| 认证方式 选择“ Ask unauthenticated users for authentication if unauthenticated users ”将使用选择的认证方法来认证用户。如果你使用RADIUS、基本身份认证和摘要身份认证,你需要输入用来验证用户身份的域名。如果没有显式的指定,ISA Server使用它自身的域。如果你使用RADIUS身份认证,你必须允许在系统策略的RADIUS配置组 。 如果没有显式的指定域,那么ISA Server将使用它自己的域。 如果你选择了RADIUS认证,那么你不能选择其他的认证方式。 如果你没有选择任何认证方式,而且如果防火墙策略包含了需要用户身份认证的规则,那么认证将会失败,用户的请求将被拒绝。
当防火墙客户请求非HTTP的内容,ISA Server先查找是否有规则应到到这个特定的用户或者用户组。如果有,ISA Server将要求用户进行身份认证,然后ISA Server可以决定这条规则是否允许这个客户访问它所要求的对象。 当一个Web Proxy或者防火墙客户请求HTTP内容,ISA Server检查规则来决定是否有允许anonymous用户访问的特定规则(或者这条规则允许所有用户,或者这条规则允许这个客户的IP)。如果是,客户的请求将被允许。另外,如果没有规则允许anonymous用户访问,那么ISA Server将要求客户进行身份认证,然后来决定这条规则是否应用到这个指定的已通过认证的用户。 因此,当一个客户请求HTTP内容,除非ISA Server要求,否则该客户的认证信息并没有发送到ISA Server。只有在防火墙服务必须认证用户以允许用户请求时,认证才会发生。 对于防火墙客户,认证信息不会发送到防火墙服务。ISA Server像处理匿名用户一样来处理防火墙客户。如果ISA Server不允许匿名用户访问,那么防火墙客户的请求也会被拒绝,因为ISA Server并不会询问防火墙客户的认证信息。
没有安装Firewall客户端软件的客户机称为SecureNAT客户。SecureNAT客户可以使用ISA Server的许多功能,包括大部分的访问控制,除了高级协议和用户级认证。 虽然SecureNAT客户不需要其他软件,但是你必须指定ISA Server为它的默认网关,无论中间是否还有路由器。你可以手动指定,也可以通过DHCP服务来指定。 SecureNAT客户的请求本质上由Firewall服务处理,SecureNAT客户受益于一下的安全特性。应用程序过滤器可以修改协议以允许处理更复杂的协议。在微软的Windows自带的NAT中,这个机制由处于核心的NAT编辑器驱动来完成。 注意ISA Server应用程序过滤器替换了Windows自带的NAT编辑器的功能。为了让SecureNAT客户使用指定的程序或者协议,必须存在一个对应的应用程序过滤器。 SecureNAT客户和地址转换 ISA Server通过增强ISA Server策略为SecureNAT客户扩展了NAT功能。尽管事实上NAT没有固有的的认证机制,所有的ISA Server规则都可以应用到SecureNAT客户。关于协议使用、目的地、内容类型等策略都也应用到了SecureNAT客户。 SecureNAT客户和服务器发布 和Firewall客户相比,SecureNAT客户也可以是服务器,例如发布到Internet的邮件服务器。你可以通过服务器发布策略来发布作为SecureNAT客户的服务器。 配置SecureNAT客户 虽然SecureNAT客户不需要安装其他的软件,你必须正确的配置它的网络属性,这是需要值得注意的。
访问策略 访问策略决定位于源网络中的客户是否可以访问目的网络中的资源。 你可以配置访问策略应用到所有的协议、一个指定的协议定义、或者除了选择的协议外的所有通信。 ISA Server包含了一个预定义的、常用的协议的列表,包含广泛使用的Internet协议。你可以增加或者修改附加的协议。 当一个客户使用某种协议请求一个对象时,ISA Server检查访问策略。只有在访问策略允许这个客户使用指定的协议访问这个请求的对象时,请求才会处理。(责任编辑:生如夏花) |