Раздел: Документация
0 ... 47 48 49 50 51 52 53 ... 131 128 Конфигурирование безопасного доступа в Инг ер пет Глава 4 После отклонения попытки доступа ISA-сервер направляет альтернативный URL-ад-рес клиентскомукоторый пытаетсяпо новому адресу. Предположим, что правило узлов и содержимого запрещает доступ к http://example.mic-rosoft.com и перенаправляет Web-запросы на адрес http://internal.acme.com. Когда клиент запросит Web-страницу http://exampIe.microsoft.com/welcome.htmISA-cepBep заблокирует запрос и передаст браузеру адрес http://internal.acme.com. В результате пользователь увидит страницу http://internal.acme.com/welcorne.htm, а не http://example.microsoft.com. При перенаправлении запроса следует обеспечить доступность указываемого URL-адреса, то есть либо URL-адрес должен указывать на внутренний компьютер, либо необходимо наличие правила, разрешающего доступ по данному адресу. Подмножества адресатов и обработка путей При создании правил узлов и содержимого указываются доступные адресаты. Подмножества адресатов содержат IP-адреса определенных компьютеров или имена узлов. В любом случае разрешается включать в подмножество адресов конкретные пути. ISA-сервер обрабатывает правила узлов и содержимого по-разному — в зависимости от типа запрашивающего объект клиента и типа запрашиваемого содержимого, Например, для определенных клиентов и протоколов ISA-сервер игнорирует указываемые в подмножестве адресатов пути. В таблице 4-3 описан порядок обработки ISA-сервером путей, указанных в подмножестве адресатов. Таблица 4-3. Обработка путей в зависимости от типа клиентов ISA-сервера
Если при выполнении правила дд:; запрошенного содержимого обработка путей не поддерживается, ISA-сервер игнорируй всех указанных в правиле адресатов с путями. Другими словами, если правило содержитподмножеств адресатов, то игнорируются только те подмножества, которые не поддерживают пути, но в которых пути указаны. К остальным адресатам правило применяется, как обычно. Например, если правило запрещает доступ к widgets.microsoft.com ито запрос по протоколу NNTP информации по адресу example.microsoft.com будет выполнен. Причина в том, что адресат содержит путь, а ISA-сервер н<: поддерживает обработку путей для NNTP-содер-жимого и поэтому не применяет к данному адресату запрещающее правило. Однако ISA-сервер проигнорирует запрос NNTP-содержимого с адреса widgets.microsoft.com, так как в адресате не указан путь и, следовательно, к нему применяется запрещающее правило. Запросы по S-HTTP обрабатываются по-другому: если правило запрещает доступ к адресату, для которого указан путь,запрещает доступ ко всему содержимому компьютера, а не только к тому, что расположен по указанному пути. Например, если правило запрешает доступ по протоколу S-HTTP к example.microsqft.com/example, ISA-сервер не разрешит доступ ко всему информационному наполнению на узле Правила узлов и содержимого уровня массива и уровня предприятия Правила узлов и содержимого создаются как на уровне массива, так и на уровне предприятия. Когда политики массива и предприятия действуют совместно, правилам узлов и содержимого уровня массива разрешено лишь налагать дополнительные ограничения на правила узлов и содержимого уровня предприятия. На уровне массива допускается создание лишь запрещающих правил. ► Созданиеузлов и содержимого 1.В дереве консоли ISA Management щелкните правой кнопкой мыши узел Site and Content Rules и последовательно выберите в контекстном меню пункты New и Rule. 2.В мастере создания правила узлов и содержимого New Site and Content Rule введите имя правила и щелкните кнопку Next. 3.На странице Rule Action укажите тип правила — разрешающее или запрещающее — и щелкните кнопку Next. 4.На странице определения конфигурации правила Rule Configuration выберите вариант применения правила: к определенным узлам (Deny access based on destination), no расписанию (Deny access only on certain times), к конкретным клиентам (Deny selected clients access to all external sites) или пользовательский вариант (Custom). Щелкните кнопку Next. 5.На следующих страницах уточните порядок применения правила. Примечание Если в массиве действует политика предприятия, можно создавать голько правила. Пример правила узлов и содержимого Чтобы запретить доступ ко всем изображениям в папке http://example.microsofl.com/stuff, создайте правило узлов и содержимого со следующими свойствами: •Rule Action — Deny; ! • Rule Configuration - Custom; • в Destination Set укажите путь example.microsoft.com/stuff/*; •Schedule — Always; •Client Type — Any Requests; •Content Group — Images. ► Назначение подмножества адресатов для правила узлов и содержимого В дереве консоли ISA Management щелкните узел Site and Content Rules. 2.Откройте меню View и отметьте команду Advanced. 3.В области сведений щелкните правой кнопкой мыши нужное правило и в контекстном меню выберите Properties. 4.На вкладке Destinations выберите одно из значений в поле со списком: •All destinations; •All external destinations; •All internal destinations; •Selected destination set; •All destinations except selected set. 5.В случае выбора Selected destination set или All destinations except selected set в поле Name укажите подмножество адресатов. Группы содержимого ISA-сервер поставляется со следующими предустановленными группами содержимого: Application, Application Data Files, Audio, Compressed Files, Documents, HTML Documents, Images, Macro Documents, Text, Video и VRML. Правила узлов и содержимого применяют к любой из этих групп содержимого, как показано на рис. 4 -1!. * Site ind Lunttftt Rul* Wizard Content Group* Contort groups include different We Ijipesand MIME types. Content (ян : : В HTML Documents П Images □ Macro Doamsrt! □jort nVFIMI. С)ыг*1 I c- Stjow sotecoid ;8**..-f Pl urot:!..: Рис. 4-11. Выбор типов содержимого для правила узлов и содержимого На Web-серверах различные типы MIME сопоставляются с различными расширениями файлов. В таблице 4-4 показано соотношение между расширениями файлов и типами MIME, определенными по умолчанию на Web-сервере на основе IIS. Таблица 4-4. Предустановленные типы содержимого ISA-сервера
0 ... 47 48 49 50 51 52 53 ... 131
|
