статьи по ISA - как резервная копия
Слишком часто прежние ресурсы вдруг оказываются не доступны, чтобы избежать этого в дальнейшем, решил сюда, в этот пост скопировать чужие статьи по Microsoft ISA. :)
--
[16 советов для развертывания правил доступа в Isa Server...] 16 советов для развертывания правил доступа в Isa Server...
Stone Опубликовал: Thu, Apr 3 2008 16:17
Спасибо Dave за перевод! Smile
1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.
2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.
3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.
4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.
5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.
6. Сделайте вашу firewall-политику как можно проще.
7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.
8. Не создавайте правил, которые дублируют правила системной политики.
9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.
10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.
11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.
12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.
13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.
14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.
15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".
16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.
Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.
С Уважением, Stone
[Запрет доступа к ресурсам с помощью Site and Content Rules] Запрет доступа к ресурсам с помощью Site and Content Rules
Dave Опубликовал: Wed, Feb 16 2005 15:02
http://www.isaserver.org/tutorials
Denying_access_to_a_specific_webpages_using_Site_and_Content_rules.html
Запрет доступа к определенным Web-страницам (ну, например ко всеми любимой порнухе) с использованием Site and Content rules.
Это руководство покажет вам, как это делается с помощью Site and content rules.
Когда юзера пытаются, пытаются, пытаются куда-то залезть через ISA Server, то он (ISA) сначала проверяет, проверяет, и еще раз проверяет - а не находится ли данное содержимое в Site and Content Rules определенных специально для запрета доступа к этому содержимому (или сайту). Запросы также дозволены если (Site And Content)-правило позволяет клиенту интернет-доступ используя протокол, определенный в правиле.
Перед тем, как вы сможете настроить какое-либо (Site And Content)-правило, которое запрещает доступ к порнухе, должно быть создано и настроено Destination Set.
Destination Set. Им может быть имя компьютера, имя домена, Web-сайта, IP-адрес или диапазон IP-адресов, которое может содержать или включать пути. Правила могут быть применены к Destination Set, вот почему мы и будем их использовать !
Создание Destination Set для использования его в дальнейшем в Site and Content rule.
Кликните последовательно на:
<Пояснение>: Это имя вашего Destination Set .
Нажмите кнопку Add...
[pagebreak]
<Пояснение>: Это URL, доступ к которому вы хотите запретить всем остальным.
Теперь кликните ОК.
Ишшо раз кликните ОК.
Наш Destination Set создан !
Создание Site And Content rule используя Destination Set для запрета доступа.
Искренне надеемся, что вам не составит труда найти где находится Site And Content Rules (подсказочка: загляните в Access Policy).
Правой кнопкой кликните Site And Content Rules, затем кликните New, затем кликните Rule.
Напишите (или напечатайте) имя правила (которое мы сейчас и пытаемся создать) в специально отведенном для этого месте (называется поле для ввода). Желательно, чтобы введенное имя имело хоть какой-нибудь смысл по поводу содержимого, потому что у вас скорее всего будет несколько, или даже много правил. И чтоб в них не заблудиться....
<Пояснение 1>: Поставьте тут галочку для переадресации на другой URL. И не забудь-те это оформить в виде http://........ (вместо многоточия должен быть адрес)
<Пояснение 2>: Если URL запрещен то юзера выбросит на эту страницу.
Жмите Next.
Тут выбираем КАК мы будем запрещать доступ.
В нашем случае это первый (т.е. верхний вариант: Deny access based on destination)
Опять жмем Next.
В этом окне выбираем Specified destination set.
И из Name выбираем ИМЯ недавно созданного нами Destination Set.
И снова жмем Next !
В появившемся окне осталось обнаружить и нажать кнопку Finish (Финиш).
Теперь у нас есть созданное (site and content)-правило на основе нашего (ну, или вашего) Destination Set, которое запретит доступ к www.domainx.com
Подведем итоги.
В этом руководстве мы показали вам как создать Destination Set. Destination Set это логическое группирование имен компьютеров, имен доменов, Web-сайтов, IP-адресов или диапазонов IP-адресов, которые могут включать или сожержать пути. Потом мы использовали Destination Sets в нашем site and content rule, чтобы заблокировать доступ юзверей к определенному Web-сайту. Причина создания destination set в том, что когда мы создаем некое правило, то мы можем в него включить этот самый destination set. Это будет особенно полезно для вас или вашей конторы, когда вы можете запретить доступ к ососбено часто посещаемым сайтам, или к тем сайтам, посещение которых создает большой трафик. :)
Автор: Ricky M. Magalhaes
Перевод: Dave
--
[16 советов для развертывания правил доступа в Isa Server...] 16 советов для развертывания правил доступа в Isa Server...
Stone Опубликовал: Thu, Apr 3 2008 16:17
Спасибо Dave за перевод! Smile
1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.
2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.
3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.
4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.
5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.
6. Сделайте вашу firewall-политику как можно проще.
7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.
8. Не создавайте правил, которые дублируют правила системной политики.
9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.
10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.
11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.
12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.
13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.
14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.
15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".
16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.
Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.
С Уважением, Stone
[Запрет доступа к ресурсам с помощью Site and Content Rules] Запрет доступа к ресурсам с помощью Site and Content Rules
Dave Опубликовал: Wed, Feb 16 2005 15:02
http://www.isaserver.org/tutorials
Denying_access_to_a_specific_webpages_using_Site_and_Content_rules.html
Запрет доступа к определенным Web-страницам (ну, например ко всеми любимой порнухе) с использованием Site and Content rules.
Это руководство покажет вам, как это делается с помощью Site and content rules.
Когда юзера пытаются, пытаются, пытаются куда-то залезть через ISA Server, то он (ISA) сначала проверяет, проверяет, и еще раз проверяет - а не находится ли данное содержимое в Site and Content Rules определенных специально для запрета доступа к этому содержимому (или сайту). Запросы также дозволены если (Site And Content)-правило позволяет клиенту интернет-доступ используя протокол, определенный в правиле.
Перед тем, как вы сможете настроить какое-либо (Site And Content)-правило, которое запрещает доступ к порнухе, должно быть создано и настроено Destination Set.
Destination Set. Им может быть имя компьютера, имя домена, Web-сайта, IP-адрес или диапазон IP-адресов, которое может содержать или включать пути. Правила могут быть применены к Destination Set, вот почему мы и будем их использовать !
Создание Destination Set для использования его в дальнейшем в Site and Content rule.
Кликните последовательно на:
<Пояснение>: Это имя вашего Destination Set .
Нажмите кнопку Add...
[pagebreak]
<Пояснение>: Это URL, доступ к которому вы хотите запретить всем остальным.
Теперь кликните ОК.
Ишшо раз кликните ОК.
Наш Destination Set создан !
Создание Site And Content rule используя Destination Set для запрета доступа.
Искренне надеемся, что вам не составит труда найти где находится Site And Content Rules (подсказочка: загляните в Access Policy).
Правой кнопкой кликните Site And Content Rules, затем кликните New, затем кликните Rule.
Напишите (или напечатайте) имя правила (которое мы сейчас и пытаемся создать) в специально отведенном для этого месте (называется поле для ввода). Желательно, чтобы введенное имя имело хоть какой-нибудь смысл по поводу содержимого, потому что у вас скорее всего будет несколько, или даже много правил. И чтоб в них не заблудиться....
<Пояснение 1>: Поставьте тут галочку для переадресации на другой URL. И не забудь-те это оформить в виде http://........ (вместо многоточия должен быть адрес)
<Пояснение 2>: Если URL запрещен то юзера выбросит на эту страницу.
Жмите Next.
Тут выбираем КАК мы будем запрещать доступ.
В нашем случае это первый (т.е. верхний вариант: Deny access based on destination)
Опять жмем Next.
В этом окне выбираем Specified destination set.
И из Name выбираем ИМЯ недавно созданного нами Destination Set.
И снова жмем Next !
В появившемся окне осталось обнаружить и нажать кнопку Finish (Финиш).
Теперь у нас есть созданное (site and content)-правило на основе нашего (ну, или вашего) Destination Set, которое запретит доступ к www.domainx.com
Подведем итоги.
В этом руководстве мы показали вам как создать Destination Set. Destination Set это логическое группирование имен компьютеров, имен доменов, Web-сайтов, IP-адресов или диапазонов IP-адресов, которые могут включать или сожержать пути. Потом мы использовали Destination Sets в нашем site and content rule, чтобы заблокировать доступ юзверей к определенному Web-сайту. Причина создания destination set в том, что когда мы создаем некое правило, то мы можем в него включить этот самый destination set. Это будет особенно полезно для вас или вашей конторы, когда вы можете запретить доступ к ососбено часто посещаемым сайтам, или к тем сайтам, посещение которых создает большой трафик. :)
Автор: Ricky M. Magalhaes
Перевод: Dave