首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > ForeFront TMG > 微软大中华区安全组文章合集 - URL 类别覆盖
现在时间是: 2017-10-20 22:07
微软大中华区安全组文章合集 - URL 类别覆盖

(2010-11-08 13:19)

允许用户覆盖被阻止的 URL 类别

《本文转自微软大中华区安全组博客文章允许用户覆盖被阻止的 URL 类别

《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 “ User Override for Blocked URL Categories “》

1. 简介

Forefront TMG SP1 (点击 此处 下载) 中引入的新功能之一是允许用户覆盖被阻止的URL类别 (User Override for Blocked URL Categories)。当用户尝试浏览被防火墙策略阻止的 Web 站点时,这个功能会给出警告,不过仍允许用户显式覆盖这个限制,然后访问该站点。

这个功能使得管理员可以在实际执行一条 URL 过滤规则前先评估它,同时也可以通过覆盖页面来教育组织成员,哪些是没有被强��阻止访问的可接受的Web使用规则。

Forefront TMG 管理员需要记住:用户覆盖限制由终端用户控制,不应该被认为是安全功能。

2. 管理用户覆盖

准备

用户覆盖选项在每一条“拒绝“规则上启用。

假设有如下防火墙规则:

clip_image001

如果要在第一条拒绝规则上启用用户覆盖选项,管理员需要打开其属性对话框,并找到“一般(General)”页,勾选“允许用户覆盖 (Allow user override)”。

clip_image002

第二个复选框允许将时间限制应用到用户覆盖上。它定义了用户可以浏览被覆盖站点的时间,之后他需要再次覆盖该拒绝规则。

注意:这个功能是基于阻止请求的“拒绝”规则的,如果没有被覆盖,请求就会被忽略。所以,这条规则不会提供访问 Web 的权限。在覆盖规则之后,要想让这个请求被允许,必须有一条额外的访问规则来允许它。

用户体验

用户浏览一个被启用用户覆盖选项的规则阻止的站点时 (例如本例中的hotmail.com),会看到如下页面:

clip_image003

这个页面由 Forefront TMG 提供,需要客户端浏览器能够运行 JavaScript。如果没有 JavaScript,这个按钮的功能不会有效,该限制也不会被覆盖。用户点击这个按钮后,他就可以访问当前域内 (本例中是 hotmail.com) 被归类为 Web Email 的所有页面。

覆盖是针对各个域和各个类别来操作的,所以如果同一个域内的站点属于不同的被阻止类别,用户必须为每个类别分别覆盖访问限制。

考虑下面这个例子,防火墙阻止了 Sport News 类的站点。该阻止规则启用了用户覆盖选项。假设站点 contoso.com 和 contoso.com/news 被归类为 News;contoso.com/sport 被归类为 Sport。当用户第一次访问 contoso.com/news 时,他会覆盖访问限制。之后他再访问 contoso.com 时,他不需要再次覆盖,因为他已经可以访问 contoso.com 域内的 News。不过,如果他试图访问 contoso.com/sport,他会被要求再次覆盖。之后他就可以覆盖访问 contoso.com 域内的 Sport 和 News。

每次用户覆盖访问限制时,这个动作都会被记录并写入报告的统计信息里。

覆盖的持续时间

用户通过用户覆盖方式获取访问后,他可以再次进入该站点和其子站点 (只要它们属于同一类别),除非出现以下两种情况之一:

1) 用户关闭了浏览器

2) 规则中定义的时间超时

任意一种情况下,用户下次尝试进入该站点时,他会收到带有覆盖选项的错误页面。

限制

用户覆盖功能存在以下限制:

  • 协议必须是 HTTP,HTTPS 在SP1中并不支持。这是因为许多浏览器带有这样一个安全功能:在SSL信道建立之前阻止浏览器显示任何页面 (比如“用户覆盖“ HTML 页面)。这意味着管理员需要创建两条“拒绝”规则 —— 一条是启用“用户覆盖“选项的 HTTP 规则,另一条是带有严格拒绝的 HTTPS。

clip_image004

  • 目的地址必须仅包含 URL 类别或类别集。用户覆盖选项不支持其它类型的目的地址。

clip_image005

  • Content-type 必须被设置为“全部内容类型 (All content types)”(默认选项)

clip_image006

如果以上任何一个限制条件不满足,带有用户覆盖选项的规则就不能被创建。

3. 日志

我们继续以阻止 Web Email 类别的规则为例。

当用户访问站点并执行用户覆盖时,日志中会出现这样一条:

clip_image008

第一行表示被阻止的请求,它触发了错误页面。

第二行显示用户覆盖请求,该请求不经过防火墙的评估,所以没有匹配的规则。

第三行显示与第一行同样的请求,不过现在它是被允许的,因为经过了用户覆盖。这里,日志列“覆盖规则 (Overridden Rule)”(在 SP1 中新引入的一列) 表明该规则先是阻止了该请求但是随后被覆盖了。

4. 报告

在 Forefront TMG SP1 全新的报告中,有两个是为用户覆盖功能设计的:

clip_image009

这些报告便于管理员分析被覆盖的URL是否被错误分类,以及哪些用户最常使用这个功能。

作者: Dima Datsenko

审阅: Ori Yosefi, Nathan Bigman

作者:
责任编辑:微软大中华区安全组

[1] [2] 下一页>>
上一篇:微软大中华区安全组文章 - VPN 不要做蜗牛!
下一篇:微软大中华区安全组文章合集 - TMG SP1 发布
相关信息:

微软大中华区安全组文章合集 - MSN登录与网络适配器错误
Forefront TMG SP1 发布!
Forefront TMG SP2 发布!
微软大中华区安全组文章 - TMG HTTPS 检测:病毒,穿上马甲我也认识你
Forefront TMG 2010 相关工具和SDK下载

热点信息 TOP 10
TMG(ISA 2008) 王者再现
ForeFront TMG 安装指南
ForeFront TMG 企业版安装指南
王者再现 - Forefront TMG 新特性介绍(修改版)
ForeFront TMG 标准版安装指南
Forefront TMG 新特性之 HTTPS 扫描
Forefront TMG 新特性之 ISP 冗余传输链路(ISP-R)
Forefront TMG 新特性之 HTTP 非法软件扫描
Forefront TMG 新特性之 增强 NAT 功能
微软大中华区安全组文章 - 在 TMG 更新中心中使用 WSUS

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2017 All Rights Reserved..