Раздел: Документация

0 ... 40 41 42 43 44 45 46 ... 131

Занятие 2, Создание элементов политики

Политики доступа, создаваемые на ISA-сервере, определяют, каким видам трафика, в какое время, из каких источников и к каким адресатам разрешается проходить через брандмауэр. Параметры политики доступа, такие ьа к тип содержимого, расписание, подмножество клиентов или адресатов, называются элементами политик. Это «кирпичики», из которых строятся правила политики. Пользователю разрешается определять собственные элементы политики и настраивать параметры правил в соответствии с потребностями конкретной сети.

Изучив материал этоговы сможете:

создавать и настраивать элементы политики на ISA-сервере. Продолжительность занятия — около 45 минут.

Элементы политики

Элементы политики — это параметры или строительные блоки правил политики. Создавая правило, которое запрещает какому-то подмножеству K.nteiнов доступ к определенному Web-содержимому в указанные временные рамки, вы используете такие элементы политик, как подмножество клиентов, Weh-содержимое и расписание. ISA-сервер позволяет создавать элементы политики и затемих вЭлементы политики создаются на уровне предприятия или на уровне массива. Сушестмуют следующие типы элементов политики:

•расписания;

•приоритеты пропускной способности;

•подмножества адресатов;

•подмножества адресов клиентов;

•определения протоколов;

•группы содержимого;

•записи подключений по телефонной линии.

Элементы политики уровня массива и уровня предприятия

Когда при использовании ISA Server Enterprise Edition требуется определить политику доступа на уровне предприятия, определяют элементы политики уровня предприятия. В дальнейшем они применяются при создании правил уровня предприятия.

При совместном использовании политик уровня массива и уровня предприятия вы вправе применять в правилах уровня массива элементы политики уровня предприятия.

На изолированных серверах разрешается создавать только элементы политики уровня массива.

Настройка расписаний

Для определения времени действия создаваемого правила используют расписание. ISA-сервер содержит два предустановленных расписания:

•Weekends (выходные) — суббота и воскресенье;

Workhours (рабочее время) — с 9 до 17 часов, ежедневно, с понедельника по пятницу. Кроме того, ISA-сервер позволяет создавать настраиваемые расписания (рис. 4 >

---

Их обычно используют в следующих правилах: правилах узлов и содержимого; правилах протоколов; правилах пропускной способности.

NewCfv

Detcnptiorr

I Second shitt

5PM lo 1AM weekdays

Setto ;tte shst aie based

1 12-

й

10- 12- 2

АЛ

8-10-12 JJJ.

Monday Tuesday Wednesday j Thursday Fnday

Sundcv bough Siaturdey from 12 АИ to 12AM I I

3

ок.

Canc-i

Рис. Настройка расписания Создание расписания

1.В дереве консоли ISA Management щелкните правой кнопкой мыши узел Schedules, в контекстном меню последовательно выберите команды New и Schedule.

2.В поле Name укажите имя нового расписания,

3.(При необходимости.) В поле Description укажите описание расписания.

4.Для настройки расписания воспользуйтесь таблицей расписания:

•щелкните ячейку таблицы, чтобы выбрать определенный час определенного дня недели;

•щелкните кнопку дня в левом г . :.ц чтобы выбрать день недели целиком.

•щелкните кнопку часа в верхнем ряду, чтобы выбрать один и тот же час для всех дней недели.

5.Щелкните переключатель Active, чтобы правило действовало в выбранное время, или переключательчтобыв выбранное время не применялось.

В таблице расписаний темная ячейка означает, что правило активно, а светлая — что неактивно.

---

Настройка подмножеств адресатов

Подмножество адресатов — это одно или нескольких имен компьютеров, IP-адресов, доменных имен или диапазонов IP-адресов. В подмножествах адресатов разрешается указывать пути. Они могут состоять не только из одного или нескольких компьютеров, но и из отдельных папок на конкретных компьютерах. Существует несколько способов выбора подмножеств адресатов в правилах — ко всем компьютерам, за исключением определенных подмножеств адресатов, или только к определенному подмножеству адресатов. При определении подмножества адресатов разрешается в любом порядке указывать как доменные имена, так и IP-адреса адресатов. Для указания всех узлов выбранного домена используются знаки подстановки. Например, чтобы выбрать все компьютеры домена iricro-soft.com, достаточно определить адресат с адресомСледует иметь в виду,

что допускается единственный знак подстановки £*} и лишь в начале доменного имени. Пример определения подмножества адресатов показан на рис. 4-5. В подмножестве адресатов разрешается также указать путь, чтобы позволить или запретить клиентам доступ к определенным папкам. В пути разрешаются знаки подстановки.

При определении адресатов соблюдайте следующие правила. Имена компьютеров, пути и имена файлов нечувствительны к регистру. Чтобы включить в подмножество все файлы папки, достаточно указать: 1<путь>/<имп папки>/* Чтобы выбрать в папке определенный файл, определите путь так: /<тть>/<имя иа>ч;и>1<имя фаила> Правила применяются к внутренним или внешним подмножествам адресатов. Внутренние подмножества адресатов — это группы компьютеров внутри локальной сети, а внешние подмножества — компьютеры вне локальной сети.

Подмножества адресатов применяются в следующих правилах:

•правилах узлов и содержимого;

•правилах пропускной способности;

•правилах Web-публикации;

•правилах маршрутизации.

В правилах узлов и содержимого и правилах пропускной способности подмножества адресатов обычно содержат компьютеры, неко внутренней сети. В правилах

Web-публикации подмножества адресатов обычно состоят из компьютеров внутренней сети. В правилах маршрутизации исходящих Web-запросов подмножества адресатов обычно содержат имена внешних компьютеров (расположенных в Интернете), а в правилах маршрутизации входящих Web-запросов подмножества адресатов состоят из имен внутренних компьютеров.

0 ... 40 41 42 43 44 45 46 ... 131