［转载自Microsoft TechNet]

使用 ISA Server 2004 中的 URL 和域名集


    摘要URL 集和域名集是在配置 Microsoft Internet Security and Acceleration (ISA) Server 2004 规则时可以创建和使用的工具箱元素。URL 集指定一个或多个分组到一个集合中的 URL。域名集将一个或多个域名定义为单个集合。

    URL 集您可以创建 URL 集，然后在访问规则中使用，以允许或拒绝对该集合中指定的 Web 站点的访问。当 ISA Server 处理一个应用于某 URL 集的规则时，它只为 Web 流量请求（HTTP、HTTPS 或 HTTP 上的 FTP）处理该规则的 URL 集合元素。如果客户端请求使用另外的协议（防火墙流量），ISA Server 将在处理该规则时忽略该 URL 集。例如，如果某规则同时指定了一个“计算机”集和一个 URL 集作为目标标准，则该规则仅评价“计算机”集。URL 集将被忽略。
在创建 URL 集时请注意以下事项：

•	您能够以 URL 格式指定一个或多个 URL： • <protocol>://<host>:<port>/<path>
•	在该名称的主机部分，您可以使用通配符（*）来指定计算机集。例如，要指定 Microsoft.com 域中的所有计算机，可指定为 *.microsoft.com。
•	在该名称的路径部分，您可以指定一个通配符星号作为路径的一部分，但是只能在结尾处指定。例如： • www.microsoft.com/* 是可接受的。 • www.microsoft.com/*/sales 是不可接受的。
•	不能将 URL 集指定为 IP 地址。

     在将请求与包含 URL 集的规则匹配时，请注意以下情况：

•	匹配时仅考虑请求中的主机名称和路径。 • URL 的协议部分将从请求中去除并被忽略。 • 指定的任何端口号将从请求中去除并被忽略。
•	如果某个请求包括一个问号（?），问号及其后面的所有内容将在匹配之前从请求中去除。
•	在匹配时，主机和路径名称不区分大小写。
•	对于 HTTP 和 HTTP 上的 FTP，当请求中指定的 URL 不带路径时，它将匹配任何路径。换句话说，http://a.com 或“a.com”等价于 http://a.com/* 。
•	对于 HTTPS 流量，仅当 URL 没有指定路径时才会处理 URL 集。例如 http://a.com 或“a.com”。如果 URL 指定了路径（即使只是“/”），那么对于 HTTPS 流量，该 URL 将被忽略。

    一些 URL 集映射例子如下：
    对于 URL 集条目：

•	ftp://a.com:25/apath • 针对 http://a.com 的请求将得到匹配，针对 http://a.com:55 的请求也会得到匹配，因为协议和端口被去除了。
•	对于 URL 集条目： • http://a.com
•	针对 http://a.com/abc 的请求将得到匹配，针对 http://a.com/abc/def 的请求也会得到匹配。换句话说，http://a.com 等价于 http://a.com/* 。例外情况是 HTTPS 请求，它们不会被处理，因为指定了路径。
•	对于 URL 集条目： • http://a.com/a
•	针对 http://a.com/a 的请求将得到匹配。但是针对 http://a.com/a/b 的请求不会得到匹配。在这样的条目中，请求与跟在“a”后面的树不匹配。
•	对于 URL 集条目： • http://www.a.com/apath?next=news
•	问号及其后面的所有内容从请求中去除了，因此如果在拒绝规则中指定该 URL 集，并且有一个针对 http://www.a.com/apath?next=news 的请求到达，该请求将被截断为 http://www.a.com/apath，并得到允许，因为它与拒绝规则中指定的 URL 集不匹配。为了阻止这样的请求，应该在 URL 集中指定 http://www.a.com/apath。
•	对于 URL 集条目： • “a.com”，HTTPS 请求将得到匹配，因为没有指定路径。
•	对于 URL 集条目： • “b.com/”，HTTPS 请求将不会得到匹配，因为指定了路径（“/”）。

    域集域集将一个或多个域名集聚为单个集合，以便在防火墙策略中使用。
    请注意以下事项：

•	不能将域名集指定为 IP 地址。
•	在将域名指定为某个域名集的一部分时，可以使用通配符（*）来指定域中的一组计算机。例如，为了指定 microsoft.com 域中的所有计算机，可键入 *.microsoft.com 作为域名。
•	如果要指定通配符星号，它只能出现在域名的开头，并且只能在该名称中指定一次。
•	在指定域名时，可使用完全限定的域名（FQDN）。例如，computer_name.microsoft.com，而不是 \\computer_name。
•	在创建具有通配符的域（比如：*.microsoft.com）时，这仅包括该域的主计算机，例如 www.microsoft.com、ftp.microsoft.com。注意，如果域名指向某个主机，*.microsoft.com 将不会影响 URL http://Microsoft.com。
•	推荐输入 DNS 所返回的域名。如果在域名的结尾指定一个点，针对该域名（不带点）的请求可能无法按需要的那样匹配。
•	在匹配规则时，域名不区分大小写。

    名称解析ISA Server 根据访问策略来判断请求是应该被允许还是被拒绝。ISA Server 规则引擎尝试将请求与访问规则匹配，然后再与路由规则匹配。包括域名集和 URL 集的规则需要名称解析等功能。如果不存在阻止规则匹配的规则标准，并且在执行名称解析时该规则与请求相匹配，则该规则将受名称解析的限制。换句话说，如果该规则包含一个 URL 集，但是该规则的计划安排限制阻止了匹配，则该规则将不受名称解析的限制。可以标记以下类型的请求来进行名称解析：

•	按名称指定的 Web 请求遇到一个将地址范围指定为目标标准（正向查找）的规则。
•	按 IP 地址指定的 Web 请求遇到一个将 URL 集指定为目标标准（反向查找）的规则。

    包括自己的 DNS 缓存的防火墙服务。如果所请求的 IP 地址或主机名称驻留在该缓存中，该请求将在不发出 DNS 请求的情况下处理。否则就会使用 Windows API 发出一个 DNS 请求。名称解析提供一个主机条目，然后规则引擎把该条目与规则的目标标准作比较。规则引擎对照 URL 集和域名集条目执行字符串比较。
要重点注意的是，需要名称解析的规则是根据 DNS 解析信息来评价和强制实施的。如果没有正确和安全地配置 DNS 信息，规则也许就无法按需要的那样应用。

[ 本帖最后由 blazewind 于 2007-6-7 18:48 编辑 ]

这么好的帖子没有人顶吗?

kan l    kan  l

楼住
我来顶了
谢谢了

谢谢楼主的共享，通俗易懂，支持。

谢谢楼主的共享，通俗易懂，支持。