ISA系列之ISA Server 2004 中的新增功能--单一规则库

在Florence计算机上执行以下步骤。
1.在Florence计算机上,浏览单一防火墙策略规则列表。
创建访问规则:
名称:允许Web通讯访问Internet
应用于:HTTP
源网络:内部
目标网络:外部

a.在Florence计算机上,在ISAServer控制台的左窗格中,选择“防火墙策略(ITALY)”。
※ISAServer使用“单一”规则列表来构造访问规则和发布规则。
b.在右窗格中的“防火墙策略”选项卡上,选择“默认规则”。
※注意:新规则将添加到规则列表中当前所选规则的前面。尽管在只有默认规则的情况下,这并没有什么区别,但这是一个好的习惯,即在创建新规则之前,始终明确选择一个现有规则。
c.在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
d.在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许Web通讯访问Internet”,然后单击“下一步”。

e.在“规则操作”页面上,选择“允许”,然后单击“下一步”。
f.在“协议”页面上的“此规则应用到”列表框中,选择“所选的协议”,然后单击“添加”。
※此时将显示“添加协议”对话框。
g.在“添加协议”对话框中,
※依次单击“Web”、“HTTP”和“添加”,然后单击“关闭”以关闭“添加协议”对话框。

h.在“协议”页面上,单击“下一步”。
i.在“访问规则源”页面上,单击“添加”。
※此时将显示“添加网络实体”对话框。
j.在“添加网络实体”对话框中,
※依次单击“网络”、“内部”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。

k.在“访问规则源”页面上,单击“下一步”。
l.在“访问规则目标”页面上,单击“添加”。
※此时将再次显示“添加网络实体”对话框。
m.在“添加网络实体”对话框中,
※依次单击“网络”、“外部”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。

n.在“访问规则目标”页面上,单击“下一步”。
o.在“用户集”页面上,单击“下一步”。
p.在“正在完成新建访问规则向导”页面上,单击“完成”。
※此时创建了一个新的防火墙策略,该规则允许所有用户从“内部”网络通过HTTP协议访问“外部”网络。外部网络指的是Internet。
※注意,我们尚未应用该新规则。

q.请不要单击“应用”以应用此新规则。
比较:
※ISAServer2004�在单击“应用”之前,不会应用对防火墙策略规则列表所做的更改。这样,您就可以同时应用多个新规则或对规则所做的更改。
※ISAServer2000�一旦更改了任何访问策略规则和发布规则,所做的更改将立即生效。

2.将HTTPS和FTP协议添加到“允许Web通讯访问Internet”访问规则中。

a.在任务窗格的“工具箱”选项卡上,在“协议”部分中单击“Web”。
※此时将打开Web协议列表。列表中包括HTTPS和FTP。
b.从工具箱中,将“HTTPS”拖到“允许Web通讯访问Internet”访问规则“协议”列中的“HTTP”上。
※此时,HTTPS协议已添加到该访问规则中。
c.从工具箱中,将“FTP”拖到“允许Web通讯访问Internet”访问规则“协议”列中的“HTTP/HTTPS”上。
※此时,FTP协议已添加到该访问规则中。
d.单击“允许Web通讯访问Internet”访问规则前面带有“减号”的框,以便在一行上显示这一访问规则以及多个协议。
※此处不是通过拖动工具箱中的协议来配置防火墙策略规则,您还可以右键单击该规则,然后选择“属性”,如下一个任务中所示。


3.了解“允许Web通讯访问Internet”访问规则的属性。

a.右键单击“允许Web通讯访问Internet”访问规则,然后单击“属性”。
b.在“允许Web通讯访问Internet属性对话框”中,单击“协议”选项卡上的“添加”。
c.在“添加协议”对话框中,单击“通用协议”。
※您可以向此访问规则中添加任何TCP/UDP协议。您还可以向该访问规则中添加非TCP/UDP协议,如Ping(ICMP)。在ISAServer2000中,这需要一个“协议规则”(对于TCP/UDP)或一个“数据包筛选器规则”(对于非TCP/UDP)。
d.单击“关闭”以关闭“添加协议”对话框。
e.在“到”选项卡上,单击“添加”。
※此处不是将访问规则应用于指向外部网络上所有目标的通讯,您可以使用任何其他网络实体(计算机、 地址范围、子网、域名集、URL集和计算机集)来限制对特定“目标”的访问。
※在ISAServer2000中,这需要“站点和内容规则”。
f.单击“关闭”以关闭“添加网络实体”对话框。

g.在“从”选项卡上,单击“添加”。
h.在“添加网络实体”对话框中,单击“网络”。
※“本地主机”网络(表示ISAServer计算机)可用作访问规则中的源计算机。
※在ISAServer2000中,这需要“数据包筛选器规则”。
i.单击“关闭”以关闭“添加网络实体”对话框。

j.单击“取消”以关闭“允许Web通讯访问Internet属性”对话框。
比较:
※ISAServer2004�访问规则可以包含所有规则元素,从而为从任何计算机(包括ISAServer计算机)到任何其他计算机的任何TCP/UDP或非TCP/UDP协议定义出站访问策略。这就在单一规则列表中结合了ISAServer2000的“数据包筛选器规则”、“协议规则”以及“站点和内容规则”的功能。
※ISAServer2000�防火墙访问规则可以要求结合“数据包筛选器规则”、“协议规则”以及“站点和内容规则”。这就导致出现三个不同的规则列表。

4. 了解“允许 Web 通讯访问
Internet”访问规则的HTTP 协议扫描功能。
出于演示需要,配置该规则来拦截来自 MSN Messenger 的 HTTP 通讯。
HTTP 头:
--用户代理:MSMSGS

a. 右键单击“允许 Web 通讯访问 Internet”访问规则,然后单击“配置 HTTP”。

b. 在“为规则配置 HTTP 策略”对话框中,检查具有 HTTP筛选器设置的五个选项卡。
※ISA Server 将检查所有 HTTP 通讯的内容。这称作应 用程序级筛选,或内容筛选。不符合“常规”选项卡上 的规格的 HTTP 数据包将被拦截
※许多应用程序使用 HTTP 作为其传输协议,甚至作为 隧道协议,因为大多数防火墙已配置为允许 HTTP端口 80 通讯。应用程序级筛选可以拦截不符合协议规范的 HTTP 通讯或不必要的 HTTP 应用程序或内容。
※这些设置(如限制最大 URL 长度等)已经拦截了在40多份不同的 Microsoft 安全公告(从 MS98-003至今)中介绍的各种漏洞的攻击。

c. 在“签名”选项卡上,单击“添加”。
d. 在“签名”对话框中,填写以下信息:
●名称:MSN Messenger 通讯
● 查找范围:请求头
● HTTP 头:用户代理
●签名:MSMSGS
然后单击“确定”。
e. 单击“确定”以关闭“为规则配置 HTTP 策略”对话框。
※“允许 Web 通讯访问 Internet”访问规则将允许来自Web 浏览器的 HTTP 通讯,但会拦截来自 MSNMessenger 的 HTTP 通讯。


5. 了解防火墙策略中的“系统策略规则”。

a. 在左窗格中,确保选择“防火墙策略(ITALY)”。
b. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
※在右窗格中,将显示 34 个控制进出“本地主机”(ISAServer 计算机)的通讯的预定义访问规则。这些规则称作“系统策略规则”。系统策略规则 31 至 34 只有 ISA Server 2004Enterprise Edition 才提供。
c. 在任务窗格的“任务”选项卡上,单击“编辑系统策略”。
※此时将显示“系统策略编辑器”对话框。您只能对系统策略规则做细微的变更,但可以启用或禁用大多数系统策略规则。

d. 单击“取消”以关闭“系统策略编辑器”对话框。
e. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。

注意:需要执行以下任务来避免与其他实验室练习产生冲突。 6. 丢弃“允许 Web 通讯访问 Internet”访问规则。 a. 在右窗格中,单击“丢弃”以删除未保存的“允许 Web 通讯访问 Internet”访问规则。 b. 单击“是”以确认要丢弃更改。 ※如果在此练习过程中单击了“应用”,则访问规则将保存。右键单击访问规则,单击“删除”,然后依次单击“应用”和“确定”以再次删除访问规则。

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐


什么是设计模式一套被反复使用、多数人知晓的、经过分类编目的、代码 设计经验 的总结;使用设计模式是为了 可重用 代码、让代码 更容易 被他人理解、保证代码 可靠性;设计模式使代码编制  真正工程化;设计模式使软件工程的 基石脉络, 如同大厦的结构一样;并不直接用来完成代码的编写,而是 描述 在各种不同情况下,要怎么解决问题的一种方案;能使不稳定依赖于相对稳定、具体依赖于相对抽象,避免引
单一职责原则定义(Single Responsibility Principle,SRP)一个对象应该只包含 单一的职责,并且该职责被完整地封装在一个类中。Every  Object should have  a single responsibility, and that responsibility should be entirely encapsulated by t
动态代理和CGLib代理分不清吗,看看这篇文章,写的非常好,强烈推荐。原文截图*************************************************************************************************************************原文文本************
适配器模式将一个类的接口转换成客户期望的另一个接口,使得原本接口不兼容的类可以相互合作。
策略模式定义了一系列算法族,并封装在类中,它们之间可以互相替换,此模式让算法的变化独立于使用算法的客户。
设计模式讲的是如何编写可扩展、可维护、可读的高质量代码,它是针对软件开发中经常遇到的一些设计问题,总结出来的一套通用的解决方案。
模板方法模式在一个方法中定义一个算法的骨架,而将一些步骤延迟到子类中,使得子类可以在不改变算法结构的情况下,重新定义算法中的某些步骤。
迭代器模式提供了一种方法,用于遍历集合对象中的元素,而又不暴露其内部的细节。
外观模式又叫门面模式,它提供了一个统一的(高层)接口,用来访问子系统中的一群接口,使得子系统更容易使用。
单例模式(Singleton Design Pattern)保证一个类只能有一个实例,并提供一个全局访问点。
组合模式可以将对象组合成树形结构来表示“整体-部分”的层次结构,使得客户可以用一致的方式处理个别对象和对象组合。
装饰者模式能够更灵活的,动态的给对象添加其它功能,而不需要修改任何现有的底层代码。
观察者模式(Observer Design Pattern)定义了对象之间的一对多依赖,当对象状态改变的时候,所有依赖者都会自动收到通知。
代理模式为对象提供一个代理,来控制对该对象的访问。代理模式在不改变原始类代码的情况下,通过引入代理类来给原始类附加功能。
工厂模式(Factory Design Pattern)可细分为三种,分别是简单工厂,工厂方法和抽象工厂,它们都是为了更好的创建对象。
状态模式允许对象在内部状态改变时,改变它的行为,对象看起来好像改变了它的类。
命令模式将请求封装为对象,能够支持请求的排队执行、记录日志、撤销等功能。
备忘录模式(Memento Pattern)保存一个对象的某个状态,以便在适当的时候恢复对象。备忘录模式属于行为型模式。 基本介绍 **意图:**在不破坏封装性的前提下,捕获一个对象的内部状态,并在该
顾名思义,责任链模式(Chain of Responsibility Pattern)为请求创建了一个接收者对象的链。这种模式给予请求的类型,对请求的发送者和接收者进行解耦。这种类型的设计模式属于行为
享元模式(Flyweight Pattern)(轻量级)(共享元素)主要用于减少创建对象的数量,以减少内存占用和提高性能。这种类型的设计模式属于结构型模式,它提供了减少对象数量从而改善应用所需的对象结