[计算机]003访问规则.ppt

张智勇原创防火墙讲义 张智勇 ISA基本管理与访问规则设置 第一部分访问规则大纲 1，策略元素 2，网络规则 3，系统策略 4，访问规则 策略元素 ISA2004中三条规则： 规则一、 网络规则：路由,还是NAT，利用“网络规则”可以创建路由和NAT,默认情况下IP路由规则处于启用状态. 查看:防火墙策略/任务/定义IP首选项 ISA2004中三条规则： 规则二、 系统规则：30条规则控制本地主机到目标的通讯；你可以启用或者禁用这些规则。 ISA2004中三条规则： 规则三、 防火墙策略：自定义的所有规则，包括访问规则和发布规则，最后有条缺省规则不能修改或删除。 创建各种规则主要事项 要点一：源主机和目标主机必须位于不同的网络。 要点二：严格按照顺序评估防火墙策略，如果一条访问规则匹配某个请求参数，此规则将被应用，防火墙将不再与其它任何规则进行匹配。 要点三：系统策略优先于防火墙策略。1－30,31－end 最佳建议,按以下顺序排列防火墙策略： 　首先，将WEB和服务器发布规则放在列表的顶部。 　然后，按照下面的顺序放置匿名访问规则，先拒绝，再允许部分；这些规则不需要验证。 　最后，按照下面的顺序放置需要验证的访问规则：先拒绝，再允许；这些规则需要验证。 　强烈建议看一下，防火墙的十六条守则。 网络规则 系统策略(针对本地的策略) 案例演示 1、通过系统策略设置让本地计算机成功的访问Internet 2、通过本地策略限制让本地计算机不能ping 外部计算机的IP地址。 第二部分Internet网络访问规则的设置 设置目标： 实现内部计算机能够成功访问外部网络 实验：访问规则 实验一：允许内网用户可以访问互联网。 实验二：允许内网用户可以路由到DMZ所在的子网中。 实验三：只允许指定IP的用户可以上网。 实验四：只允许指定时间，用户可以上网。 第三部分Internet网络访问规则的设置 设置目标： 实现用户访问某一站点的功能 新建规则 要求新规则只能访问，其它网站均不能访问 为新规则创建名称 访问规则动作选择 通信协议使用，由于仅仅只访问，所以该规则只允许http协议通过即可（前提是当前ISA规则是拒绝用户访问所有WEB） 设置访问规则源设置： 由于是为了让内部计算机能够访问163网站，所以规则源选择“内部”. 用户集设置 根据实际需要访问163站点的用户设置,设置完成后，需要对该策略“应用”后才能生效。 第四部分禁止使用PtP软件-QQ 一、QQ的登录方式介绍 QQ 可以支持 UDP、HTTP 和 HTTPS 这三种登录方式，而且可以使用 HTTP 代理，这相当于只要你允许了 HTTP 协议，那么 QQ 就可以登录。 过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁 QQ 的，但是利用 ISA Server 2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。 二、QQ的登录过程介绍 在默认情况下，QQ 先向服务器群的 8000 端口发送 UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复UDP数据包，则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直接连接，而一般是不能封锁 HTTP 协议的，所以，封锁 QQ 的最好办法是封锁它的服务器 IP，但是 QQ 还可以使用 HTTP 代理登录，所以，还得在 ISA Server 2004 的 HTTP 检查机制中设置禁止QQ 的 HTTP 连接。 三、QQ服务器的三种类型 1、UDP 8000 端口类 18 个：速度最快，服务器最多；QQ 上线会向这些服务器发送 UDP 数据包，选择回复速度最快的一个作为连接服务器。 45 46 56 50 51 54 52 53 03 66 21 5 00 24 64 63 16 09 注意：现在肯定远远不只这么多服务器 2、TCP HTTP连接服务器5个，使用HTTP 80和443端口连接。 3 53 27 71 21 3、会员VIP登陆服务器，使用HTTP 443安全连接。 2 四、禁止QQ的思想 首先需要建立Internet访问规则选择为所有协议。 然后再通过ISA 2004的深层检测功能实现对QQ的过滤。 五、禁止QQ的方法 第五部分禁止某些内部用户访问某些网站 本节任务 在 ISA Server 2004 中，禁止客户上网是很简单的事情，这节中讨论的是使用 IP 地址来禁止