ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Was ist der ISA Server
ISA beschaffen
Lizenzierung
MCP Prüfung 70-227
Zertifizierungen
Versionen
Clientadresssätze
Protokolldefinitionen
Protokollregeln
IP Paketfilter
Zeitpläne
Zielsätze
LAT
LDT
Clients
SecureNAT-Client
Webproxyclient
Betriebsmodi

 

Konfiguration von Protokollregeln


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Protokollregeln legen fest, mit welchen Protokollen interne Clients Zugriff auf das Internet haben. Protokollregeln können eine oder mehrere Protokolldefinitionen beinhalten, deren Zugriff sie erlauben oder verweigern.

Für die häufigsten Protokolle sind bereits fertige Protokolldefinitionen vorhanden, eigene können jederzeit hinzugefügt werden.

Fragt ein Client ein Objekt mit einem bestimmten Protokoll an, überprüft ISA Server die Protokollregeln. Wenn eine Protokollregel ausdrücklich die Verwendung des Protokolls verweigert, wird die Anfrage verweigert. Die Anfrage wird weiterhin nur dann verarbeitet, wenn eine Protokollregel es dem Client ausdrücklich erlaubt, mit dem betreffenden Protokoll zu kommunizieren und wenn eine Site- und Inhaltsregel ausdrücklich den Zugriff auf das angefragte Objekt zulässt.

Protokollregeln gelten für Firewallclients und sichere Netzwerkadressübersetzungsclients (SecureNAT-Clients). Ist das Protokoll durch ein Anwendungsfilter definiert, gilt die Protokollregel für Firewall- und SecureNAT-Clients. Gilt die Protokollregel für ein Protokoll, das nur eine primäre Verbindung besitzt (z. B. HTTP), gilt die Regel für Firewall- und SecureNAT-Clients.

Verfügt das Protokoll über sekundäre Verbindungen und ist es nicht durch ein Anwendungsfilter definiert, gilt die Protokollregel nur für die primäre Verbindung. Mit anderen Worten: Verwendet eine Anwendung ein Protokoll mit einer sekundären Verbindung, funktioniert diese Anwendung nur auf einem Firewallclient.

Wenn Sie bei SecureNAT-Clients eine Protokollregel definieren, die für den gesamten IP-Datenverkehr gelten soll, wird die Regel tatsächlich nur auf alle definierten Protokolle angewendet.

Obwohl Protokollregeln nicht geordnet sind, werden Regeln, die Protokolle verweigern, vor Protokollen verarbeitet, die den Zugriff erlauben. Wenn Sie beispielsweise zwei Regeln erstellen, von denen eine die Verwendung aller Protokolle zulässt und die andere die Verwendung des SMTP-Protokolls verweigert, ist das SMTP-Protokoll nicht erlaubt.

Im folgenden Beispiel wird eine Protokollregel eingerichtet, die allen Benutzern den Zugriff auf das RDP-Protokoll ausgehend ermöglicht. RDP wird für Terminalservice-Sitzungen benötigt, um z.B. entfernte Server zu verwalten. Da das RDP-Protokoll bereits vordefiniert ist, entfällt die Notwendigkeit der Detailkenntnis über IP-Protokoll und Port.

Um eine neue Protokollregel zu erstellen, wählen Sie im Kontextmenü des Eintrags "Protokollregeln" -> Neu -> Regel


Geben Sie hier einen beschreibenden Namen für diese Regel ein.


Hier muss ausgewählt werden, ob die Regel den Zugriff erlaubt oder verweigert. In einer Umgebung, in der z.B. nahezu alles erlaubt sein soll, lediglich für gewisse Protokolle eine Einschränkung erfolgen soll ist diese Option gedacht. Oder zur Einschränkung auf Gruppen-/Benutzerebene.


Hier können die betroffenen Protokolle ausgewählt werden.


Die Protokollregel kann auch nur zu bestimmten Zeiten gelten, z.B. während der Mittagspause.


Die Gültigkeit der Protokollregel kann hier eingeschränkt werden:

  • Jede Anfrage bedeutet, dass alle Anfragen grundsätzlich betroffen sind
  • Die Regel kann auch nur für Spezielle Computer gelten, die zuvor über einen Clientadressatz festgelegt wurden. Z.B. könnte dadurch nur den internen Mailservern die Verwendung von SMTP erlaubt werden
  • Speziellen Benutzern und Gruppen wird dann verwendet, wenn die Regel unabhängig von dem Computer und abhängig von einem Benutzer oder einer Gruppe gültig sein soll.

 

Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher