none
Aplicação errada das regras de firewall RRS feed

  • Pergunta

  • Olá pessoal,

    estou aqui novamente às voltas com a implementação do isa. Estou tendo dificuldade em fazer a regra do firewall ser aplicada de forma coerente. Criei um regra com as seguintes características (segundo post anterior sobre o assunto).

    Nome da Regra: Bloqueia - Exceto lista branca

    Action: Deny

    Protocols: HTTP; HTTPS

    From: Internal

    To: External - Exceptions: Domínios Lista Branca

    Users: All Users

    Ok, regra criada. Na implantação ela bloqueia tudo! Não deixa navegar os domínios criados na lista "Domínios Lista Branca". A lista de domínios permitidos foi feita da seguinte maneira:

    *.gov.br/*

    *.org.br/*

    ... e assim por diante.

    Meu ambiente está estruturado da seguinte forma:

    Dois SBS 2K3. Ambos DC com AD. Um dos quais tem o ISA instalado.

    A maioria dos usuários da internet estão no domínio onde não tem o ISA instalado. Nessas máquinas há apenas um client do ISA apontando para o serveidor ISA. Não sei se ajuda, porém, fiz o monitoramento dessa regra do fw (Bloqueia - Exceto Lista Branca) e o curioso é que no monitoramento não há registro do usuário que está tentando acessar a internet e que está sendo barrado. Segundo o monitoramento na coluna Client Username sempre aparece anonymous. Será que isso tem alguma relação com a falta de coerência da aplicação da minha regra? Será que os usuários têm que estar cadastrados no AD do mesmo servidor ISA?

    Agradeço a todos que tiverem alguma opinão sobre o assunto

     

    Grato.

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 00:25 (De:ISA Server 2004)
    terça-feira, 11 de janeiro de 2011 12:34

Respostas

  • Olá Enderson,

    mais uma vez muito obrigado pelo post. A regra foi mudada e está tudo ok.

    Apenas uma obs: para a liberação dos domínios tive que modificar sua sugestão de *.org.br/*  para *.org.br

    No mais 100%

    Próximo passo é filtrar os downloads...

    Forte abraço!!!

    Valeu!

    • Marcado como Resposta Zeraik quarta-feira, 12 de janeiro de 2011 00:31
    quarta-feira, 12 de janeiro de 2011 00:29

Todas as Respostas

  • Ola Zeraik

    vamos lah

    sobre as regras, vc ta implementado dessa maneira conforme tinha lhe informado.

    1º Cria uma regra de negacao e na aba TO no campo execoes inclui-se as URLS que passaram nessa regra

    2º Crie uma segunda regra liberando acesso total da rede interna para a rede externa

    eu percebi que vc colocou de INTERNAL e ALL USERS na PRIMEIRA REGRA entao vc esta aplicando para toda rede.

    entao nao e necessario vc criar no metod acima. pois tinha lhe informado caso vc queira apenas para certos usuarios ou range de ip. (fazer que gere menos impacto nos acesso da sua rede)

    Lista Branca mesmo sao criadas dessa maneira

     

    1º Regra PERMITIR FROM INTERNAL TO URLS PERMITIDAS ALL USERS

    2º REGRA PADRAO ISA - NEGAR TUDO ( nao e necessario fazer essa regra pois ela ja vem no ISA)

    entao.

    faca o teste. e veja que a primeira regra agora fara a liberacao dos sites, e o q nao tiver na primeira regra vai cair na segunda. ou seja vai ser negada.

     

    Sobre a sua duvida do usuario anomimous, no seu caso nao deve fazer diferenca pois vc ta usando regra com ALL USERS, entao a regra se aplicara ao usuario nao autenticado.

     

    Espero ter lhe ajudado


    Enderson Valente Teixeira - Coordenador de Informática
    terça-feira, 11 de janeiro de 2011 14:23
  • Olá Enderson,

    mais uma vez muito obrigado pelo post. A regra foi mudada e está tudo ok.

    Apenas uma obs: para a liberação dos domínios tive que modificar sua sugestão de *.org.br/*  para *.org.br

    No mais 100%

    Próximo passo é filtrar os downloads...

    Forte abraço!!!

    Valeu!

    • Marcado como Resposta Zeraik quarta-feira, 12 de janeiro de 2011 00:31
    quarta-feira, 12 de janeiro de 2011 00:29
  • Blz entao Zeraik.

    o importante que esta rodando.

    qualquer coisa e so postar


    Enderson Valente Teixeira - Coordenador de Informática
    quarta-feira, 12 de janeiro de 2011 11:17