Thursday, October 18th, 2018

Советы по использованию ISA-сервера: Блокирование доступа к MSN Messenger через ISA-сервер при предоставлении доступа отдельным пользователям

Published on Февраль 9, 2009 by   ·   Комментариев нет

В данной статье мы рассмотрим следующие процедуры: Создание правила HTTP/HTTPS-доступа для запрета доступа в MSN Messenger; Настройка исключения из группы пользователей и фильтра безопасности HTTP в правиле запрета; Создание правила разрешения для исключенных пользователей.

Одна из тем, которая заслуживает пристального внимания на этом сайте, это работы с политиками брандмауэра. Проблема состоит в том, что у всех настройки политики разные и зависят они от требований корпоративной политики безопасности. Политика сетевой безопасности, которую я устанавливаю на своем ISA-сервере может быть более жесткой, чем требуется в ваших условиях, или же наоборот, она более либеральна, чем те строгие правила безопасности, которые установлены вашим отделом безопасности.

Поскольку это советы по использованию ISA-сервера, я не собираюсь углубляться в процессы, связанные с настройкой эффективной политики безопасности сети. Однако, это неплохая тема для будущей статьи. Но сегодня я объясню, как использовать функцию «исключения» пользователей для блокирования группе пользователей доступа с помощью ISA-сервера, одновременно предоставляя другой группе доступ к этим же самым ресурсам.

Данная статья написана под впечатлением заметки на доске объявлений по адресу http://forums.isaserver.org/Block_MSN_Messenger_7%5/m_2002000253/tm.htm. Проблема, с которой столкнулся Лучано, состоит в том, что он хочет запретить одной группе пользователей использование MSN Messenger 7.5 и в то же время разрешить его использование другой группе пользователей.

На первый взгляд проблема проста: вы просто создаете на ISA-сервере группу, содержащую пользователей, доступ которым к MSN Messenger запрещен, а затем создаете правило доступа, блокирующее доступ этих пользователей к приложению. Затем вы создаете вторую группу пользователей с разрешенным доступом к MSN Messenger, и создаете правило, разрешающее работу данных пользователей с приложением.

Кажется, что все просто, но что если пользователи, которым вы хотите дать доступ, входят в группу, доступ которой к MSN Messenger закрыт? Например, допустим, вы хотите закрыть доступ к MSN Messenger для всех аутентифицированных пользователей, однако хотите открыть его для очень важных пользователей. В этом случае это не так-то просто, если вы не знаете, как использовать функцию исключения правила доступа ISA-сервера. Вот пример, на котором основан сегодняшний совет по использованию ISA-сервера.

До того, как вы выполните все процедуры, описанные в этой статье, вы должны создать группы на ISA-сервере, которым вы хотите запретить и разрешить доступ. Вы используете эти группы при создании правила доступа. Я не буду описывать процесс создания групп, поскольку все это уже обсуждалось в моей книге.

В данной статье мы выполним следующее:

  • Создадим правило HTTP/HTTPS-доступа для запрета доступа в MSN Messenger
  • Настроим исключения из группы пользователей группы исключений и фильтр безопасности HTTP в правиле запрета
  • Создание правила разрешения для исключенных пользователей.

Создание правила HTTP/HTTPS-доступа для запрета доступа в MSN Messenger

Первым шагом будет создание правила, которое будет запрещать доступ к MSN Messenger с помощью протокола HTTP для всех членов группы с запрещенным доступом, но разрешать им доступ к остальным HTTP и HTTPS сайтам:

  1. В консоли управления ISA-сервера раскройте имя сервера и выберите в левой части консоли узел Firewall Policy (Политики сервера). Выберите Tasks (Задачи) из панели задач и нажмите Create New Access Rule (Создать новое правило доступа).
  2. На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) введите в текстовое окно Access Rule name (Имя правила доступа) имя нового правила. В нашем примере мы назовем его Deny MSN 7.5 over HTTP. Нажмите Next (Далее).
  3. На странице Rule Action (Действие правила) выберите пункт Allow (Разрешить) и нажмите Next (Далее).
  4. На странице Protocols (Протоколы) выберите из списка This rule applies to (Это правило применяется для) пункт Selected protocols (Выбранные протоколы). Нажмите Add (Добавить).
  5. В диалоговом окне Add Protocols (Добавит протоколы) выберите папку Common Protocols (Обычные протоколы) и дважды щелкните по протоколам HTTP и HTTPS. Нажмите Close (Закрыть).

    MSN messenger password

    Рисунок 1
  6. На странице Protocols (Протоколы) нажмите Next (Далее).
  7. На странице Access Rule Sources (Источник правила доступа) нажмите Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добывать сетевые элементы) щелкните по папке Networks (Сети) и дважды нажмите Internal (Внутренняя). Нажмите Close (Закрыть).
  9. На странице Access Rule Sources (Источник правила доступа) нажмите Next (Далее).
  10. На странице Access Rule Destinations (Назначение правила доступа) нажмите Add (Добавить).
  11. В диалоговом окне Add Network Entities (Добывать сетевые элементы) щелкните по папке Networks (Сети) и дважды нажмите External (Внешняя). Нажмите Close (Закрыть).
  12. На странице Access Rule Destinations (Назначение правила доступа) нажмите Next (Далее).
  13. На странице User Sets (Пользователи) из списка This rule applies to requests from the following user sets (Это правило применяется для запросов следующих пользователей) выберите пункт All Users (Все пользователи) и нажмите кнопку Remove (Удалить). Нажмите Add (Добавить)
  14. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по пункту All Authenticated Users (Все аутентифицированные пользователи) и нажмите Close (Закрыть).

    Использование isa сервера

    Рисунок 2

  15. На странице User Sets (Пользователи) нажмите Next (Далее).
  16. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).

Сейчас правило ничего не запрещает. На следующем этапе мы зайдем в диалоговое окно Properties (Свойства) нашего правила и настроим фильтр безопасности HTTP для блокирования MSN messenger, а затем исключим из правила пользователей группы Full Web Access (группа, которую я создал, и в которую входят пользователи с разрешенным доступом к MSN Messenger).

Настройка исключения из группы пользователей и фильтра безопасности HTTP в правиле запрета

Для настройки фильтра безопасности HTTP для блокирования MSN Messenger выполните следующее:

  1. Правой кнопкой щелкните по правилу доступа Deny MSN 7.5 over HTTP и нажмите Configure HTTP (Настроить HTTP).
  2. В диалоговом окне Configure HTTP policy for rule (Настройка политики HTTP для правила) выберите вкладку Signatures (Подписи).
  3. На вкладке Signatures (Подписи) нажмите Add (Добавить).
  4. В диалоговом окне Signature (Подпись) введите в текстовое поле Name (Имя) имя для подписи. В нашем примере это MSN 7.5 Request Header. В выпадающем списке Search in (Искать в) выберите Request headers (Заголовок запроса). В текстовое поле HTTP header (Заголовок HTTP) введите User-Agent:, а в текстовое поле Signature (Подпись) введите MSN Messenger. Ваша подпись должна выглядеть так же, как на рисунке 3. Нажмите OK.

    Access блокировать пользователей

    Рисунок 3

  5. В окне Configure HTTP policy for rule (Настройка политики HTTP для правила) нажмите OK.

    MSN messenger password

    Рисунок 4

Теперь наше правило доступа разрешает доступ ко всем внешним HTTP и HTTPS сайтам, но блокирует соединения программы MSN Messenger, которая пытается использовать HTTP для выхода во внешнюю сеть. Однако, это правило все еще применяется ко всем пользователям, поэтому нам нужно настроить его на применение ко всем пользователям, исключая тех, которым мы хотим дать доступ к MSN Messenger 7.5. Создадим исключение для правила, чтобы оно не применялось к этим пользователям:

  1. Правой кнопкой щелкните по правилу Deny MSN 7.5 over HTTP и нажмите Right Properties (Свойства).
  2. В диалоговом окне Deny MSN 7.5 over HTTP Properties (Свойства правила Deny MSN 7.5 over HTTP) выберите вкладку Users (Пользователи).
  3. На вкладке Users (Пользователи) рядом со списком Exceptions (Исключения) нажмите кнопку Add (Добавить).
  4. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по группе ISA-сервера, которую вы хотите исключить из правила. Я уже создал группу Full Web Access, в которую поместил пользователей из базы данных Active Directory. Если вы не знаете, как создавать группы ISA-сервера, прочтите нашу книгу или файлы помощи ISA-сервера. Нажмите Close (Закрыть).

    MSN messenger password

    Рисунок 5

  5. В диалоговом окне Deny MSN 7.5 over HTTP Properties (Свойства правила Deny MSN 7.5 over HTTP) нажмите OK.

    MSN messenger password

    Рисунок 6

Создание правила разрешения для исключенных пользователей

Поскольку созданное нами правило исключает членов группы Full Web Access от действия этого правила, правило автоматически не дает доступ никакого типа данной группе. Вы должны создать правило, разрешающее пользователям доступ в Интернет. В нашем примере мы создадим правило, дающее пользователям группы Full Web Access доступ ко всем сайтам Интернета с помощью протоколов HTTP и HTTPS, но без установки фильтра безопасности HTTP, блокирующего MSN Messenger 7.5:

  1. В консоли управления ISA-сервера раскройте имя сервера и выберите в левой части консоли узел Firewall Policy (Политики сервера). Выберите Tasks (Задачи) из панели задач и нажмите Create New Access Rule (Создать новое правило доступа).
  2. На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) введите в текстовое окно Access Rule name (Имя правила доступа) имя нового правила. В нашем примере мы назовем его Allow HTTP/S to Full Web Access Group. Нажмите Next (Далее).
  3. На странице Rule Action (Действие правила) выберите пункт Allow (Разрешить) и нажмите Next (Далее).
  4. На странице Protocols (Протоколы) выберите из списка This rule applies to (Это правило применяется для) пункт Selected protocols (Выбранные протоколы). Нажмите Add (Добавить).
  5. В диалоговом окне Add Protocols (Добавит протоколы) выберите папку Common Protocols (Обычные протоколы) и дважды щелкните по протоколам HTTP и HTTPS. Нажмите Close (Закрыть).

    Использование isa сервера

    Рисунок 7

  6. На странице Protocols (Протоколы) нажмите Next (Далее).
  7. На странице Access Rule Sources (Источник правила доступа) нажмите Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добывать сетевые элементы) щелкните по папке Networks (Сети) и дважды нажмите Internal (Внутренняя). Нажмите Close (Закрыть).
  9. На странице Access Rule Sources (Источник правила доступа) нажмите Next (Далее).
  10. На странице Access Rule Destinations (Назначение правила доступа) нажмите Add (Добавить).
  11. В диалоговом окне Add Network Entities (Добывать сетевые элементы) щелкните по папке Networks (Сети) и дважды нажмите External (Внешняя). Нажмите Close (Закрыть).
  12. На странице Access Rule Destinations (Назначение правила доступа) нажмите Next (Далее).
  13. На странице User Sets (Пользователи) из списка This rule applies to requests from the following user sets (Это правило применяется для запросов следующих пользователей) выберите пункт All Users (Все пользователи) и нажмите кнопку Remove (Удалить). Нажмите Add (Добавить).
  14. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по пункту Full Web Access и нажмите Close (Закрыть).

    Запретить доступ https

    Рисунок 8
  15. На странице User Sets (Пользователи) нажмите Next (Далее).
  16. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).
  17. Для сохранения изменений и обновления политики нажмите Apply (Применить).
  18. В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Второе правило разрешает пользователям группы ISA-сервера Full Web Access доступ к любым сайтам с помощью протоколов HTTP и HTTPS, а также позволяет им использовать приложение MSN Messenger 7.5, поскольку они исключены из правила, запрещающего доступ к MSN Messenger 7.5.

Окончательная политика выглядит так, как на рисунке 9. Обратите внимание, что первым я расположил правило анонимного доступа к DNS, поскольку в большинстве случаев анонимные правила должны находиться выше, чем правила с аутентифицированным доступом.

MSN messenger

Рисунок 9

Заключение

Вот и все, что нужно сделать. Теперь вы знаете, как использовать списки исключений из правила доступа ISA-сервера для разрешения доступа одним пользователям, одновременно блокируя доступ других пользователей к тем же самым ресурсам. Помните, что вы можете использовать функцию исключения пользователей из правила не только для MSN, эта функция применима ко всем правилам доступа. Удачи!

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]