这篇文章中的信息适用于:

Microsoft Internet Security and Acceleration Server 2000


概要
本文描述管理员如何通过使用 Internet Security and Acceleration (ISA) Server 中的内置工具，防止用户访问未授权的 Web 站点。另外，本文还描述管理员如何基于日期、星期或组，对阻挡规则设置例外。

如何允许用户查看授权的 Web 站点
"站点和内容"规则可以应用到用户，以便允许或拒绝他们访问特定的 Web 站点、计算机或者 Internet 协议 (IP) 地址范围。使用 ISA Server，管理员可以使用两种不同的筛选方法来管理客户机对 Web 站点的访问：
管理员可以使用户能够访问除被明确阻挡的某些站点以外的任意和所有 Web 站点。


管理员可以拒绝用户对除被明确授权的站点以外的任意和所有 Web 站点的访问。


若要允许用户查看授权的 Web 站点，请按照下列步骤操作：
单击开始，指向程序,单击 Microsoft ISA Server，然后单击 ISA Management（ISA 管理）。显示"ISA Management（ISA 管理）"窗口。


单击加号 (+) 展开 Servers and Arrays（服务器和阵列），然后单击加号 (+) 展开服务器名称，展开树。


在树上，单击加号 (+) 以展开 Policy Elements（策略元素）。


右键单击 Destination Sets（目标集合）文件夹，显示子菜单。


单击新建，然后单击 Set（集合）。

备注：若要建立一个授权客户访问的特定 Web 站点列表，管理员必须手动输入被允许 Web 站点列表，可以使用 Web 站点名称（例如，www.msn.com），也可以使用 Web 站点的 IP 地址（例如，207.46.179.143），或者两者相结合。（或者，管理员可以使用通配符，如 *. microsoft.com，或者 Path（路径）框中的 /Testing/*。）


单击 New Destination Set（新建目标集合）对话框。为被允许的 Web 站点列表输入一个好记的名称，如，"Permitted Web Sites"。

备注：您还可以添加一些有帮助的注释，如列表输入的日期。


单击 Add（添加），显示一个对话框。单击 Add Destination（添加目标）或 Edit Destination（编辑目标），选其中合适的一个。

备注：一次只能输入一个 Web 站点名称或 IP 地址。在建立了被允许的 Web 站点列表之后，您必须回到控制台树的"Access Policy（访问策略）"。


单击加号 (+) 以展开 Access Policy（访问策略）。右键单击 Site and Content Rules（站点和内容规则），单击新建，单击 Rule（规则），显示"New Site and Content Rule（新建站点和内容规则向导）"。


在 Site and Content Rule Name（站点和内容规则名称）对话框中，输入一个好记的名称，如"Allowed Web Sites"，然后单击下一步。显示 Rule Action（规则操作）对话框。


单击列在"Response to client requests for access（响应客户访问请求）"行下面的 Allow（允许），然后单击下一步。显示 Rule Configuration（规则配置）对话框。


单击 Allow Access Based on Destination（允许基于目标的访问），然后单击下一步。显示 Destination Sets（目标集合）对话框。


在 Apply this Rule To（规则应用到）列表中，单击 Specified Destination Set（指定的目标集合）。检查 Name（名称）列表。您可以看到在建立被允许的 Web 站点的列表时输入的好记的列表名称（在本例中为"Permitted Web Sites"）。单击允许的 Web 站点列表，然后单击下一步。


显示一个概要屏幕，其中显示出您的选择。如果选择是正确的，请单击完成。该向导消失，回到"ISA Management（ISA 管理）"窗口。窗口的右窗格显示出您的新规则。


如果"ISA Management（ISA 管理）"窗口的右窗格还显示有任何其他规则，则可通过以下方法禁用该规则：指向该规则，右键单击，然后单击 Disable（禁用）。禁用的规则名称旁边显示一个红箭头。


如何阻挡对一系列 Web 站点的访问
本例演示管理员如何允许客户机访问除被明确阻挡的某些站点以外的任意和所有 Web 站点。首先，您必须创建一个"站点和内容"规则，允许对所有 Web 站点进行访问。然后，必须阻挡对某些选定站点的访问：
在 Site and Content Rules（站点和内容规则）中，右键单击新建，然后单击 Rule（规则）。显示"New Site and Content Rule Wizard（新建站点和内容规则向导）"。


为这个规则创建一个好记的名称，如"Allow Everybody Access to Anything"。在 Site and Content Rule Name（站点和内容规则名称）框中输入此名称，然后在完成时单击下一步。


在下一个"Rule Action（规则操作）"屏幕中，单击 Allow（允许），然后单击下一步。


在下一个"Rule Configuration（规则配置）"屏幕中，单击 Allow Access Based on Destination（允许基于目标的访问），然后单击下一步。


在下一个"Destination Sets（目标集合）"屏幕中，在 Apply this Rule to（规则应用到）列表中，单击 All Destinations（所有目标），然后单击下一步。


显示概要屏幕之后，检查您的配置。如果配置正确，请单击完成。您的新规则"Allow Everybody Access to Anything"显示在"ISA Management（ISA 管理）"窗口的右窗格中。


若要阻挡对某些 Web 站点的访问，请按照下列步骤操作：
单击开始，指向程序，单击 Microsoft ISA Server，然后单击 ISA Management（ISA 管理）。显示"ISA Management（ISA 管理）"窗口。


单击加号 (+) 展开 Servers and Arrays（服务器和阵列），然后单击加号 (+) 以展开服务器名称，展开树。


在树上，单击加号 (+) 以展开 Policy Elements（策略元素）。


右键单击 Destination Sets（目标集合）文件夹，显示子菜单。


单击新建，然后单击 Set（集合）。

备注：作为管理员，您必须建立一个要阻挡访问的特定 Web 站点列表。管理员必须手动输入被阻挡的 Web 站点的列表，可以使用 Web 站点的名称（例如，www.msn.com），也可以使用 Web 站点的 IP 地址（例如，207.46.179.143），或者两者相结合。或者，您可以使用通配符，如 *.microsoft.com，或者 Path（路径）框中的 /Testing/*。
若要创建阻挡的 Web 站点列表，请按照下列步骤操作：
单击 New Destination Set（新建目标集合）对话框，然后为被拒绝访问的 Web 站点列表输入一个好记的名称，如"Blocked Web Sites"。（您还可以添加一个有帮助的注释，例如列表输入的日期。）


单击 Add（添加）。对话框打开后，单击 Add Destination（添加目标）或 Edit Destination（编辑目标），选其中的合适的一个。

备注：一次只能输入一个 Web 站点名称或 IP 地址。建立被阻挡的 Web 站点列表之后，您必须在目录树中查找"Access Policy（访问策略）"。


单击加号 (+) 以展开 Access Policy（访问策略）。右键单击 Site and Content Rules（站点和内容规则），单击新建，然后单击 Rule（规则）。显示"New Site and Content Rule Wizard（新建站点和内容规则向导）"。


在 Site and Content Rule Name（站点和内容规则名称）框中，输入一个好记的名称，如"Blocked Web Sites"，然后单击下一步。显示 Rule Action（规则操作）对话框。


单击列在"Response to client requests for access（响应客户访问请求）"行下面的 Deny（拒绝），然后单击下一步。显示 Rule Configuration（规则配置）对话框。


单击 Deny Access Based on Destination（拒绝基于目标的访问），然后单击下一步。显示 Destination Sets（目标集合）对话框。


在 Apply this Rule To（规则应用到）列表中，单击 Specified Destination Set（指定的目标集合）。在 Name（名称）列表中，您可以看到在建立所允许的 Web 站点的列表时输入的列表的好记的名称"Permitted Web Sites"（在本例中）。单击被阻挡的 Web 站点列表，然后单击下一步。


显示一个概要屏幕，其中包含您的选择。如果选择是正确的，请单击完成。向导消失，回到"ISA Management（ISA 管理）"窗口。窗口的右窗格显示出您的新规则。


如果"ISA Management（ISA 管理）"窗口的右窗格还显示有任何其他规则，则可通过以下方法禁用该规则：指向该规则，右键单击，然后单击 Disable（禁用）。禁用的规则名称旁边显示一个红箭头。


如何建立例外规则
管理员可以对已经建立的站点访问列表或阻挡访问列表规则进行重要的调整。对 Web 站点规则进行的两个最重要的调整是：基于日期和星期的例外；"安全组"或"用户组"创建的例外。

如何创建基于日期和星期的例外规则：
如果您只想在某些时候使用"访问"或"拒绝"规则，请右键单击显示在"ISA Management（ISA 管理）"窗口右窗格的规则，然后单击属性。


单击 Schedule（计划）选项卡，单击 Always（总是），然后单击 Work Hours（工作日）或 Weekends（周末）作为规则使用的时间。完成后，单击确定。默认工作日是周一到周五上午 8:30 到下午 4:30。但是，可修改此默认设置。


如何基于"安全"或"用户"组建立例外：
管理员可以基于组（如 Administrators、Managers、Executives、某些用户等）对站点阻挡规则建立例外。若要建立例外，管理员必须在"ISA Management（ISA 管理）"窗口的右窗格中，右键单击要建立例外的 Site and Content（站点和内容）规则，然后单击属性。


单击 Applies To（应用到）选项卡，单击 Users and Groups Specified Below（下面指定的用户和组），然后单击 Add（添加）。出现选择用户或组对话框。


管理员必须将该规则应用到的所有安全组包括在 Applies to Requests Coming From（应用到来自下面用户的请求）框中。单击 Add（添加），然后单击确定返回到 Applies To（应用到）选项卡。所有选定的组都将显示在 Applies to Requests Coming From（应用到来自下面用户的请求）框中。完成后，单击确定。


单击 Exceptions（例外）框旁边的 Add（添加），然后打开选择用户或组框。选择排除在此规则之外的组或用户，然后单击确定返回到 Applies To（应用到）选项卡。所有选定的组都将显示在 Exceptions（例外）框中。


单击确定，该向导消失.