IT基础架构、虚拟化、项目管理,户外运动,6届微软最有价值专家。
分类: WINDOWS
2006-03-12 11:35:41
| 充许特定的用户使用ISA FIREWALL访问MSN | ||
|
充许特定的用户使用ISA FIREWALL访问MSN
来源详细信息: Date Launched: Mar 07, 2006 Last Updated: Mar 08, 2006 Section: Tutorials :: Configuration - Security Author: Thomas Shinder Blocking MSN Messenger Access through the ISA Firewall while Enabling Access to Some Users 译者注:译的过程也是学习Thomas Shinder 使用ISA 来进行网络管理的思想的过程. 为了更好的表达出原作者的真实目的,偶可是构建了真实的环境,一步一步做出了这个实验,但没有截图!在此,偶敬请对此感兴趣的同仁,能指正并提出更多学习ISA的建议! 因为我订阅了ISASERVER站点的最新文章列表,当我从邮件中第一次看这篇文章时,把原作者所要表达的思想完全搞反了,以至于我走了很多弯路,现在想来,如果能有微软相关的英译中软件帮助,也许会更好!! 总体思想,充许Full Web Access组可以访问外部的任何HTTP和HTTPS站点,但是却拒绝“All Authenticated Users“组用户访问基于HTTP协议的MSN Messager ,而只能访问其它的所有HTTP/HTTPS站点! 实际上,原作者是先建立一条防火墙策略:Deny Msn 7.5 over HTTP,这个策略让“All Authenticated Users“只能访问除MSN之外的所有HTTP/HTTPS站点,而”Full Web Access“用户组则只可以访顺MSN。原作者建立的第二条防火墙策略:则是充许”Full Web Access“用户组能访问所有的HTTP和HTTPS站点! 1、创建HTTP/HTTPS访问规则来拒绝对MSN Messenger的访问 2、配置特殊用户组以及在拒绝规则上的HTTP安全过滤 3、为特殊殊用户组创建访问规则 一、 创建HTTP/HTTPS访问策略来拒绝对MSN Messenger的访问 首先,我们要创建一条规则,来拒绝ISA firewall Group 的成员使用基于HTTP的MSN Messenger。当然,不能影响用户访问其他的HTTP和HTTPS站点。 1、 在ISA firewall控制面板窗口左侧,点选“防火墙策略”节点。这时,找到右侧面板的“任务“。点”创建新的访问规则“链接。 2、 在出现的“欢迎使用新建访问规向导“窗口而,输入”“访问规则的名称”为Deny Msn 7.5 over HTTP,点击“下一步”。 3、 在出现的“规则操作“窗口,选择”充许“,点击“下一步”。 4、 在出现的“协议”窗口,在“此规则应用到”下面的文本栏,选择“所选的协议”,然后,点“添加”按纽。 5、 在出现的“添加协议”窗口,选择“通用协议”文件夹,然后,“添加”HTTP和HTTPS这两个协议,点“关闭”。 6、还是在“协议”窗口,点“下一步”。 7、在出现的“访问规则源”窗口,点“添加”按纽。 8、在弹出的“添加网络实体”对话框,点击“网络”文件夹,在扩展的栏中,选择“内部”,点“关闭”。 9、还是在“访问规则源”窗口,点“下一步”。 10、在出现的“访问规则目标”窗口,点“添加”按纽。 11、在弹出的“添加网络实体”窗口,点选“网络”文件夹,然后,在扩展的栏中,选择“外部”,点“关闭”。 12、还是在“访问规则目标”,点“下一步”。 13、在出现的“用户集”窗口,在“此规则应用于来自下列用户集的请求”点“所有用户”并点选右侧的“删除”,然后,点“添加”按纽。 14、在弹出的“添加用户”窗口中,双击“所有经过身份验证的用户”项,并点“关闭”。 15、还是在“用户集”,点“下一步”。
16、在“完成新的访问规则向导”窗口,点击“完成”。 注意,在这些操作步骤中,不要拒绝任何应用。在接下来的步骤中,将通过新建的“Deny Msn 7.5 over HTTP”属性,来配置HTTP安全过滤来阻止MSN Messager,当然ISA firewall Group 的特殊成员”Full Web Access“用户组除外(译者注:这是原作者建立的一个能使用MSN Messager的用户组)。 二、配置特殊(例外)用户组以及配置在拒绝策略中的HTTP安全过滤 1、右键单击刚新建的“Deny MSN 7.5 over HTTP”访问规则,在弹出的对话框中,选择“配置HTTP”。 2、在接下来弹出的“为规则配置HTTP策略”窗口,点“签名”项。 3、在“签名”项,点“添加”按纽。 4、在弹出的“签名”对话框,在“名称”文本框,输入“MSN 7.5 Request Header”,在“查找范围”的下接列表中,选择“请求头”项,在“HTTP头”右侧的文本框,输入“User-Agent”:并且在“签名”右侧的文本框中,输入” MSN Messenger”,OK
6、还是在“为规则配置HTTP策略”窗口,点“确定”。
现在,这个访问规则,可以充许访问外部所有的HTTP和HTTPS站点了,但将拒绝任何通过HTTP与MSN Messager的通讯,然而,此规则对任何人都是有效的。所以呢,我们需要配置这个规则,使只有特殊的用户组,才能访问MSN(在这个例子中就是Full Web Access用户组)。
4、关闭Deny MSN 7.5 over HTTP属性对话框。 三、为特殊殊用户组创建充许访问规则 6、还在是在“协议”对话框,点“下一步“。
|
: (2006-3-9 23:45, 109.88 K)