《《访问规则》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《访问规则》PPT课件.ppt(60页珍藏版)》请在三一办公上搜索。
1、ISA基本管理与访问规则设置,第一部分访问规则大纲,1,策略元素2,网络规则3,系统策略4,访问规则,策略元素,ISA2004中三条规则:,规则一、网络规则:路由,还是NAT,利用“网络规则”可以创建路由和NAT,默认情况下IP路由规则处于启用状态.查看:防火墙策略/任务/定义IP首选项,ISA2004中三条规则:,规则二、系统规则:30条规则控制本地主机到目标的通讯;你可以启用或者禁用这些规则。,ISA2004中三条规则:,规则三、防火墙策略:自定义的所有规则,包括访问规则和发布规则,最后有条缺省规则不能修改或删除。,创建各种规则主要事项,要点一:源主机和目标主机必须位于不同的网络。要点二:
2、严格按照顺序评估防火墙策略,如果一条访问规则匹配某个请求参数,此规则将被应用,防火墙将不再与其它任何规则进行匹配。要点三:系统策略优先于防火墙策略。130,31end,最佳建议,按以下顺序排列防火墙策略:,首先,将WEB和服务器发布规则放在列表的顶部。然后,按照下面的顺序放置匿名访问规则,先拒绝,再允许部分;这些规则不需要验证。最后,按照下面的顺序放置需要验证的访问规则:先拒绝,再允许;这些规则需要验证。强烈建议看一下,防火墙的十六条守则。,制定访问规则 需要注意的五点内容:规则内容;规则动作;规则源;规则目标;规则对象(即用户),规则设置五要素,网络规则,系统策略(针对本地的策略),点击如图
3、的显示系统策略 会显示出来或是点击,显示如图 总共30条 几乎含盖所有需求全部针对本地生效,如我们所遇见的 安装完ISA2004 后 不能访问外部网站的 问题 在理解本地规则后就不用添加 所有到所有的 允许访问规则了 只要 起用本地策略第第18条(默认停止)还有本地第七条 DNS 访问(默认开启)即可,如何启用 本地规则鼠标右击,选择“编辑系统策略”;或者直接双击需要编辑的策略即可,案例演示1、通过系统策略设置让本地计算机成功的访问Internet2、通过本地策略限制让本地计算机不能ping 外部计算机的IP地址。,第二部分Internet网络访问规则的设置,设置目标:实现内部计算机能够成功访
4、问外部网络,访问规则目标:让内部所有用户能够成功利用http协议访问Internet1、新建规则2、规则命名,规则动作:允许规则协议:全部通讯(或者仅仅针对http协议设置),规则源地址:内部,规则目标地址:外网,规则对象:所有用户,这是允许所有通讯,如果要设定 更为详细的 访问规则 在 通讯类型中添加如 只想让用户进行网页浏览 就添加HTTP和安全的HTTPS协议,实验:访问规则,实验一:允许内网用户可以访问互联网。实验二:允许内网用户可以路由到DMZ所在的子网中。实验三:只允许指定IP的用户可以上网。实验四:只允许指定时间,用户可以上网。,第三部分Internet网络访问规则的设置,设置目
5、标:实现用户访问某一站点的功能,新建规则要求新规则只能访问,其它网站均不能访问为新规则创建名称,访问规则动作选择通信协议使用,由于仅仅只访问,所以该规则只允许http协议通过即可(前提是当前ISA规则是拒绝用户访问所有WEB),设置访问规则源设置:由于是为了让内部计算机能够访问163网站,所以规则源选择“内部”.,设置访问规则目标设置:由于是为了让内部计算机能够访问163网站,所以规则目标是一个URL集.所以需要创建一个URL集,然后将规则目标选择为该URL集。,用户集设置 根据实际需要访问163站点的用户设置,设置完成后,需要对该策略“应用”后才能生效。,第四部分禁止使用PtP软件-QQ,一
6、、QQ的登录方式介绍,QQ 可以支持 UDP、HTTP 和 HTTPS 这三种登录方式,而且可以使用 HTTP 代理,这相当于只要你允许了 HTTP 协议,那么 QQ 就可以登录。过去的基于包过滤的防火墙(无论硬件还是软件防火墙)都是没有办法封锁 QQ 的,但是利用 ISA Server 2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。,二、QQ的登录过程介绍,在默认情况下,QQ 先向服务器群的 8000 端口发送 UDP数据包,从服务器群的回复中选择一个最快的作为登录服务器;如果没有服务器回复UDP数据包,则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直
7、接连接,而一般是不能封锁 HTTP 协议的,所以,封锁 QQ 的最好办法是封锁它的服务器 IP,但是 QQ 还可以使用 HTTP 代理登录,所以,还得在 ISA Server 2004 的 HTTP 检查机制中设置禁止QQ 的 HTTP 连接。,三、QQ服务器的三种类型,1、UDP 8000 端口类 18 个:速度最快,服务器最多;QQ 上线会向这些服务器发送 UDP 数据包,选择回复速度最快的一个作为连接服务器。61.144.238.145 61.144.238.146 61.144.238.156 61.144.238.150 202.104.129.251 202.104.129.254
8、 202.104.129.252 202.104.129.253 61.141.194.203 202.96.170.166 218.18.95.221 219.133.45.15 61.141.194.200 61.141.194.224 202.96.170.164 202.96.170.163 219.133.40.216 218.18.95.209,注意:现在肯定远远不只这么多服务器,2、TCP HTTP连接服务器5个,使用HTTP 80和443端口连接。218.17.209.23 218.18.95.153 61.141.194.227 218.18.95.171 218.18.95
9、.221 3、会员VIP登陆服务器,使用HTTP 443安全连接。218.17.209.42,四、禁止QQ的思想,首先需要建立Internet访问规则选择为所有协议。然后再通过ISA 2004的深层检测功能实现对QQ的过滤。,五、禁止QQ的方法,注意:QQ的签名一般使用的是。如果该签名无效,则需要利用数据分析工具抓紧QQ数据包分析具体的签名。,第五部分禁止某些内部用户访问某些网站,本节任务,在 ISA Server 2004 中,禁止客户上网是很简单的事情,这节中讨论的是使用 IP 地址来禁止某些客户上网。,实验思想,操作步骤如下:1、对需要禁止上网的客户建立一个地址范围或者计算机集;然后为禁
10、止这些用户访问的那些站点建立一个地址范围或域名集;2、在防火墙策略中新建一个访问规则;阻止内部的这些计算机集访问定义的外部站点地址范围或域名集;,案例演练,我们演示如何禁止 IP 为 192.168.0.41 的内部客户访问 sina 网站。,一、新建网络对象,首先点开“网络对象”,然后右击“计算机集”,然后选择“新建计算机集”。然后在“新建计算机集规则元素”对话框上点击“添加”,然后选择“计算机”。在“添加计算机规则元素”对话框,输入该计算机名字和 IP 地址,点击”确定”。在“添加计算机规则元素”对话框上点击“确定”,二、建立一个域名集,在“网络对象”中,右击“域名集”,选择“新建域名集”
11、。然后在“新建域名集策略元素”对话框中,点两次“新建”按钮,然后分别把域名修改为“*”和“*.”,然后点击“确定”.,三、建立访问规则,右键点击防火墙策略,选择新建“访问规则”,在新建访问规则向导页输入规则的名字,在此我们命名为“禁止某些客户访问 sina在规则操作页,选择“拒绝”;在协议页,选择“所有出站通讯”;在访问规则源页,把计算机集中的“禁止的客户”选中在访问规则目标页,点“添加”,然后选择创建的sina域名集。,第六部分访问规则的基本管理,认识网络规则属性界面,新建访问规则的属性界面结构,“操作”选项卡的介绍,“操作”选项卡是用来设置规则执行动作。注意:如果对allowe 163规则
12、修改为“拒绝”,并如图设置则用户将无法访问该站点,但是在浏览器中输入则将自动跳转到http:/,“计划”选项卡的介绍,“计划”选项卡是用来设置规则执行时间。默认有三种情况,但是用户也可以根据实际需要自己创建额外的计划。,“内容类型”选项卡的介绍,“内容类型”选项卡的介绍,第七部分 HTTP、FTP数据包的过滤,一、HTTP、FTP数据包过滤,1、Http和Ftp是最常用的对外或对内的网络连接服务,因此对Http和Ftp实行包过滤是保证网络安全的一种必要措施。,ISA Server 2004对Http数据包的过滤项,最大头长度:值越小越安全建议设置长度不小于10 000B,最大查询长度:有效设置
13、可以避免蠕虫,发送get请求,导致网络系统的瘫痪。,最负载长度:可以避免http站点被post大量恶意数据包,导致网站负载过大。,最大URL长度:超过设置值长度的网址将被阻止。,另外还有验证正规化与阻止高位字符,阻止包含Windows可执行内容的响应,Http和Ftp数据包过滤的具体操作 定位到:“新建internet访问规则/协议/筛选/配置Http/常规选项卡”。,2、Post、Get 对一个企业来说,总不希望员工将公司内部的资料上传到其它网站中,为了有效管理公司员工的活动状态,可以让员工按照管理员的意图来使用网络,定位到:“新建internet访问规则/协议/筛选/配置Http/方法选项
14、卡”.通过该项操作可以让网络用户按照指定的方法使用网络.Post表示上传Get表示下载,定位到:“新建internet访问规则/协议/筛选/配置Http/扩展名选项卡”.通过该项操作可以避免网络用户从网络中下载或安装一些有可能含有病毒代码的可执行文件.,3、对可执行文件的处理,4、签名选项卡:利用公网访问策略http管理中的签名选项卡实现内部用户禁止使用QQ。,注意:具体的签名可以利用网络抓包软件进行分析后得到。,第八部分 ISA的管理委派,服务器管理委派,服务器管理委派的目的是为了让其他人员分担管理员的工作负担。,定位到:“配置/常规/管理委派,ISA的权限ISA服务器完全权限管理员ISA服务器扩展监视ISA服务器基本监视,服务器管理委派,默认情况,权限指派,扩展训练,Ping规则的创建,共享规则的创建,创建内部计算机访问ISA上的DNS,发布在外部可以利用DNS解析的站点,
