关键字: isa server proxy 身份认证 防火墙
认证方式
选择“ Ask unauthenticated users for authentication if unauthenticated users ”将使用选择的认证方法来认证用户。如果你使用RADIUS、基本身份认证和摘要身份认证,你需要输入用来验证用户身份的域名。如果没有显式的指定,ISA Server使用它自身的域。如果你使用RADIUS身份认证,你必须允许在系统策略的RADIUS配置组 。
使用基本身份认证登录到网络的用户必须属于一个指定的域。通常的,是使用活动的Web服务器的本地域作为基本身份认证的域。如果需要,可以指定一个不同的域。
如果没有显式的指定域,那么ISA Server将使用它自己的域。
如果你选择了RADIUS认证,那么你不能选择其他的认证方式。
如果你没有选择任何认证方式,而且如果防火墙策略包含了需要用户身份认证的规则,那么认证将会失败,用户的请求将被拒绝。
规则和认证
当防火墙客户请求非HTTP的内容,ISA Server先查找是否有规则应到到这个特定的用户或者用户组。如果有,ISA Server将要求用户进行身份认证,然后ISA Server可以决定这条规则是否允许这个客户访问它所要求的对象。
当一个Web Proxy或者防火墙客户请求HTTP内容,ISA Server检查规则来决定是否有允许anonymous用户访问的特定规则(或者这条规则允许所有用户,或者这条规则允许这个客户的IP)。如果是,客户的请求将被允许。另外,如果没有规则允许anonymous用户访问,那么ISA Server将要求客户进行身份认证,然后来决定这条规则是否应用到这个指定的已通过认证的用户。
因此,当一个客户请求HTTP内容,除非ISA Server要求,否则该客户的认证信息并没有发送到ISA Server。只有在防火墙服务必须认证用户以允许用户请求时,认证才会发生。
对于防火墙客户,认证信息不会发送到防火墙服务。ISA Server像处理匿名用户一样来处理防火墙客户。如果ISA Server不允许匿名用户访问,那么防火墙客户的请求也会被拒绝,因为ISA Server并不会询问防火墙客户的认证信息。
SecureNAT客户
没有安装Firewall客户端软件的客户机称为SecureNAT客户。SecureNAT客户可以使用ISA Server的许多功能,包括大部分的访问控制,除了高级协议和用户级认证。
虽然SecureNAT客户不需要其他软件,但是你必须指定ISA Server为它的默认网关,无论中间是否还有路由器。你可以手动指定,也可以通过DHCP服务来指定。
SecureNAT客户的请求本质上由Firewall服务处理,SecureNAT客户受益于一下的安全特性。应用程序过滤器可以修改协议以允许处理更复杂的协议。在微软的Windows自带的NAT中,这个机制由处于核心的NAT编辑器驱动来完成。
注意ISA Server应用程序过滤器替换了Windows自带的NAT编辑器的功能。为了让SecureNAT客户使用指定的程序或者协议,必须存在一个对应的应用程序过滤器。
SecureNAT客户和地址转换
ISA Server通过增强ISA Server策略为SecureNAT客户扩展了NAT功能。尽管事实上NAT没有固有的的认证机制,所有的ISA Server规则都可以应用到SecureNAT客户。关于协议使用、目的地、内容类型等策略都也应用到了SecureNAT客户。
SecureNAT客户和服务器发布
和Firewall客户相比,SecureNAT客户也可以是服务器,例如发布到Internet的邮件服务器。你可以通过服务器发布策略来发布作为SecureNAT客户的服务器。
配置SecureNAT客户
虽然SecureNAT客户不需要安装其他的软件,你必须正确的配置它的网络属性,这是需要值得注意的。
访问策略
访问策略决定位于源网络中的客户是否可以访问目的网络中的资源。
你可以配置访问策略应用到所有的协议、一个指定的协议定义、或者除了选择的协议外的所有通信。
ISA Server包含了一个预定义的、常用的协议的列表,包含广泛使用的Internet协议。你可以增加或者修改附加的协议。
当一个客户使用某种协议请求一个对象时,ISA Server检查访问策略。只有在访问策略允许这个客户使用指定的协议访问这个请求的对象时,请求才会处理。
一些应用程序过滤器建立和安装新的协议定义。当应用程序过滤器被禁止,它处理的所有协议将被禁止,对应的使用这些协议的通信将被禁止。例如,你禁止了流媒体过滤器,那么所有使用Windows Media和Real Networks协议的通信将会被禁止。
其他应用程序过滤器处理现有的协议定义,无论是用户定义还是ISA Server已经配置了的。当这些应用程序过滤器禁止了,所对应的服务并不会被禁止。例如,你禁用了Simple Mail Transfer Protocol (SMTP)过滤器,SMTP协议定义可能仍然允许通行,就算没有通过过滤。
访问策略和SecureNAT客户
访问策略应用到SecureNAT客户和防火墙客户。如果协议被一个应用程序过滤器定义,那么这条访问策略将可以应用到SecureNAT客户和防火墙客户。如果这个访问策略中指定的协议只有一个主连接,例如,HTTP协议(注:只使用80端口),那么这条规则可以应用到
SecureNAT客户和防火墙客户。
如果一个协议有次要连接(secondary connections),而且没有被应用程序过滤器定义。那么访问策略只能应用到主策略,因此,如果一个程序使用一个次要连接,这个程序只能在防火墙客户上使用。
对于SecureNAT客户,如果你配置一个访问策略应用到所有协议,那么这条规格实际上只对所有已定义的协议有效。