辑器”对话框。
e. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。

注意:需要执行以下任务来避免与其他实验室练习产生冲突。

6. 丢弃“允许 Web 通讯访问 Internet”访问规则。
a. 在右窗格中,单击“丢弃”以删除未保存的“允许 Web 通讯访问 Internet”访问规则。
b. 单击“是”以确认要丢弃更改。
  ※如果在此练习过程中单击了“应用”,则访问规则将保存。右键单击访问规则,单击“删除”,然后依次单击“应用”和“确定”以再次删除访问规则。

你可能感兴趣的:(server,职场,休闲,ISA,2004)