003访问规则电子教案.ppt

用户集设置 根据实际需要访问163站点的用户设置,设置完成后，需要对该策略“应用”后才能生效。 第四部分禁止使用PtP软件-QQ 一、QQ的登录方式介绍 QQ 可以支持 UDP、HTTP 和 HTTPS 这三种登录方式，而且可以使用 HTTP 代理，这相当于只要你允许了 HTTP 协议，那么 QQ 就可以登录。 过去的基于包过滤的防火墙（无论硬件还是软件防火墙）都是没有办法封锁 QQ 的，但是利用 ISA Server 2004 的深层HTTP 检查机制就可以很好的禁止QQ软件。 二、QQ的登录过程介绍 在默认情况下，QQ 先向服务器群的 8000 端口发送 UDP数据包，从服务器群的回复中选择一个最快的作为登录服务器；如果没有服务器回复UDP数据包，则使用 TCP 80/443 端口来进行连接。因为他可以使用 HTTP 直接连接，而一般是不能封锁 HTTP 协议的，所以，封锁 QQ 的最好办法是封锁它的服务器 IP，但是 QQ 还可以使用 HTTP 代理登录，所以，还得在 ISA Server 2004 的 HTTP 检查机制中设置禁止QQ 的 HTTP 连接。 三、QQ服务器的三种类型 1、UDP 8000 端口类 18 个：速度最快，服务器最多；QQ 上线会向这些服务器发送 UDP 数据包，选择回复速度最快的一个作为连接服务器。 45 46 56 50 51 54 52 53 03 66 21 5 00 24 64 63 16 09 注意：现在肯定远远不只这么多服务器 2、TCP HTTP连接服务器5个，使用HTTP 80和443端口连接。 3 53 27 71 21 3、会员VIP登陆服务器，使用HTTP 443安全连接。 2 四、禁止QQ的思想 首先需要建立Internet访问规则选择为所有协议。 然后再通过ISA 2004的深层检测功能实现对QQ的过滤。 五、禁止QQ的方法 注意：QQ的签名一般使用的是。如果该签名无效，则需要利用数据分析工具抓紧QQ数据包分析具体的签名。 第五部分禁止某些内部用户访问某些网站 本节任务 在 ISA Server 2004 中，禁止客户上网是很简单的事情，这节中讨论的是使用 IP 地址来禁止某些客户上网。 实验思想 操作步骤如下： 1、对需要禁止上网的客户建立一个地址范围或者计算机集；然后为禁止这些用户访问的那些站点建立一个地址范围或域名集； 2、在防火墙策略中新建一个访问规则；阻止内部的这些计算机集访问定义的外部站点地址范围或域名集； 案例演练 我们演示如何禁止 IP 为 1 的内部客户访问 sina 网站。 第一部分访问规则大纲 1，策略元素 2，网络规则 3，系统策略 4，访问规则 策略元素 ISA2004中三条规则： 规则二、 系统规则：30条规则控制本地主机到目标的通讯；你可以启用或者禁用这些规则。 ISA2004中三条规则： 规则三、 防火墙策略：自定义的所有规则，包括访问规则和发布规则，最后有条缺省规则不能修改或删除。 创建各种规则主要事项 要点一：源主机和目标主机必须位于不同的网络。 要点二：严格按照顺序评估防火墙策略，如果一条访问规则匹配某个请求参数，此规则将被应用，防火墙将不再与其它任何规则进行匹配。 要点三：系统策略优先于防火墙策略。1－30,31－end 最佳建议,按以下顺序排列防火墙策略： 　首先，将WEB和服务器发布规则放在列表的顶部。 　然后，按照下面的顺序放置匿名访问规则，先拒绝，再允许部分；这些规则不需要验证。 　最后，按照下面的顺序放置需要验证的访问规则：先拒绝，再允许；这些规则需要验证。 　强烈建议看一下，防火墙的十六条守则。 制定访问规则 需要注意的五点内容: 规则内容；规则动作；规则源；规则目标；规则对象(即用户) 规则设置五要素 网络规则 系统策略(针对本地的策略) 点击如图的显示系统策略 会显示出来 或是点击 显示如图 总共30条 几乎含盖所有需求 全部针对本地生效 如我们所遇见的 安装完ISA2004 后 不能访问外部网站的 问题 在理解本地规则后就不用添加 所有到所有的 允许访问规则了 只要 起用本地策略第第18条（默认停止） 还有本地第七条 DNS 访问 （默认开启）即可 如何启用 本地规则 鼠标右击,选择“编辑系统策略” ；或者直接双击需要编辑的策略即可 案例演示 1、通过系统策略设置让本地计算机成功的访问Internet 2、通过本地策略限制让本地计算机不能ping 外部计算机的IP地址。 第二部分Int