配置ISA Server的协议规则

    ZDNetChina服务器站 x86服务器技巧

　　如果要允许内部网络上的客户端访问Internet，则需要配置协议规则。协议规则、站点和内容规则和IP数据包筛选器共同定义访问策略。协议规则指定来自哪些客户端的特定的协议可以允许通过ISA Server，以及在什么时候。
　
　　一、协议规则

　　协议规则确定客户端可以使用哪些协议来访问Internet。协议规则可以允许或拒绝使用一个或多个协议定义。它也可以应用到所有的IP通信或者一个指定的协议定义集中。
　　
　　对于安全网络地址转换客户端而言，协议规则可以应用到所有的计算机中或者按IP地址指定的一组计算机中。对于防火墙客户端而言，协议规则可以应用到所有的计算机中，或者是按IP地址指定的一组计算机中，也可以应用到在Windows 2000所定义的特定的用户和组中。
　　
　　按如下步骤创建协议规则：
　　
　　1.在ISA Management控制台树上，右击Protocol Rules，指向New，然后单击Rule。
　　
　　2.在New Protocol Rule Wizard屏幕中，输入该协议规则的名称，然后单击Next。
　　
　　3.在Rule Action页中，指定该规则是允许还是拒绝请求，然后单击Next。
　　
　　4.在Protocols页中，指定该规则所采用的协议，然后单击Next。
　　
　　5.在Schedule页中，指定该规则何时应用，然后单击Next。
　　
　　6.在Client Type页中，指定该规则应用于哪些客户端，然后单击Next。 　　
　　
　　注意　将企业策略应用到此阵列中，只能创建拒绝型规则。　　
　　
　　您可以修改先前任何时候所创建的协议规则。访问ISA Management中的协议规则属性对话框便可进行修改。
　　
　　按如下步骤修改协议规则：
　　
　　1.在ISA Management控制台树上，单击Protocol Rules。
　　
　　2.在View菜单中选取Advanced。
　　
　　3.在详细信息窗格中，右击现行协议规则，然后单击Properties。
　　
　　4.在Protocol选项卡中，选择下述任一步骤：
　　
　　u 如果规则应用到所有的协议中，包括那些没有被ISA Server 明确定义的协议，那么单击All IP Traffic。
　　
　　u 如果规则只应用到所选择的协议中，那么单击Selected Protocols。
　　
　　u 如果规则应用到选定的协议以外的所有协议中，那么单击All IP Traffic Except Selected。
　　
　　5.如果选择了Selected Protocols或者All IP Traffic Excepted Selected，那么在Protocols中，选择一个或多个协议定义。
　　
　　注意　如果要指定的协议定义不存在，可以单击New进行创建，然后在列表中选中它。
　　
    二、协议规则配置方案

　　假设您要禁止组织内的一组用户在工作时间内使用MSN Messenger。如果所有的客户机上已经安装并启用了防火墙客户端软件，那么可以配置如下参数来创建协议规则，从而实施此策略：
　　
　　·设置Action to Deny The Request
　　
　　·选定Selected Protocols
　　
　　·选择MSN Messenger协议
　　
　　·选择Work Hours时间表
　　
　　·选择Specific Users And Groups单选按钮，如图4.9所示
　　
　　·选择适当的用户组

　　三、协议的可用性

　　ISA Server有一个协议定义表。表中含有86个预先定义且为用户所熟知的协议定义，包括广为应用的Internet协议。也可以另外添加协议或者是对添加协议进行修改。需要说明的是，如果ISA Server是以缓存模式安装的，那么协议规则只能应用到HTTP、HTTPS、Gopher、以及 FTP 等协　　议中。
　　
　　客户端用特定的协议向目标发出请求时，ISA Server就会检测协议规则。如果协议规则明确地拒绝使用该协议，那么请求会被拒绝。只有协议规则明确地允许该客户端使用该协议，并且站点和内容规则明确允许访问该目标，请求才会被处理。换句话说，要允许访问必须执行以下步骤来：
　　
　　1.创建一个协议规则，指出哪些协议可以用来访问特定的目的。
　　
　　2. 创建一个站点和内容规则，指出允许哪些客户端访问特定的目的集。ISA Server是以集成模式或防火墙模式安装时，站点和内容规则默认被启用，它允许访问所有的站点和内容　类型。
　　
　　4.3.3.1 应用程序筛选器和协议的可用性
　　ISA Management在Policy Elements节点的Protocol Definitions文件夹中，提供了所有预先定义的86种协议及您所定义的新协议的信息。在ISA Management的详细信息窗格的协议定义列表中，您会发现有些协议是由ISA Server 定义的，有些则是由应用程序筛选器所定义的。
　　
　　所示为协议定义列表。

　　对于那些由应用程序筛选器创建和安装的协议，源应用程序筛选器禁用时，所有与之对应的协议定义也就禁用了。也就是说，使用该协议定义的通信就会被阻塞。例如，如果流媒体筛选器禁用，那么使用Windows Media以及Real Networks协议定义的通信都会被　　阻塞。
　　
　　需要注意的是，有些应用程序筛选器使用的协议是由ISA Server定义的，而不是它自己定义的。这些应用程序筛选器禁用时，相应的协议定义仍能正常工作。例如，假使令SMTP筛选器失效，但SMTP数据包能被允许通过，因为SMTP协议是由ISA Server定义的，而不是SMTP筛选器定义的。
　　
　　四、处理次序

　　协议规则不像路由规则，它没有优先级之分。只有拒绝类型协议规则比允许类型规则优先。例如，创建两个规则，一个允许使用所有的协议，另一个拒绝使用SMTP协议，那么就不允许使用SMTP协议。
　　
　　五、阵列级和企业级协议规则

　　协议规则可以创建成阵列级和企业级。阵列策略作为企业策略的补充时，它的协议规则只能进一步地限制企业级的协议规则。换句话说，应用的是企业策略时，阵列级的协议规则只能拒绝某些特定的协议。
　　
　　六、Web协议

　　在ISA Management的作用域窗格中选择协议规则，就可以用详细信息窗格中的任务板来创建一个协议规则。该规则允许用户只能使用特定的Web协议来访问Internet。通过单击名称为Allow Web Protocols的图标来实现这一步。所列出的这些Web协议定义，都是在安装ISA Server时就预先配置好的，其中有的是ISA Server定义的，有的是ISA Server的应用程序筛选器定义的。

　　七、ISA Server安装的协议定义

　　ISA Server包含的协议定义。