《本文轉譯自 Forefront TMG (ISA Server) Product Team 博客文章 “ User Override for Blocked URL Categories “》
1. 簡介
Forefront TMG SP1 (點擊 此處 下載) 中引入的新功能之一是允許用戶覆蓋被阻止的URL類別 (User Override for Blocked URL Categories)。當用戶嘗試瀏覽被防火墻策略阻止的 Web 站點時,這個功能會給出警告,不過仍允許用戶顯式覆蓋這個限制,然后訪問該站點。
這個功能使得管理員可以在實際執行一條 URL 過濾規則前先評估它,同時也可以通過覆蓋頁面來教育組織成員,哪些是沒有被強制阻止訪問的可接受的Web使用規則。
Forefront TMG 管理員需要記住:用戶覆蓋限制由終端用戶控制,不應該被認為是安全功能。
2. 管理用戶覆蓋
準備
用戶覆蓋選項在每一條“拒絕“規則上啟用。
假設有如下防火墻規則:
如果要在第一條拒絕規則上啟用用戶覆蓋選項,管理員需要打開其屬性對話框,并找到“ 一般 (General) ”頁,勾選“ 允許用戶覆蓋 (Allow user override) ”。
第二個復選框允許將時間限制應用到用戶覆蓋上。它定義了用戶可以瀏覽被覆蓋站點的時間,之后他需要再次覆蓋該拒絕規則。
注意:這個功能是基于阻止請求的“拒絕”規則的,如果沒有被覆蓋,請求就會被忽略。所以,這條規則不會提供訪問 Web 的權限。在覆蓋規則之后,要想讓這個請求被允許,必須有一條額外的訪問規則來允許它。
用戶體驗
用戶瀏覽一個被啟用用戶覆蓋選項的規則阻止的站點時 (例如本例中的hotmail.com),會看到如下頁面:
這個頁面由 Forefront TMG 提供,需要客戶端瀏覽器能夠運行 JavaScript。如果沒有 JavaScript,這個按鈕的功能不會有效,該限制也不會被覆蓋。用戶點擊這個按鈕后,他就可以訪問當前域內 (本例中是 hotmail.com) 被歸類為 Web Email 的所有頁面。
覆蓋是針對各個域和各個類別來操作的,所以如果同一個域內的站點屬于不同的被阻止類別,用戶必須為每個類別分別覆蓋訪問限制。
考慮下面這個例子,防火墻阻止了 Sport 和 News 類的站點。該阻止規則啟用了用戶覆蓋選項。假設站點 contoso.com 和 contoso.com/news 被歸類為 News ;contoso.com/sport 被歸類為 Sport 。當用戶第一次訪問 contoso.com/news 時,他會覆蓋訪問限制。之后他再訪問 contoso.com 時,他不需要再次覆蓋,因為他已經可以訪問 contoso.com 域內的 News。不過,如果他試圖訪問 contoso.com/sport,他會被要求再次覆蓋。之后他就可以覆蓋訪問 contoso.com 域內的 Sport 和 News。
每次用戶覆蓋訪問限制時,這個動作都會被記錄并寫入報告的統計信息里。
覆蓋的持續時間
用戶通過用戶覆蓋方式獲取訪問后,他可以再次進入該站點和其子站點 (只要它們屬于同一類別),除非出現以下兩種情況之一:
1) 用戶關閉了瀏覽器
2) 規則中定義的時間超時
任意一種情況下,用戶下次嘗試進入該站點時,他會收到帶有覆蓋選項的錯誤頁面。
限制
用戶覆蓋功能存在以下限制:
l 協議必須是 HTTP,HTTPS 在SP1中并不支持。這是因為許多瀏覽器帶有這樣一個安全功能:在SSL信道建立之前阻止瀏覽器顯示任何頁面 (比如“用戶覆蓋“ HTML 頁面)。這意味著管理員需要創建兩條“拒絕”規則 —— 一條是啟用“用戶覆蓋“選項的 HTTP 規則,另一條是帶有嚴格拒絕的 HTTPS。
l 目的地址必須僅包含 URL 類別或類別集。用戶覆蓋選項不支持其它類型的目的地址。
l Content-type 必須被設置為“全部內容類型 (All content types)”(默認選項)
如果以上任何一個限制條件不滿足,帶有用戶覆蓋選項的規則就不能被創建。
3. 日志
我們繼續以阻止 Web Email 類別的規則為例。
當用戶訪問站點并執行用戶覆蓋時,日志中會出現這樣一條:
第一行表示被阻止的請求,它觸發了錯誤頁面。
第二行顯示用戶覆蓋請求,該請求不經過防火墻的評估,所以沒有匹配的規則。
第三行顯示與第一行同樣的請求,不過現在它是被允許的,因為經過了用戶覆蓋。這里,日志列“ 覆蓋規則 (Overridden Rule) ”(在 SP1 中新引入的一列) 表明該規則先是阻止了該請求但是隨后被覆蓋了。
4. 報告
在 Forefront TMG SP1 全新的報告中,有兩個是為用戶覆蓋功能設計的:
這些報告便于管理員分析被覆蓋的URL是否被錯誤分類??以及哪些用戶最常使用這個功能。
作者: Dima Datsenko
審閱: Ori Yosefi, Nathan Bigman
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061

微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
