详解防火墙策略元素.docVIP

详解防火墙策略元素 ? 我们在前面的工作中已经实现了ISA2006的代理服务器功能，接下来我们要实现ISA的访问控制功能。很多公司都有控制员工访问外网的需求，例如有的公司不允许员工访问游戏网站，有的公司不允许员工使用QQ等即时通讯工具，有的公司禁止员工下载视频文件，还有的公司只允许访问自家的门户网站…..这些需求都可以通过ISA2006防火墙策略中的访问规则来加以实现。既然如此，那我们赶紧来写上几条访问规则测试一下吧。别急，访问规则是由策略元素构成的，我们要想写出访问规则，首先要掌握策略元素，还是让我们从学习策略元素开始吧。 准备一下实验环境，拓扑如下图所示，Denver是C的域控制器，Perth是域内的工作站，Beijing是ISA2006服务器，Beijing也加入了域。 ? 我们的目标是先写出一条访问规则：允许在午休时间（12:00-13:00），人事部和财务部的员工可以访问互联网上除百度之外的网站，而且访问网站时不能访问视频和音频内容，我们通过这条规则的实现过程来学习策略元素。 如下图所示，打开ISA服务器管理，选中防火墙策略，此时右侧面板的工具箱中显示的就是策略元素，大家看到的有协议，用户，内容类型，计划，网络对象等，下面我们一一展开分析。 ? 一 协议 协议元素限制了用户访问外网时所使用的网络协议。例如我们此次实验的目标是只允许部分用户访问一些特定网站，那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS，这样就保证了用户只能访问网站。当前ISA中有一个很宽泛的访问规则，如下图所示，允许内网和本地主机可以使用任何协议，在任何时间，以任何用户的身份，访问任意网络的任意内容。这条规则是我们在前面测试代理服务器的时候创建的，现在我们对它动动手术，只允许用户用HTTP和HTTPS访问外网。 下图是当前的访问规则，我们可以看到ISA允许使用任何协议对外访问，右键点击规则，查看规则属性。 ? 在规则属性中切换到“协议”标签，如下图所示，将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“，只允许使用特定的协议。 ? 点击“添加”按钮，在协议中选择HTTP和HTTPS添加进来，如下图所示，添加完协议后点击确定。 ? 如下图所示，访问规则已经被修改为ISA只允许HTTP和HTTPS协议通过。 ? 我们使用协议元素可以在访问规则中轻松实现对协议的控制，但如果我们要控制的协议没有在ISA的协议元素中被定义那该怎么办呢？我们可以自定义协议元素，例如我们希望禁止用户使用QQ的通讯协议，我们就可以在防火墙策略的工具箱中选择“新建协议”，如下图所示。 ? 出现新建协议向导，我们为新建的协议命名为QQ，下一步。 ? 接下来我们定义协议参数，点击“新建”。 ? 我们定义QQ协议使用UDP，方向为发送接受，端口为8000。 ? QQ不需要使用辅助连接，但有些协议例如FTP需要使用辅助连接。 ? 结束新建协议向导。 ? 这样我们就创建了一个自定义协议QQ，按照这种办法，我们可以将所需的协议元素都创建出来，然后就可以在访问规则中灵活地加以控制了。 ? 二 用户 用户元素可以控制有哪些人能访问外网，尤其在域环境下，用户元素更是可以大显身手。依靠用户元素控制网络访问远比用IP控制来得更方便灵活。记得我刚工作时曾经在路由器上用IP控制用户上网，没过多久，就被很多人发现了秘密，一时间大家纷纷抢占那几个能上网的IP，IP冲突此起彼伏。虽然可以用ARP静态绑定来解决，但处理起来还是感觉麻烦。因此奉劝诸位，部署网络架构时如果有可能还是应该上Active Directory，无论如何管理起来都感觉方便得多。 在本例中我们希望只允许人事部和财务部的员工在午休时间访问互联网，那应该怎么定义人事部和财务部的用户呢？这时用户元素就派上用场了，用户元素可以和Active Directory中的用户管理接合起来，如下图所示，Active Directory中已经为所有部门用户都创建了用户账号和组账号。 ? 在ISA防火墙策略的工具箱中，展开“用户”，如下图所示，选择“新建”。 ? 为新创建的用户元素命名为“午休时间允许上网用户”，点击下一步。 ? 点击“添加”按钮，选择添加“Windows用户和组”，如下图所示。 ? 在活动目录中查找对象，输入组名hrusers和financeusers，这是人事部和财务部用户所隶属的组，点击确定。 ? 如下图所示，新创建的用户元素中已经列出了人事部和财务部两个组，点击下一步完成创建。 ? 创建了用户元素，我们就可以修改访问规则了。如下图所示，在访问规则中切换到用户标签，选择“所有用户”，点击“删除”，然后再点击“添加”按钮。 ? 添加“午休时间允许上网用户”。 ? 如下图所示，修改后的规则离我们的目标又进了一步。