Совет по брандмауэру ISA: блокировка доступа к MSN Messenger через брандмауэр ISA при разрешении доступа некоторым пользователям

Совет по брандмауэру ISA: блокировка доступа к MSN Messenger через брандмауэр ISA при разрешении доступа некоторым пользователям
Томас Шиндер, доктор медицинских наук, MVP

Одна тема, которая заслуживает гораздо большего внимания на этом сайте, — это создание политики брандмауэра. Проблема в том, что политика брандмауэра у всех будет разная, в зависимости от того, что требует политика безопасности его корпоративной сети. Политика сетевой безопасности, которую я применяю на своем брандмауэре ISA, может быть намного более строгой, чем вам нужно, или моя политика может быть слишком либеральной для жестких требований сетевой безопасности, диктуемых вашей корпоративной командой безопасности.

Так как это статья с кратким советом по ISA Firewall, я не буду вдаваться в мыслительный процесс, связанный с настройкой эффективной политики сетевой безопасности. Тем не менее, это отличная идея для статьи, которую я сделаю в будущем. Что я сделаю на этот раз, так это расскажу о том, как вы можете использовать функцию «исключений» пользователей брандмауэра ISA, чтобы заблокировать доступ одной группы пользователей к контенту через брандмауэр ISA, в то же время разрешив другой группе пользователей доступ к тому же контенту.

Эта статья вдохновлена публикацией на веб-форумах по адресу http://forums.isaserver.org/Block_MSN_Messenger_7%255/m_2002000253/tm.htm Проблема Лучано заключалась в том, что он хотел заблокировать одну группу пользователей от использования MSN Messenger 7.5. при разрешении доступа к нему другой группе пользователей.

На первый взгляд, это может показаться простой проблемой, так как вы просто создаете группу брандмауэра ISA, содержащую пользователей, которым вы хотите запретить доступ к MSN Messenger, а затем создаете правило доступа, которое блокирует этих пользователей, а затем вы создаете вторую группу из пользователей, которым вы хотите разрешить доступ к MSN Messenger, а затем создайте разрешающее правило, предоставляющее этим пользователям доступ.

Это кажется простым, но что, если пользователи, которым вы хотите разрешить доступ, также принадлежат к группе, доступ к которой вы хотите заблокировать? Например, предположим, что вы хотите заблокировать доступ к MSN Messenger для всех пользователей, прошедших проверку подлинности, но не хотите блокировать доступ для выбранной группы важных пользователей. В этом случае это не так просто, если вы не знаете, как использовать функцию исключений правила доступа брандмауэра ISA. Это сценарий, на котором я основываю сегодняшний краткий совет по ISA Firewall.

Первое, что вы должны сделать перед выполнением процедур, которые я описываю в этой статье, это создать группы брандмауэра ISA на брандмауэре ISA, которым вы хотите запретить доступ и разрешить доступ. Создав эти группы, вы сможете использовать их в правилах доступа. Я не буду описывать процедуры, связанные с созданием групп брандмауэра ISA, так как подробно обсуждаю их в нашей книге.

В этой статье мы рассмотрим следующие процедуры:

• Создайте правило доступа HTTP/HTTPS, чтобы запретить доступ к MSN Messenger
  
• Настройте исключение группы пользователей и фильтр безопасности HTTP для запрещающего правила.
  
• Создайте правило разрешения для исключенных пользователей

Создайте правило доступа HTTP/HTTPS, чтобы запретить доступ к MSN Messenger

Первым шагом является создание правила, которое будет запрещать доступ к MSN Messenger членам группы брандмауэра ISA, что мы не хотим использовать это приложение через HTTP, но по-прежнему разрешаем пользователям доступ ко всем другим сайтам HTTP и HTTPS:

1. В консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли. Перейдите на вкладку «Задачи» на панели задач и щелкните ссылку «Создать новое правило доступа».
   
2. На странице Добро пожаловать в мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило «Запретить MSN 7.5 через HTTP» и нажмем «Далее».
   
3. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
   
4. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к». Нажмите кнопку «Добавить».
   
5. В диалоговом окне «Добавить протоколы» щелкните папку «Общие протоколы», а затем дважды щелкните протоколы HTTP и HTTPS. Щелкните Закрыть.

фигура 1

6. Нажмите «Далее» на странице «Протоколы».
   
7. На странице «Источники правил доступа» нажмите кнопку «Добавить».
   
8. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети », а затем дважды щелкните « Внутренние» и нажмите «Закрыть».
   
9. Нажмите «Далее» на странице «Источники правил доступа».
   
10. На странице «Назначения правил доступа» нажмите кнопку «Добавить».
    
11. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните запись «Внешний». Щелкните Закрыть.
    
12. Нажмите «Далее» на странице «Назначения правил доступа».
    
13. На странице «Наборы пользователей» щелкните запись «Все пользователи» в списке «Это правило применяется к запросам из следующих наборов пользователей» и нажмите кнопку «Удалить». Нажмите кнопку «Добавить».
    
14. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Все прошедшие проверку» и нажмите «Закрыть».

фигура 2

15. Нажмите «Далее» на странице «Наборы пользователей».
    
16. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

На данный момент правило ничего не отрицает. На следующем шаге мы перейдем в диалоговое окно «Свойства» правила и настроим фильтр безопасности HTTP, чтобы заблокировать мессенджер MSN, а затем исключить членов группы полного веб-доступа брандмауэра ISA (группа, которую я создал, которая включает пользователей, которым разрешено использовать MSN Messenger) из правила.

Настройте исключение группы пользователей и фильтр безопасности HTTP для запрещающего правила.

Выполните следующие шаги, чтобы настроить фильтр безопасности HTTP для блокировки MSN Messenger:

1. Щелкните правой кнопкой мыши правило доступа «Запретить MSN 7.5 через HTTP» и выберите «Настроить HTTP».
   
2. В диалоговом окне Настройка политики HTTP для правила перейдите на вкладку Подписи.
   
3. На вкладке Подписи нажмите кнопку Добавить.
   
4. В диалоговом окне Подпись введите имя подписи в текстовом поле Имя. В этом примере мы назовем подпись MSN 7.5 Request Header. В раскрывающемся списке Искать в выберите параметр Запросить заголовки. В текстовом поле заголовка HTTP введите User-Agent: и в текстовом поле Подпись введите MSN Messenger. Ваша подпись должна выглядеть так, как показано на рисунке 3. Нажмите OK.

Рисунок 3

5. Нажмите OK в диалоговом окне Настройка политики HTTP для правила.

Рисунок 4

Правило доступа теперь разрешает доступ ко всем внешним сайтам HTTP и HTTPS, но блокирует любые подключения MSN Messenger, которые пытаются использовать HTTP для получения исходящего доступа. Однако правило по-прежнему применяется ко всем, поэтому нам нужно настроить правило так, чтобы оно применялось ко всем, кроме тех пользователей, которым мы хотим разрешить доступ к MSN Messenger 7.5. Мы делаем это, создавая исключение для этого правила, чтобы правило не применялось к этой группе пользователей:

1. Щелкните правой кнопкой мыши правило «Запретить MSN 7.5 через HTTP» и выберите «Свойства».
   
2. В диалоговом окне «Запретить MSN 7.5 через HTTP: свойства» перейдите на вкладку «Пользователи».
   
3. На вкладке «Пользователи» нажмите кнопку «Добавить» рядом со списком «Исключения».
   
4. В диалоговом окне Add Users дважды щелкните группу брандмауэра ISA, которую вы хотите исключить из этого правила. Я уже создал группу брандмауэра ISA с именем Full Web Access и заполнил эту группу пользователями, расположенными в базе данных Active Directory. Если вы не знаете, как создавать группы брандмауэра ISA, прочтите нашу книгу или файл справки по ISA 2004. Щелкните Закрыть.

Рисунок 5

5. Нажмите «ОК» в диалоговом окне «Запретить использование MSN 7.5 через HTTP».

Рисунок 6

Создайте правило разрешения для исключенных пользователей

Хотя созданное нами правило исключает членов группы полного веб-доступа из-под контроля этого правила, оно не предоставляет автоматически какой-либо доступ к группе полного веб-доступа. Вы должны создать правило, чтобы разрешить этим пользователям доступ в Интернет. В этом примере мы создадим правило, которое разрешает членам группы полного веб-доступа доступ ко всем сайтам в Интернете с использованием протоколов HTTP и HTTPS, но без настройки фильтра безопасности HTTP, блокирующего MSN Messenger 7.5:

1. В консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли. Перейдите на вкладку «Задачи» на панели задач и щелкните ссылку «Создать новое правило доступа».
   
2. На странице Добро пожаловать в мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило «Разрешить HTTP/S для группы полного веб-доступа» и нажмем «Далее».
   
3. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
   
4. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к». Нажмите кнопку «Добавить».
   
5. В диалоговом окне «Добавить протоколы» щелкните папку «Общие протоколы», а затем дважды щелкните протоколы HTTP и HTTPS. Щелкните Закрыть.

Рисунок 7

6. Нажмите «Далее» на странице «Протоколы».
   
7. На странице «Источники правил доступа» нажмите кнопку «Добавить».
   
8. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети », а затем дважды щелкните « Внутренние» и нажмите «Закрыть».
   
9. Нажмите «Далее» на странице «Источники правил доступа».
   
10. На странице «Назначения правил доступа» нажмите кнопку «Добавить».
    
11. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните запись «Внешний». Щелкните Закрыть.
    
12. Нажмите «Далее» на странице «Назначения правил доступа».
    
13. На странице «Наборы пользователей» щелкните запись «Все пользователи» в списке «Это правило применяется к запросам из следующих наборов пользователей» и нажмите кнопку «Удалить». Нажмите кнопку Добавить.
    
14. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Полный веб-доступ» и нажмите «Закрыть».

Рисунок 8

15. Нажмите «Далее» на странице «Наборы пользователей».
    
16. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
    
17. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
    
18. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Второе правило разрешает членам группы брандмауэра ISA с полным веб-доступом получать доступ к любому сайту, используя протоколы HTTP и HTTPS, и позволяет им использовать приложение MSN Messenger 7.5, поскольку они были исключены из правила, блокирующего их доступ к MSN Messenger 7.5.

Результирующая политика брандмауэра в этом сценарии выглядит так, как показано на рисунке ниже. Обратите внимание, что я поместил правило анонимного доступа к DNS первым, так как анонимные правила в большинстве случаев должны быть размещены над правилами доступа с проверкой подлинности.

Рисунок 9

Есть вопросы по статье? Спросите по адресу: http://tinyurl.com/gc84w

Вывод

Это все, что вам нужно сделать. Теперь вы знаете, как использовать список исключений пользователей из правила доступа брандмауэра ISA, чтобы заблокировать пользователям доступ к управлению, в то же время позволяя другим пользователям получать доступ к тому же содержимому. Помните, что вы можете использовать функцию списка исключений пользователей не только для правил доступа MSN, эта функция доступна для всех правил доступа. Веселиться!