4.2 创建自定义的策略单元
ISA Server中所配置的访问策略能够让您判断在什么时候、从哪些源地址发出、到哪些目的、以及哪一种类型的通信可以被允许通过防火墙。在任何访问策略中,每一个特定的参数,例如内容类型、时间表、客户集、以及目的等都称为策略单元。这些策略单元就是构成策略规则的构造块。因为ISA Server允许您定义自己的策略单元,所以您可以自定义规则参数来适应自己特定的网络需求。
本节学习目标
l 在ISA Server中创建和配置自定义的策略单元
估计学习时间:45 分钟
4.2.1 策略单元
策略单元是策略规则的参数或构造块。例如,某些时候拒绝一个客户集对某个Web内容的访问时,这个客户集、Web内容、以及这些特定的时间就是所谓的策略单元。ISA Server允许创建策略单元,且这些策略单元可以在定义的任何规则中使用。所创建的策略单元可以是企业级或阵列级,它们包括:
l 时间表
l 带宽优先级
l 目的集
l 客户端地址集
l 协议定义
l 内容组
l 拨号项
4.2.1.1 阵列级和企业级策略单元
如果您使用的是ISA Server企业版,而且需要定义一个适合整个企业的访问策略,那么就可以定义企业级的策略单元。创建企业级的规则之后,就可以使用这些企业级的策略单元了。
阵列级的策略和企业级的策略在一起使用时,也可以将阵列级的规则应用到企业级的策略单 元中。
对于独立的服务器,只能创建阵列级的策略单元。
4.2.2 配置时间表
创建规则时,可以将时间表应用到规则中,以确定规则什么时候生效。
ISA Server预先配置有以下两种时间表:
l 周末,在星期六和星期天全天都允许访问
l 工作时间,从星期一到星期五的上午9:00到下午5:00时间段允许访问
ISA Server还允许自定义时间表策略单元,如图4.4所示。
以下规则可以规定时间表:
l 站点和内容规则
l 协议规则
l 带宽规则
Ø 按如下步骤创建一个时间表:
1. 在ISA Management控制台树上,右击Schedules,指向New,然后单击Schedule。
2. 在Name字段,输入该时间表的名称。
3. (可选项) 在Description字段,输入该时间表的描述。
4. 使用表格来设置时间表。
u 单击某一单元,选择一特定工作日的某一特定时间。
u 单击左列中的某一工作日,选择整个工作日。
u 单击顶端行中的某一时间,选择所有工作日的该时间。
5. 单击Active单选按钮,使得规则在选定的时间内处于激活状态;或者单击Inactive单选按钮,使得规则在选定时间内处在禁止状态。
在时间表格中,暗色的单元意味着这个规则在该天的该时间内是有效的(active);白色的单元则意味着该规则是无效的(inactive)。
4.2.3 配置目的集
目的集就是计算机名称、IP地址、域名、或者IP范围。它们每一项都能包含路径。目的集包括一台或多台计算机,或者是特定计算机上的文件夹。规则能够应用到所有的目的集中,或者是除了指定目的集以外的所有计算机中,或者是某一个特定的目的集中。当定义一个目的集时,可以根据域名或者IP地址范围来指定一个给定的目的。也可以用通配符来指定选定域的所有主机名。例如,要指定域microsoft.com中的所有计算机,可以将*.microsoft.com作为目的输入。需要说明的是,通配符 (*) 只能出现在域名的开头,并且在该域名中只能使用一次。图4.5所示为目的集定义的一个例子。同样,可以在目的集中指定一个特定的路径来允许或防止客户端访问该路径。路径也可以包含通配符。
指定目的时,可以使用以下格式。计算机名、路径、以及文件名等不区分大小写。下式将所有文件都包含在一个文件夹中:/Path/Folder_Name/*。在文件夹中选择某一特定文件:Folder_Name/Filename。规则能够应用到内部目的集或外部目的集。内部目的集就是局域网内部的计算机组,而外部目的集包括局域网以外的计算机。
以下规则可以用来规定目的集:
l 站点和内容规则
l 带宽规则
l Web 发布规则
l 路由规则
对于站点和内容规则以及带宽规则而言,目的集通常包括那些不在内部局域网上的计算机。对于Web发布规则而言,目的集通常包括位于内部局域网上的计算机。对于路由规则而言,那些路由传出Web请求的规则,它们的目的集包括外部计算机(位于Internet上),而那些路由传入Web请求的路由规则则包括内部计算机。
彻底完美解决Photoshop CC 2015/20
安塞尔·亚当斯的摄影作品
KATE
MARGO
IP卡
狗仔卡
发表于 2008-12-28 12:28:22
收藏
转播
分享
淘帖
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡