Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1017017
  • 博文数量: 77
  • 博客积分: 946
  • 博客等级: 准尉
  • 技术积分: 2264
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-20 19:56
个人简介

IT基础架构、虚拟化、项目管理,户外运动,6届微软最有价值专家。

文章分类

全部博文(77)

文章存档

2015年(3)

2014年(4)

2013年(6)

2012年(19)

2011年(11)

2010年(7)

2006年(27)

分类: WINDOWS

2006-03-12 11:35:41

充许特定的用户使用ISA FIREWALL访问MSN
充许特定的用户使用ISA FIREWALL访问MSN

来源详细信息:
Date Launched:  Mar 07, 2006  
Last Updated:  Mar 08, 2006  
Section:  Tutorials :: Configuration - Security
Author:  Thomas Shinder

Blocking MSN Messenger Access through the ISA Firewall while Enabling Access to Some Users


译者注:译的过程也是学习Thomas Shinder 使用ISA 来进行网络管理的思想的过程.

为了更好的表达出原作者的真实目的,偶可是构建了真实的环境,一步一步做出了这个实验,但没有截图!在此,偶敬请对此感兴趣的同仁,能指正并提出更多学习ISA的建议!

     因为我订阅了ISASERVER站点的最新文章列表,当我从邮件中第一次看这篇文章时,把原作者所要表达的思想完全搞反了,以至于我走了很多弯路,现在想来,如果能有微软相关的英译中软件帮助,也许会更好!!


       总体思想,充许Full Web Access组可以访问外部的任何HTTP和HTTPS站点,但是却拒绝“All Authenticated Users“组用户访问基于HTTP协议的MSN Messager ,而只能访问其它的所有HTTP/HTTPS站点!

         实际上,原作者是先建立一条防火墙策略:Deny Msn 7.5 over HTTP,这个策略让“All Authenticated Users“只能访问除MSN之外的所有HTTP/HTTPS站点,而”Full Web Access“用户组则只可以访顺MSN。原作者建立的第二条防火墙策略:则是充许”Full Web Access“用户组能访问所有的HTTP和HTTPS站点!


1、创建HTTP/HTTPS访问规则来拒绝对MSN Messenger的访问
2、配置特殊用户组以及在拒绝规则上的HTTP安全过滤
3、为特殊殊用户组创建访问规则  

一、        创建HTTP/HTTPS访问策略来拒绝对MSN Messenger的访问
首先,我们要创建一条规则,来拒绝ISA firewall Group 的成员使用基于HTTP的MSN Messenger。当然,不能影响用户访问其他的HTTP和HTTPS站点。
1、        在ISA firewall控制面板窗口左侧,点选“防火墙策略”节点。这时,找到右侧面板的“任务“。点”创建新的访问规则“链接。
2、        在出现的“欢迎使用新建访问规向导“窗口而,输入”“访问规则的名称”为Deny Msn 7.5 over HTTP,点击“下一步”。
3、        在出现的“规则操作“窗口,选择”充许“,点击“下一步”。
4、        在出现的“协议”窗口,在“此规则应用到”下面的文本栏,选择“所选的协议”,然后,点“添加”按纽。
5、        在出现的“添加协议”窗口,选择“通用协议”文件夹,然后,“添加”HTTP和HTTPS这两个协议,点“关闭”。


6、还是在“协议”窗口,点“下一步”。
7、在出现的“访问规则源”窗口,点“添加”按纽。
8、在弹出的“添加网络实体”对话框,点击“网络”文件夹,在扩展的栏中,选择“内部”,点“关闭”。
9、还是在“访问规则源”窗口,点“下一步”。
10、在出现的“访问规则目标”窗口,点“添加”按纽。
11、在弹出的“添加网络实体”窗口,点选“网络”文件夹,然后,在扩展的栏中,选择“外部”,点“关闭”。
12、还是在“访问规则目标”,点“下一步”。
13、在出现的“用户集”窗口,在“此规则应用于来自下列用户集的请求”点“所有用户”并点选右侧的“删除”,然后,点“添加”按纽。
14、在弹出的“添加用户”窗口中,双击“所有经过身份验证的用户”项,并点“关闭”。
 
15、还是在“用户集”,点“下一步”。
16、在“完成新的访问规则向导”窗口,点击“完成”。
  
    注意,在这些操作步骤中,不要拒绝任何应用。在接下来的步骤中,将通过新建的“Deny Msn 7.5 over HTTP”属性,来配置HTTP安全过滤来阻止MSN Messager,当然ISA firewall Group 的特殊成员”Full Web Access“用户组除外(译者注:这是原作者建立的一个能使用MSN Messager的用户组)。


二、配置特殊(例外)用户组以及配置在拒绝策略中的HTTP安全过滤
1、右键单击刚新建的“Deny MSN 7.5 over HTTP”访问规则,在弹出的对话框中,选择“配置HTTP”。

        2、在接下来弹出的“为规则配置HTTP策略”窗口,点“签名”项。
        3、在“签名”项,点“添加”按纽。
        4、在弹出的“签名”对话框,在“名称”文本框,输入“MSN 7.5 Request Header”,在“查找范围”的下接列表中,选择“请求头”项,在“HTTP头”右侧的文本框,输入“User-Agent”:并且在“签名”右侧的文本框中,输入” MSN Messenger”,OK

 

6、还是在“为规则配置HTTP策略”窗口,点“确定”。

 

现在,这个访问规则,可以充许访问外部所有的HTTP和HTTPS站点了,但将拒绝任何通过HTTP与MSN Messager的通讯,然而,此规则对任何人都是有效的。所以呢,我们需要配置这个规则,使只有特殊的用户组,才能访问MSN(在这个例子中就是Full Web Access用户组)。
1、右键单击刚新建的“Deny MSN 7.5 over HTTP”访问规则,点“属性”。
2、在弹出的窗口中,选择“用户”项,在对话框中的“例外”选项,点“添加”按纽。
3、在弹出的“添加用户”对话框中,双击ISA firewall Group中的Full Web Access(译者注:在此例中,原作者已建立了一个防火墙用户组,命名为Full Web Access,并使用了AD域),完成这个动作后,点“关闭”。

  

4、关闭Deny MSN 7.5 over HTTP属性对话框。

 

三、为特殊殊用户组创建充许访问规则
当我们把FULL WEB ACCESS组加入到这个规则(Deny Msn 7.5 over HTTP)后,还要创建一条充许这个用户组访问INTERNET的访问策略。在这个例子中,作者创建了一条规则,充许FULL WEB ACCESS组员能访问基于HTTP/HTTPS协议的所有站点(由于没有HTTP安全过滤的设置,从而能访问MSN Messager 7.5)。

1、在防火墙控制板中,打开“防火墙策略”项,然后,在右侧的“任务”栏中,打开“创建新的访问规则”。
2、在出现的“欢迎使用新建访问规则向导”窗口中,在“访问规则名称”文本框中输入“Allow HTTP/S to Full Web Access Group”,然后,点“下一步”。
3、在接下来出现的“规则操作”窗口,选择“充许”,并“下一步”。
4、在接下来出现的“协议”对话框中,在“此规则应用到”下接列表中,选择“所选的协议”,并点击侧的“添加”按纽。
5、在弹出的“添加协议”对话框中,选择“通用协议”下拉列表的“HTTP”“HTTPS”,又击添加,并关闭些对话框。


: (2006-3-9 23:45, 109.88 K)

6、还在是在“协议”对话框,点“下一步“。
7、在接下来出现的“访问规则源“对话框,点”添加“,在弹出的对话框”添加网络实体“,选择”网络“下接列表的”内部“,并”关闭“后,点”下一步“。
8、在出现的“访问规则目标”窗口,点“添加”按纽。
9、在弹出的“添加网络实体”窗口,点选“网络”文件夹,然后,在扩展的栏中,选择“外部”,点“关闭”。
10、还是在“访问规则目标”,点“下一步”。
11、在出现的“用户集”窗口,在“此规则应用于来自下列用户集的请求”点“所有用户”并点选右侧的“删除”,然后,点“添加”按纽。
12、在弹出的“添加用户”窗口中,双击“Full Web Access”项,并点“关闭”
13、还是在“用户集”,点“下一步”。
14、在“正在完成新的访问规则向导”窗口,点击“完成”。

 

15、做完上述步骤后,在“要保存更改并更新配置“项,单击”应用“
16、点“确定“,完成应用新的配置。

这个新建的第二个访问规则能够使“Full Web Access”的成员访问基于HTTP和HTTPS协议的任何站点,也充许他们访问MSN Messenger 7.5。(译者注:可以通第一条访问规看到,拒绝了所有的授权用户访问MSN Messenger 7.5但是在例外的用户中充许了Full Web Access使用MSN)

刚才新建的二个防火墙策略如下图所示,也正如译者在相关的文章中所述的那样,之前,一定要新建一条充许所有用户访问外部DNS的策略,才能使这些新建的策略生效。并注意策略的顺序性哟!

阅读(1697) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~