none
Firewall Rules, или как правильно создавать правила. RRS feed

  • Вопрос

  • Доброго времени суток.

    Конфигурация:
    ISA 2006 SP1 установлены все хотфиксы.
    Windows Server 2003 SP2.

    Я столкнулся с вопросом, который набил аскомину уже всем. Я тоже от него устал, но он от этого не исчезает.
    Цель:
     - Необходимо разрешить первой группе пользователей доступ по HTTP/HTTPS ко всем сайтам.
     - Зарпетить доступ ко всем веб-ресурсам, за исключением URL-sets

    Имеются правила по публикации веб-серверов, ftp , Exchange. Все работает корректно. Только, собственно, проблема с организацией веб-доступа.

    Пытался создать 2 правила:
    1. Разрешало по заданным протоколам доступ к Внешней сети Всем аутентефицированным пользователям, кроме группы, подвергающейся гонениям.
    2. Разрешало ущемленной группе доступ к опр. набору URL-sets.

    Как результат выходило, что 2-е правило не работало и выходило сразу на правило по умолчанию.
    Значится, что смотрел и читал. Шиндлера читал.

    По ссылкам:
    http://www.redline-software.com/rus/support/articles/isaserver/general/understanding_the_isa_2004_access_rule_processing.php

    Читал долго и упорно, но до корректной работы не хватило.

    ISA_2004_SE_Configuration_Guide - тоже много читал.

    Буду очень признателен за помощь в объяснении концепции работы правил.
    Заранее спасибо
    19 августа 2009 г. 7:18
    Модератор

Ответы

  • про цель немного не понял: первой группе разрешить все сайты, а запретить все кроме набора кому? или ты пропустил "второй группе"?
    если я правильно понял то правила ты создал верно, возможно у тебя url set неправильно заданы. проверь трафик симулятором с свключенным диагностик логгинг.
    сам я url sets использую очень редко - если надо сайт целиком то лучше domain name set, а url set полезен есть нужно выделить только часть сайта или одну страничку.
    по концепции работы правил в той статейке все очень подробно описано, даже не знаю что там можно не понять

    • Предложено в качестве ответа Aleksey Potapov 19 августа 2009 г. 8:40
    • Помечено в качестве ответа Daniil KhabarovModerator 19 августа 2009 г. 14:08
    19 августа 2009 г. 7:37
    Отвечающий

Все ответы

  • про цель немного не понял: первой группе разрешить все сайты, а запретить все кроме набора кому? или ты пропустил "второй группе"?
    если я правильно понял то правила ты создал верно, возможно у тебя url set неправильно заданы. проверь трафик симулятором с свключенным диагностик логгинг.
    сам я url sets использую очень редко - если надо сайт целиком то лучше domain name set, а url set полезен есть нужно выделить только часть сайта или одну страничку.
    по концепции работы правил в той статейке все очень подробно описано, даже не знаю что там можно не понять

    • Предложено в качестве ответа Aleksey Potapov 19 августа 2009 г. 8:40
    • Помечено в качестве ответа Daniil KhabarovModerator 19 августа 2009 г. 14:08
    19 августа 2009 г. 7:37
    Отвечающий
  • Хорошо.
    Спасибо. Я сейчас попробую с Domain sets.
    Ты все правильно понял.
    Если что интересное получится - напишу.

    19 августа 2009 г. 7:40
    Модератор
  • Спасибо за то, что подтвердили мои предположения. Дмитрий, очень приятно. Все заработало. Вопрос снят с повестки дня партии.
    19 августа 2009 г. 14:08
    Модератор