ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Одна из сильных сторон брандмауэра ISA — его исключительный, отслеживающий соединения контроль прикладного уровня (stateful application layer inspection). Кроме выполнения основной задачи — фильтрации с отслеживанием соединений (которую может выполнять и простой «аппаратный» брандмауэр) — возможность строгого контроля и отслеживания соединений на прикладном уровне позволяет брандмауэру ISA на самом деле анализировать проходящие через брандмауэр протоколы. В отличие от традиционных аппаратных брандмауэров второго поколения брандмауэр ISA — представитель третьего поколения брандмауэров, обладающих сведениями не только о сети, но и о прикладных протоколах. Механизм отслеживающего состояние соединения прикладного контроля позволяет управлять доступом не непосредственно к «портам», а к реальным протоколам, проходящим через эти порты. В то время как традиционный «аппаратный» брандмауэр получает информацию о проходящих пакетах благодаря простым механизмам фильтрации, отслеживающим соединения, которые стали доступны с середины 1990-х гг., средства контроля прикладного уровня, отслеживающие состояние соединения, переносят брандмауэр ISA в XXI век и действительно управляют доступом протоколов уровня приложения. Эти средства делают возможным управление входящим и исходящим доступом, основанное на информации прикладного уровня, известной брандмауэру, в отличие от простого «открытия и закрытия» портов. Один яркий пример — возможность задания сайтов, к которым пользователи могут получить доступ через брандмауэр ISA. Эту возможность можно сочетать как с мощным контролем доступа, основанным на пользователях/группах, так и с управлением протоколами. Например, если имеется группа пользователей, названная «Web Users» (Webпользователи), и необходимо запретить этим пользователям доступ к списку из 1 50URL-адресов или доменов. Можно создать правило доступа, блокирующее доступ только к заданным 1 50сайтам и разрешающее доступ ко всем остальным после подтверждения подлинности пользователей этой группы в брандмауэре ISA. Другой пример: необходимо создать список запрета из 5 00доменов, доступ к которым по любому протоколу запрещен всем пользователям за исключением администраторов доменов. Можно создать набор имен доменов (Domain Name Set) и применить этот набор в правиле доступа, блокирующем доступ к этим сайтам. Задача заключается в поиске способа занесения тысяч имен доменов или URLадресов в наборы имен доменов или наборы URL-адресов. Конечно, можно вводить их вручную, используя встроенные средства консоли управления ISA, но удобнее импортировать их из текстового файла. В Интернете есть ряд мест, где можно найти такие файлы (мы не хотели бы упоминать их, поскольку не хотим неявно их рекламировать). Как только появится текстовый файл, возможно, потребуется использовать сценарий для импорта строк текстового файла в набор URL-адресов или набор имен доменов. Давайте начнем со сценариев. Первый сценарий, приведенный в листинге 7.1, применяется для импорта элементов из текстового файла в набор URL-адресов. Скопируйте информацию в текстовый файл и сохраните его с именем ImportURLs.vbs.