 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
访问规则决定源网络上的客户端如何访问目标网络上的资源。
您可以将访问规则配置为适用于所有 IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有 IP 通讯。
有关说明,请参阅创建访问规则。
注意
ISA 服务器包含预配置的、已知协议定义的列表,其中包括最广泛使用的 Internet 协议。您还可以添加或修改其他协议。
当客户端使用特定协议请求对象时,ISA 服务器将检查访问规则。仅当某个访问规则明确允许客户端使用特定的协议进行通讯,并且允许访问请求的对象时才处理请求。
有关说明,请参阅为访问规则配置协议。
一些应用程序筛选器将创建和安装新协议定义。禁用应用程序筛选器之后,同时将禁用其所有协议定义。也就是说将阻止使用该协议定义的通讯。例如,如果您禁用流媒体筛选器,则使用 Windows Media® 和 RealNetworks 协议定义的所有通讯都将被阻止。
其他应用程序筛选器用于处理现有协议定义,这些协议定义既可以是用户定义的,也可以是通过 ISA 服务器配置的。禁用这些应用程序筛选器之后,不会禁用它们筛选的协议定义。例如,即使禁用简单邮件传输协议 (SMTP) 筛选器,可能仍然允许传递未筛选的 SMTP 协议定义。
当访问规则允许所有 IP 通讯时,ISA 服务器将任何匹配该规则的通讯传递到适合的应用程序筛选器。如果通讯不符合应用程序筛选器的标准,ISA 服务器将拒绝通讯,并且将关闭连接。
当由应用程序筛选器定义协议或将访问规则适用于只有一个首要连接的协议时(例如,超文本传输协议 (HTTP)),访问规则将适用于防火墙客户端和 SecureNAT 客户端。
如果协议拥有辅助连接,并且它不是由应用程序筛选器定义的,则访问规则只适用于首要连接。也就是说,如果应用程序使用拥有辅助连接的协议,则此应用程序将只在防火墙客户端上运行。
对于 SecureNAT 客户端,如果将访问规则配置为应用于所有 IP 通讯,则该规则将只应用于所有定义的协议。
应用程序筛选将基于每条规则进行应用。这意味着您可以选择最适合于您特定的安全需求的防火墙策略。例如,假设您允许所有内部用户使用所有协议访问 Internet。在这种情况下,您可以选择启用最大筛选。然而,假设您还要允许从内部网络到特定的受信任网络进行较低限制的远程过程调用 (RPC) 访问。在这种情况下,您可能要考虑不应用 RPC 筛选器严格的符合标准(采用该方式将允许网络之间进行 DCOM 通讯)。
每条规则筛选可用于下列应用程序筛选器中的访问规则:
有关说明,请参阅配置每条规则筛选。
在安装 ISA 服务器时将创建一条默认规则,用于拒绝出入所有网络的全部访问。不能修改或删除此默认规则。
注意
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|