防火墙-isa-3.ppt

建了计划元素后，我们又来修改访问规则了，如下图所示，我们将计划从原先的“总是”改为“午休时间”，我们离目标越来越近了。 四 内容类型 内容类型元素负责将访问互联网的数据划分为音频，视频，文本，HTML 文档等类型，利用内容类型我们可以更精细地控制用户对网络内容的访问，唯一有些遗憾的就是 ISA 在划分内容类型时，仍然采用了不可靠的文件名检测方法，这有可能会让某些用户有机可乘。 我们此次实验的目标之一是不允许访问音频和视频内容， 这个目标依靠内容类型可以很容易实现。在策略工具箱中展开“内容类型”，如下图所示，我们看到共有十一种类型，选择视频类型，编辑一下看看。 视频类型的文件扩展名如下图所示，我们发现了一个很大的问题，网络上很常用的 rm和 rmvb 文件怎么没有被包含进去，微软搞什么搞？这么常用的视频文件居然都漏掉了？只 好由我们来 DIY 了。 可用类型中输入 rmvb，如下图所示，点击添加，即可将 rmvb 补充到视频类型中。 用同样方法可将被疏漏的视频和音频文件都补充进去。 改完内容类型后，我们在访问规则的内容类型处进行修改。如右图所示，我们选择使用自选的内容类型，在选定的内容类型中排除了音频和视频。 OK，我们离目标只有一步之遥了！ 五 网络对象 网络对象中包括了很多策略元素，例如计算机，计算机集，域名集，URL 集等，我们在访问规则中定义源和目标时经常会用到网络对象。本例中我们限定用户不能访问百度，那就必须先通过网络对象对百度进行定义，然后才能在访问规则中加以利用。 要想禁止访问百度，我们需要定义域名集和计算机集两种元素，从域名和 IP地址两种角度描述百度。我们先创建域名集，如下图所示，在防火墙策略工具箱中展开网络对象，选择新建域名集。 域名集的名称为百度，内容为 ，如果希望限制更多的百度内容，可以考虑使用通配符，例如*.。 限制百度只用域名是不够的，我们还需使用 IP 地址 我们首先要知道百度网站的 IP是多少，不要用 ping 的方法，这种方法不够全面。我们使用 nslookup，如下图所示，输入 ，我们得到了百度的两个 IP，6和 5。 下来创建计算机集，如下图所示，在工具箱中选择新建计算机集。 创建完网络对象后，我们来修改访问规则。在规则的属性中切换至“到”标签，如下图所示，在“例外“处点击添加，将域名集百度和计算机集百度都添加进来，这样百度就不再被访问规则所允许了。 修改后的规则如下图所示，这就是我们想要的访问规则，只有人事部和财务部的员工在午休时间才可以访问除百度之外的网站，而且不允许访问音频及视频内容。 这节课结束！ 安装DNS服务器。运行dcpromo.exe * 网络攻击与防疫 程伟根，Eouch (cwg2008@) N. Software college.labs 2010 我们在前面的工作中已经实现了 ISA2006 的代理服务器功能，接下来我们要实现 ISA 的访问控制功能。 很多公司都有控制员工访问外网的需求. 例如有的公司不允许员工访问游戏网站，有的公司不允许员工使用 QQ 等即时通讯工具，有的公司禁止员工下载视频文件，还有的公司只允许访问自家的门户网站等。。。 这都是如何实现的呢？ 准备一下实验环境 我们的今天目标是先写出一条访问规则： 允许在午休时间（12:00-13:00），人事部和财务部的员工可以访问互联网上除百度之外的网站，而且访问网站时不能访问视频和音频内容，我们通过这条规则的实现过程来学习策略元素。 我们打开开 ISA 服务器管理，选中防火墙策略，此时右侧面板的工具箱中显示的就是策略元素，大家看到的有协议，用户，内容类型，计划，网络对象等，下面我们一一展开分析。 一 、协议 协议元素限制了用户问外网时所使用的网络协议。 例如我们此次实验的目标是只允许部分用户访问一些特定网站，那我们就可以在访问规则的协议元素中限定用户只可以使用 HTTP 和 HTTPS，这样就保证了用户只能访问网站。当前 ISA中有一个很宽泛的访问规则， 如图上所示，允许内网和本地主机可以使用任何协议，在任何时间，以任何用户的身份，访问任意网络的任意内容。这条规则是我们在前面测试代理服务器的时候创建的，现在我们对它动动手术，只允许用户用 HTTP和 HTTPS 访问外网。 我们将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“，只允许使用特定的协议。 问规则已经被修改为 ISA只允许 HTTP 和 HTTPS协议通过。 使用协议元素可以在访问规则中轻松实现对协议的控制， 但如果我们要控制的协议没有在 ISA的协议元素中被定义那该怎么办呢？ 我们可以自定义协议元素，例如我们希望禁止用户