鸿 网 互 联 www.68idc.cn

使用ISAServer2004中&#3034

来源:互联网 作者:佚名 时间:2015-06-17 09:36
摘要 URL 集和域名集是在配置 Microsoft Internet Security and Acceleration (ISA) Server 规则时可以创建和使用的工具箱元素 URL 集指定一个或多个分组到一个集合中的 URL 域名集将一个或多个域名定义为单个集合 URL 集 您可以创建 URL 集 然后在访问规则

  摘要
  URL 集和域名集是在配置 Microsoft Internet Security and Acceleration (ISA) Server 规则时可以创建和使用的工具箱元素URL 集指定一个或多个分组到一个集合中的 URL域名集将一个或多个域名定义为单个集合
  
  URL 集
  您可以创建 URL 集然后在访问规则中使用以允许或拒绝对该集合中指定的 Web 站点的访问当 ISA Server 处理一个应用于某 URL 集的规则时它只为 Web 流量请求(HTTPHTTPS 或 HTTP 上的 FTP)处理该规则的 URL 集合元素如果客户端请求使用另外的协议(防火墙流量)ISA Server 将在处理该规则时忽略该 URL 集例如如果某规则同时指定了一个计算机集和一个 URL 集作为目标标准则该规则仅评价计算机URL 集将被忽略
  
  在创建 URL 集时请注意以下事项
  您能够以 URL 格式指定一个或多个 URL
  ://:/
  
  在该名称的主机部分您可以使用通配符(*)来指定计算机集例如要指定 域中的所有计算机可指定为 *
  
  在该名称的路径部分您可以指定一个通配符星号作为路径的一部分但是只能在结尾处指定例如
  /* 是可接受的
  
  /*/sales 是不可接受的
  
  不能将 URL 集指定为 IP 地址
  
  在将请求与包含 URL 集的规则匹配时请注意以下情况
  匹配时仅考虑请求中的主机名称和路径
  URL 的协议部分将从请求中去除并被忽略
  
  指定的任何端口号将从请求中去除并被忽略
  
  如果某个请求包括一个问号()问号及其后面的所有内容将在匹配之前从请求中去除
  
  在匹配时主机和路径名称不区分大小写
  
  对于 HTTP 和 HTTP 上的 FTP当请求中指定的 URL 不带路径时它将匹配任何路径换句话说等价于 *
  
  对于 HTTPS 流量仅当 URL 没有指定路径时才会处理 URL 集例如 或如果 URL 指定了路径(即使只是/那么对于 HTTPS 流量该 URL 将被忽略
  
  一些 URL 集映射例子如下
  
  对于 URL 集条目
  ftp://:/apath
  针对 的请求将得到匹配针对 的请求也会得到匹配因为协议和端口被去除了
  
  对于 URL 集条目
  
  
  针对 的请求将得到匹配针对 的请求也会得到匹配换句话说 等价于 * 例外情况是 HTTPS 请求它们不会被处理因为指定了路径
  
  对于 URL 集条目
  
  
  针对 的请求将得到匹配但是针对 的请求不会得到匹配在这样的条目中请求与跟在a后面的树不匹配
  
  对于 URL 集条目
  
  
  问号及其后面的所有内容从请求中去除了因此如果在拒绝规则中指定该 URL 集并且有一个针对 的请求到达该请求将被截断为 并得到允许因为它与拒绝规则中指定的 URL 集不匹配为了阻止这样的请求应该在 URL 集中指定
  
  对于 URL 集条目
  HTTPS 请求将得到匹配因为没有指定路径
  
  对于 URL 集条目
  
  /HTTPS 请求将不会得到匹配因为指定了路径(/
  
  域集
  域集将一个或多个域名集聚为单个集合以便在防火墙策略中使用
  
  请注意以下事项
  不能将域名集指定为 IP 地址
  
  在将域名指定为某个域名集的一部分时可以使用通配符(*)来指定域中的一组计算机例如为了指定 域中的所有计算机可键入 * 作为域名
  
  如果要指定通配符星号它只能出现在域名的开头并且只能在该名称中指定一次
  
  在指定域名时可使用完全限定的域名(FQDN)例如compute而不是 \\computer_name
  
  在创建具有通配符的域(比如*)时这仅包括该域的主计算机例如 注意如果域名指向某个主机* 将不会影响 URL
  
  推荐输入 DNS 所返回的域名如果在域名的结尾指定一个点针对该域名(不带点)的请求可能无法按需要的那样匹配
  
  在匹配规则时域名不区分大小写
  
  名称解析
  ISA Server 根据访问策略来判断请求是应该被允许还是被拒绝ISA Server 规则引擎尝试将请求与访问规则匹配然后再与路由规则匹配包括域名集和 URL 集的规则需要名称解析等功能如果不存在阻止规则匹配的规则标准并且在执行名称解析时该规则与请求相匹配则该规则将受名称解析的限制换句话说如果该规则包含一个 URL 集但是该规则的计划安排限制阻止了匹配则该规则将不受名称解析的限制可以标记以下类型的请求来进行名称解析
  按名称指定的 Web 请求遇到一个将地址范围指定为目标标准(正向查找)的规则
  
  按 IP 地址指定的 Web 请求遇到一个将 URL 集指定为目标标准(反向查找)的规则
  
  包括自己的 DNS 缓存的防火墙服务如果所请求的 IP 地址或主机名称驻留在该缓存中该请求将在不发出 DNS 请求的情况下处理否则就会使用 Windows API 发出一个 DNS 请求名称解析提供一个主机条目然后规则引擎把该条目与规则的目标标准作比较规则引擎对照 URL 集和域名集条目执行字符串比较
  
  要重点注意的是需要名称解析的规则是根据 DNS 解析信息来评价和强制实施的如果没有正确和安全地配置 DNS 信息规则也许就无法按需要的那样应用
网友评论
<