Konfiguration von Protokollregeln
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Protokollregeln legen fest, mit welchen Protokollen interne Clients Zugriff auf das Internet haben. Protokollregeln können eine oder mehrere Protokolldefinitionen beinhalten, deren Zugriff sie erlauben oder verweigern.
Für die häufigsten Protokolle sind bereits fertige Protokolldefinitionen vorhanden, eigene können jederzeit hinzugefügt werden.
Fragt ein Client ein Objekt mit einem bestimmten Protokoll an, überprüft ISA Server die Protokollregeln. Wenn eine Protokollregel ausdrücklich die Verwendung des Protokolls verweigert, wird die Anfrage verweigert. Die Anfrage wird weiterhin nur dann verarbeitet, wenn eine Protokollregel es dem Client ausdrücklich erlaubt, mit dem betreffenden Protokoll zu kommunizieren und wenn eine Site- und Inhaltsregel ausdrücklich den Zugriff auf das angefragte Objekt zulässt.
Protokollregeln gelten für Firewallclients und sichere Netzwerkadressübersetzungsclients (SecureNAT-Clients). Ist das Protokoll durch ein Anwendungsfilter definiert, gilt die Protokollregel für Firewall- und SecureNAT-Clients. Gilt die Protokollregel für ein Protokoll, das nur eine primäre Verbindung besitzt (z. B. HTTP), gilt die Regel für Firewall- und SecureNAT-Clients.
Verfügt das Protokoll über sekundäre Verbindungen und ist es nicht durch ein Anwendungsfilter definiert, gilt die Protokollregel nur für die primäre Verbindung. Mit anderen Worten: Verwendet eine Anwendung ein Protokoll mit einer sekundären Verbindung, funktioniert diese Anwendung nur auf einem Firewallclient.
Wenn Sie bei SecureNAT-Clients eine Protokollregel definieren, die für den gesamten IP-Datenverkehr gelten soll, wird die Regel tatsächlich nur auf alle definierten Protokolle angewendet.
Obwohl Protokollregeln nicht geordnet sind, werden Regeln, die Protokolle verweigern, vor Protokollen verarbeitet, die den Zugriff erlauben. Wenn Sie beispielsweise zwei Regeln erstellen, von denen eine die Verwendung aller Protokolle zulässt und die andere die Verwendung des SMTP-Protokolls verweigert, ist das SMTP-Protokoll nicht erlaubt.
Im folgenden Beispiel wird eine Protokollregel eingerichtet, die allen Benutzern den Zugriff auf das RDP-Protokoll ausgehend ermöglicht. RDP wird für Terminalservice-Sitzungen benötigt, um z.B. entfernte Server zu verwalten. Da das RDP-Protokoll bereits vordefiniert ist, entfällt die Notwendigkeit der Detailkenntnis über IP-Protokoll und Port.
Um eine neue Protokollregel zu erstellen, wählen Sie im Kontextmenü des Eintrags "Protokollregeln" -> Neu -> Regel
Geben Sie hier einen beschreibenden Namen für diese Regel ein.
Hier muss ausgewählt werden, ob die Regel den Zugriff erlaubt oder verweigert.
In einer Umgebung, in der z.B. nahezu alles erlaubt sein soll, lediglich für
gewisse Protokolle eine Einschränkung erfolgen soll ist diese Option gedacht.
Oder zur Einschränkung auf Gruppen-/Benutzerebene.
Hier können die betroffenen Protokolle ausgewählt werden.
Die Protokollregel kann auch nur zu bestimmten Zeiten gelten, z.B. während der
Mittagspause.
Die Gültigkeit der Protokollregel kann hier eingeschränkt werden:
- Jede Anfrage bedeutet, dass alle Anfragen grundsätzlich betroffen sind
- Die Regel kann auch nur für Spezielle Computer gelten, die zuvor
über einen Clientadressatz festgelegt
wurden. Z.B. könnte dadurch nur den internen Mailservern die Verwendung von
SMTP erlaubt werden
- Speziellen Benutzern und Gruppen wird dann verwendet, wenn die
Regel unabhängig von dem Computer und abhängig von einem Benutzer oder einer
Gruppe gültig sein soll.
Stand: Friday, 28. August 2009/DR.
