Thursday, October 18th, 2018

Создание Списка Запрещенных URL и Доменов, используя ISA Server 2004

Published on Февраль 6, 2009 by   ·   Комментариев нет

Одно из главных преимуществ брандмауэра ISA в обоих версиях, и в 2000, и в 2004 — это его способность блокировать доступ к определенному Web URL или домену, или к целому списку таковых. В этой статье я покажу вам, как блокировать эти сайты.

Надо сказать, что пока это не является передовой технологией, но оно имеет свое определенное место в пространстве и должно присутствовать в серьезном анализе всех администраторов сетей и брандмауэров. К слову, одно из препятствий на пути таких списков — это их «статичность». Я имею ввиду способность web-администраторов таких сайтов переносить сайты внутри домена очень просто и регулярно. Допустим я блокирую сегодня www.porn.com, подобный сайт может быть перенесен на www.notporn.com на следующий день или неделю. Поэтому, эти списки должны использоваться только в качестве начальной точки, а не как окончательный список.

Доступны несколько списков, но из-за количества времени, необходимого на компиляцию полезного списка, я дам вам несколько, которые я видел и использовал. Также заметьте, что некоторые сайты перекрываются в обоих списках.

Первый — это обширный список сайтов от Стива Моффата (Steve Moffat):

http://www.isastuff.mine.nu

Посмотрите под меню Destinations Sets (Множества назначений). Доступно для ISA Server 2000 и 2004.

Также просмотрите черные списки Рича Крола (Rich Krol):

http://www.tacteam.net/isaserverorg/download/blocklists.zip которые работают с ISA Server 2004.

Давайте возьмем Множество URL .xml файл из множества Rich Krol и продемонстрируем, как мы применим его.

В самом начале мы должны создать или, в нашем случае, импортировать новый Сетевой Объект для Множества URL. Для этого мы выбираем Toolbox (Инструменты) и затем вкладку Network Objects (Сетевые Объекты). Мы видим, что мы можем создать много Сетевых Объектов, однако, мы хотим создать в этом случае URL Set (Множество URL). Если мы щелкнем правой кнопкой на URL Sets, то мы можем выбрать импорт предопределенного списка.

Найдя извлеченные файлы, которые мы предварительно загрузили, мы выбираем для импорта файл blocklist.xml.

Примечание: Файл BNSD.xml является Domain Name Set (Множество Доменных Имен), которое не является частью этой текущей процедуры.

Импорт выполнен успешно!

Один шаг сделан. Мы успешно импортировали список блокируемых URL’ов. Для проверки этого вы должны увидеть элемент под URL Sets (Множества URL) в Toolbox (Инструменты).

Но это еще не все! Нам необходимо сказать ISA, что мы хотим особенно блокировать этот список URL’ов. Поэтому мы создаем новое Правило Доступа.

Это Правило Доступа будет запрещающим правилом, так как мы не позволяем доступ к этим сайтам. Итак, мы выбираем радио-кнопку Deny (Отклонить).

В этом случае не требуется блокировать весь исходящий доступ к этим web-сайтам. Вы можете захотеть сделать так, когда делаете Domain Set Rules (Правила Множества Доменов), но реально мы пытаемся остановить web доступ к ним, так что Множество URL’ов применяется только к Web доступу. Для супер параноиков вы можете, но в других случаях хватит и этого.

Выберете HTTP и HTTPS протоколы, в случае использования HTTPS вы также хорошо все покроете. Вы также можете захотеть выбрать подобным образом и FTP, но вряд ли это вам понадобится.

Следующий шаг в мастере — это определение того, из каких источников эти запросы должны быть отклонены. Выберете Internal (Внутренняя), VPN Clients (VPN Клиенты) и Local Host (Локальный Host) в случае, когда броузер настроен на брандмауэр.

На этом шаге мы определим сайты или сети на которые мы не хотим пересылать запросы. Не выбирайте External (Внешнюю) сеть, так как будет блокирован весь ваш web-серфинг, к любому web-сайту. Конечно, никто не делает этого! Нам необходимо выбрать здесь URL Set, который мы предварительно импортировали.

Нажмите кнопку Next (Далее) и затем Мастер будет завершен. Нажмите Finish (Финиш) и вы скоро дома.

В одной вещи вы должны убедиться перед тем, как вы закончите — это что вы поместили ваши запрещающие права на самый верх списка, так чтобы они обрабатывались бы первыми. Это предотвратит перекрытие каких-либо запрещающих правил. Нажмите кнопку Apply (Применить) для обновления изменений и вы закончили.

Для создания Domain Name Sets (Множества Доменных Имен), используя файл Рича Крола (Rich Krol) BNSD.xml, процесс точно такой же, за одним небольшим исключением. Вместо импорта списка в URL Sets (Множество URL), вы должны импортировать его в Domain Name Sets (Множество Доменных Имен). Вы также можете захотеть подумать об добавлении FTP протокола к выбранным протоколам путем, показанным ранее, или всех протоколов, так как вы никогда не знаете, каким путем производители шпионского программного обеспечения и хакеры будут передавать данные.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]