访问规则.ppt

1、Click to edit Title Slide,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,ISA,基本管理与访问规则设置,1,第一部分访问规则大纲,1，策略元素,2，网络规则,3，系统策略,4，访问规则,2,策略元素,3,ISA2004,中三条规则：,规则一、,网络规则：路由,还是,NAT,，利用“网络规则”可以创建路由和,NAT,默认情况下,IP,路由规则处于启用状态,.,查看,:,防火墙策略,/,任务,/,定义,IP,首选项,4,ISA2004,中三条规则：,规则

2、二、,系统规则：,30,条规则控制本地主机到目标的通讯；你可以启用或者禁用这些规则。,5,ISA2004,中三条规则：,规则三、,防火墙策略：自定义的所有规则，包括访问规则和发布规则，最后有条缺省规则不能修改或删除。,6,制定访问规则 需要注意的五点内容,:,规则内容；规则动作；规则源；规则目标；规则对象,(,即用户,),规则设置五要素,9,网络规则,10,系统策略(针对本地的策略),11,点击如图的显示系统策略 会显示出来,或是点击,12,显示如图 总共,30,条 几乎含盖所有需求,全部针对本地生效,13,如我们所遇见的 安装完,ISA2004,后 不能访问外部网站的 问题 在理解本地规则后

3、就不用添加 所有到所有的 允许访问规则了 只要 起用本地策略第第,18,条（默认停止）,还有本地第七条,DNS,访问（默认开启）即可,14,如何启用 本地规则,鼠标右击,选择“编辑系统策略”；或者直接双击需要编辑的策略即可,15,案例演示,1,、通过系统策略设置让本地计算机成功的访问,Internet,2,、通过本地策略限制让本地计算机不能,ping,外部计算机的,IP,地址。,16,第二部分,Internet,网络访问规则的设置,设置目标：,实现内部计算机能够成功访问外部网络,17,访问规则目标：,让内部所有用户能够成功利用,http,协议访问,Internet,1,、新建规则,2,、规则命

4、名,18,规则动作：允许,规则协议：全部通讯,(,或者仅仅针对,http,协议设置,),19,规则源地址：内部,20,规则目标地址：外网,21,规则对象：所有用户,22,这是允许所有通讯,23,如果要设定 更为详细的 访问规则 在 通讯类型中添加,如 只想让用户进行网页浏览 就添加,HTTP,和安全的,HTTPS,协议,24,实验：访问规则,实验一：允许内网用户可以访问互联网。,实验二：允许内网用户可以路由到DMZ所在的子网中。,实验三：只允许指定IP的用户可以上网。,实验四：只允许指定时间，用户可以上网。,25,第三部分,Internet,网络访问规则的设置,设置目标：,实现用户访问某一站点

5、的功能,26,新建规则,要求新规则只能访问,，其它网站均不能访问,为新规则创建名称,27,访问规则动作选择,通信协议使用，由于仅仅只访问,，所以该规则只允许,http,协议通过即可（前提是当前,ISA,规则是拒绝用户访问所有,WEB,）,28,设置访问规则源设置：,由于是为了让内部计算机能够访问,163,网站，所以规则源选择“内部”,.,29,设置访问规则目标设置：,由于是为了让内部计算机能够访问,163,网站，所以规则目标是一个,URL,集,.,所以需要创建一个,URL,集，然后将规则目标选择为该,URL,集。,30,用户集设置,根据实际需要访问,163,站点的用户设置,设置完成后，需要对该

6、策略“应用”后才能生效。,31,第四部分禁止使用,PtP,软件,-QQ,32,一、,QQ,的登录方式介绍,QQ,可以支持,UDP,、,HTTP,和,HTTPS,这三种登录方式，而且可以使用,HTTP,代理，这相当于只要你允许了,HTTP,协议，那么,QQ,就可以登录。,过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁,QQ,的，但是利用,ISA Server 2004,的深层,HTTP,检查机制就可以很好的禁止,QQ,软件。,33,二、,QQ,的登录过程介绍,在默认情况下，,QQ,先向服务器群的,8000,端口发送,UDP,数据包，从服务器群的回复中选择一个最快的作为登录服务

7、器；如果没有服务器回复,UDP,数据包，则使用,TCP 80/443,端口来进行连接。因为他可以使用,HTTP,直接连接，而一般是不能封锁,HTTP,协议的，所以，封锁,QQ,的最好办法是封锁它的服务器,IP,，但是,QQ,还可以使用,HTTP,代理登录，所以，还得在,ISA Server 2004,的,HTTP,检查机制中设置禁止,QQ,的,HTTP,连接。,34,三、QQ服务器的三种类型,1,、,UDP 8000,端口类,18,个：速度最快，服务器最多；,QQ,上线会向这些服务器发送,UDP,数据包，选择回复速度最快的一个作为连接服务器。,61.144.238.145,61.144.238

8、146,61.144.238.156,61.144.238.150,202.104.129.251,202.104.129.254,202.104.129.252,202.104.129.253,61.141.194.203,202.96.170.166,218.18.95.221,219.133.45.15,61.141.194.200,61.141.194.224,202.96.170.164,202.96.170.163,219.133.40.216,218.18.95.209,35,注意：现在肯定远远不只这么多服务器,2,、,TCP HTTP,连接服务器,5,个，使用,HTTP 80

9、和,443,端口连接。,218.17.209.23,218.18.95.153,61.141.194.227,218.18.95.171,218.18.95.221,3,、会员,VIP,登陆服务器，使用,HTTP 443,安全连接。,218.17.209.42,36,四、禁止,QQ,的思想,首先需要建立Internet访问规则选择为所有协议。,然后再通过ISA 2004的深层检测功能实现对QQ的过滤。,37,五、禁止,QQ,的方法,注意：,QQ,的签名一般使用的是,。如果该签名无效，则需要利用数据分析工具抓紧,QQ,数据包分析具体的签名。,38,第五部分,禁止某些内部用户访问某些网站,39,

10、本节任务,在,ISA Server 2004,中，禁止客户上网是很简单的事情，这节中讨论的是使用,IP,地址来禁止某些客户上网。,40,实验思想,操作步骤如下：,1,、对需要禁止上网的客户建立一个地址范围或者计算机集；然后为禁止这些用户访问的那些站点建立一个地址范围或域名集；,2,、在防火墙策略中新建一个访问规则；阻止内部的这些计算机集访问定义的外部站点地址范围或域名集；,41,案例演练,我们演示如何禁止,IP,为,192.168.0.41,的内部客户访问,sina,网站。,42,一、,新建网络对象,首先点开“网络对象”，然后右击“计算机集”，然后选择“新建计算机集”。,然后在“新建计算机集规

11、则元素”对话框上点击“添加”，然后选择“计算机”。,在“添加计算机规则元素”对话框，输入该计算机名字和,IP,地址，点击”确定”。,在“,添加计算机规则元素,”对话框上点击“确定”,43,二、建立一个域名集,在“,网络对象,”中，右击“,域名集,”，选择“,新建域名集,”。,然后在“,新建域名集策略元素,”对话框中，点两次“,新建,”按钮，然后分别把域名修改为“*,”,和“*,”,，然后点击“,确定,”,.,44,三、,建立访问规则,右键点击防火墙策略，选择新建“,访问规则,”，在新建访问规则向导页输入规则的名字，在此我们命名为“,禁止某些客户访问,sina,在,规则操作页,，选择“拒绝”；,

12、在,协议页,，选择“所有出站通讯”；,在,访问规则源,页，把计算机集中的“禁止的客户”选中,在,访问规则目标,页，点“添加”，然后选择创建的,sina,域名集。,45,第六部分访问规则的基本管理,46,认识网络规则属性界面,新建访问规则的属性界面结构,47,“操作”选项卡的介绍,“操作”选项卡是用来设置规则执行动作。,注意：,如果对,allowe 163,规则修改为“拒绝”,并如图设置则用户将无法访问该站点，但是在浏览器中输入,则将自动跳转到,48,“计划”选项卡的介绍,“计划”选项卡是用来设置规则执行时间。,默认有三种情况，但是用户也可以根据实际需要自己创建额外的计划。,49,“内容类型”选

13、项卡的介绍,“内容类型”选项卡的介绍,50,第七部分,HTTP,、,FTP,数据包的过滤,51,一、,HTTP,、,FTP,数据包过滤,1,、,Http,和,Ftp,是最常用的对外或对内的网络连接服务，因此对,Http,和,Ftp,实行包过滤是保证网络安全的一种必要措施。,ISA Server 2004对Http数据包的过滤项,最大头长度：值越小越安全建议设置长度不小于,10 000B,最大查询长度：有效设置可以避免蠕虫，发送,get,请求，导致网络系统的瘫痪。,最负载长度：可以避免,http,站点被,post,大量恶意数据包，导致网站负载过大。,最大,URL,长度：超过设置值长度的网址将被阻

14、止。,另外还有验证正规化与阻止高位字符,阻止包含,Windows,可执行内容的响应,52,Http,和,Ftp,数据包过滤的具体操作,定位到：“新建,internet,访问规则,/,协议,/,筛选,/,配置,Http/,常规选项卡”。,53,2,、,Post,、,Get,对一个企业来说，总不希望员工将公司内部的资料上传到其它网站中，为了有效管理公司员工的活动状态，可以让员工按照管理员的意图来使用网络,定位到：“新建,internet,访问规则,/,协议,/,筛选,/,配置,Http/,方法选项卡”,.,通过该项操作可以让网络用户按照指定的方法使用网络,.,Post,表示上传,Get,表示下载,

15、54,定位到：“新建,internet,访问规则,/,协议,/,筛选,/,配置,Http/,扩展名选项卡”,.,通过该项操作可以避免网络用户从网络中下载或安装一些有可能含有病毒代码的可执行文件,.,3,、对可执行文件的处理,55,4,、签名选项卡,:,利用公网访问策略,http,管理中的签名选项卡实现内部用户禁止使用,QQ,。,注意：具体的签名可以利用网络抓包软件进行分析后得到。,56,第八部分,ISA,的管理委派,57,服务器管理委派,服务器管理委派的目的是为了让其他人员分担管理员的工作负担。,定位到：“配置,/,常规,/,管理委派,ISA,的权限,ISA,服务器完全权限管理员,ISA,服务器扩展监视,ISA,服务器基本监视,58,服务器管理委派,默认情况,权限指派,59,扩展训练,Ping规则的创建,共享规则的创建,创建内部计算机访问ISA上的DNS,发布在外部可以利用DNS解析的站点,60,