 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
使用 ISA Server 2004,可以创建包含一组发布规则和访问规则的防火墙策略。这些规则与网络规则一起,共同决定了客户端如何跨网络来访问资源。有关详细信息,请参阅防火墙策略规则。
ISA 服务器的一个主要功能是连接源网络与目标网络,同时阻止恶意访问。为了帮助建立此连接,您使用 ISA 服务器来创建允许源网络中的客户端访问目标网络中的特定计算机的访问策略。此访问策略决定了客户端如何访问其他网络。
当 ISA 服务器处理传出请求时,它检查网络规则和防火墙策略规则以确定是否允许访问。
可以配置某些规则应用于特定的客户端。在这种情况下,可以通过 IP 地址或用户名来指定客户端。ISA 服务器根据请求对象的客户端类型以及 ISA 服务器的配置来相应地处理请求。
首先,ISA 服务器检查网络规则,以确认两个网络已连接。如果网络规则定义了源网络与目标网络之间的连接,ISA 服务器将处理访问策略规则。有关详细信息,请参阅网络规则。
接下来,ISA 服务器按顺序检查访问规则。如果对该请求应用了允许规则,ISA 服务器将允许该请求。特别是在请求与下列规则条件相匹配时,ISA 服务器将应用规则:
应用规则之后,ISA 服务器不将请求与其他任何规则相匹配,并停止规则评估。随后,ISA 服务器实际上可能拒绝请求,具体情况取决于应用于规则的其他协议筛选。
最后,ISA 服务器再次检查网络规则,以确定网络是如何连接的。ISA 服务器检查 Web 链规则(如果请求对象的是 Web 代理客户端)或防火墙链配置(如果请求对象的是 SecureNAT 或防火墙客户端),以确定将如何处理请求。
例如,假定您将 ISA 服务器安装到具有两个网卡的计算机上:一个网卡连接到 Internet,另一个则连接到本地网络。您公司的许可原则是允许所有用户访问所有站点。在这种情况下,您的策略应包含下列访问策略规则:
ISA 服务器可以使服务器安全地接受来自其他网络客户端的访问。您使用 ISA 服务器创建一条发布策略以便安全地发布服务器。发布策略包含 Web 发布规则、服务器发布规则、安全 Web 发布规则以及邮件服务器发布规则,它与 Web 链规则一起共同确定如何访问发布的服务器。
可以使用下列 ISA 服务器规则之一来发布服务器:
当 ISA 服务器处理来自客户端的 HTTP 或 HTTPS 请求时,它检查发布规则和 Web 链规则,以确定是否允许该请求,以及将由哪一台服务器来处理该请求。
对于非 HTTP 请求,ISA 服务器检查网络规则,然后检查发布规则以确定是否允许该请求。
对于传入的 Web 请求,是按下列顺序来处理规则的:
例如,请考虑这样一个方案:您将 ISA 服务器安装到具有两个网络适配器的计算机上,其中一个适配器连接到 Internet,而另一个则连接到本地网络。将应用下列规则:
Web 发布规则是按顺序处理的,其中默认 Web 发布规则最后处理。Web 链规则也是按顺序处理的。
当外部客户端向内部 Web 服务器请求对象时,将按下列顺序处理规则:
例如,考虑下列规则:
当外部 (Internet) 用户从 widgets.microsoft.com 请求对象时,ISA 服务器拦截该请求。它首先处理 Web 发布规则,确定应将该请求重定向到 msweb 计算机。接下来,它处理 Web 链规则,确定请求将由指定的服务器 (msweb) 直接处理。
下面的示例说明了当创建 Web 发布规则而不创建相应的 Web 链规则时所发生的情形:
在这种情况下,将首先处理 Web 发布规则。对 example.microsoft.com 发出的所有请求都将被重定向到 myinternalms。但是,Web 链规则规定应将该请求路由到上游服务器(而不是直接发送到目标服务器)。该请求将总是被路由到上游服务器。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|