[转译] 20100901 – 1,允许用户覆盖被阻止的 URL 类别


《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 “User Override for Blocked URL Categories“》

1. 简介

Forefront TMG SP1 (点击 此处 下载) 中引入的新功能之一是允许用户覆盖被阻止的URL类别 (User Override for Blocked URL Categories)。当用户尝试浏览被防火墙策略阻止的 Web 站点时,这个功能会给出警告,不过仍允许用户显式覆盖这个限制,然后访问该站点。

这个功能使得管理员可以在实际执行一条 URL 过滤规则前先评估它,同时也可以通过覆盖页面来教育组织成员,哪些是没有被强制阻止访问的可接受的Web使用规则。

Forefront TMG 管理员需要记住:用户覆盖限制由终端用户控制,不应该被认为是安全功能。

2. 管理用户覆盖

准备

用户覆盖选项在每一条“拒绝“规则上启用。

假设有如下防火墙规则:

clip_image001

如果要在第一条拒绝规则上启用用户覆盖选项,管理员需要打开其属性对话框,并找到“一般(General)”页,勾选“允许用户覆盖 (Allow user override)”。

clip_image002

第二个复选框允许将时间限制应用到用户覆盖上。它定义了用户可以浏览被覆盖站点的时间,之后他需要再次覆盖该拒绝规则。

注意:这个功能是基于阻止请求的“拒绝”规则的,如果没有被覆盖,请求就会被忽略。所以,这条规则不会提供访问 Web 的权限。在覆盖规则之后,要想让这个请求被允许,必须有一条额外的访问规则来允许它。

用户体验

用户浏览一个被启用用户覆盖选项的规则阻止的站点时 (例如本例中的hotmail.com),会看到如下页面:

clip_image003

这个页面由 Forefront TMG 提供,需要客户端浏览器能够运行 JavaScript。如果没有 JavaScript,这个按钮的功能不会有效,该限制也不会被覆盖。用户点击这个按钮后,他就可以访问当前域内 (本例中是 hotmail.com) 被归类为 Web Email 的所有页面。

覆盖是针对各个域和各个类别来操作的,所以如果同一个域内的站点属于不同的被阻止类别,用户必须为每个类别分别覆盖访问限制。

考虑下面这个例子,防火墙阻止了 Sport News 类的站点。该阻止规则启用了用户覆盖选项。假设站点 contoso.com 和 contoso.com/news 被归类为 News;contoso.com/sport 被归类为 Sport。当用户第一次访问 contoso.com/news 时,他会覆盖访问限制。之后他再访问 contoso.com 时,他不需要再次覆盖,因为他已经可以访问 contoso.com 域内的 News。不过,如果他试图访问 contoso.com/sport,他会被要求再次覆盖。之后他就可以覆盖访问 contoso.com 域内的 Sport 和 News。

每次用户覆盖访问限制时,这个动作都会被记录并写入报告的统计信息里。

覆盖的持续时间

用户通过用户覆盖方式获取访问后,他可以再次进入该站点和其子站点 (只要它们属于同一类别),除非出现以下两种情况之一:

1) 用户关闭了浏览器

2) 规则中定义的时间超时

任意一种情况下,用户下次尝试进入该站点时,他会收到带有覆盖选项的错误页面。

限制

用户覆盖功能存在以下限制:

l 协议必须是 HTTP,HTTPS 在SP1中并不支持。这是因为许多浏览器带有这样一个安全功能:在SSL信道建立之前阻止浏览器显示任何页面 (比如“用户覆盖“ HTML 页面)。这意味着管理员需要创建两条“拒绝”规则 —— 一条是启用“用户覆盖“选项的 HTTP 规则,另一条是带有严格拒绝的 HTTPS。

clip_image004

l 目的地址必须仅包含 URL 类别或类别集。用户覆盖选项不支持其它类型的目的地址。

clip_image005

l Content-type 必须被设置为“全部内容类型 (All content types)”(默认选项)

clip_image006

如果以上任何一个限制条件不满足,带有用户覆盖选项的规则就不能被创建。

3. 日志

我们继续以阻止 Web Email 类别的规则为例。

当用户访问站点并执行用户覆盖时,日志中会出现这样一条:

clip_image008

第一行表示被阻止的请求,它触发了错误页面。

第二行显示用户覆盖请求,该请求不经过防火墙的评估,所以没有匹配的规则。

第三行显示与第一行同样的请求,不过现在它是被允许的,因为经过了用户覆盖。这里,日志列“覆盖规则 (Overridden Rule)”(在 SP1 中新引入的一列) 表明该规则先是阻止了该请求但是随后被覆盖了。

4. 报告

在 Forefront TMG SP1 全新的报告中,有两个是为用户覆盖功能设计的:

clip_image009

这些报告便于管理员分析被覆盖的URL是否被错误分类,以及哪些用户最常使用这个功能。

 

作者: Dima Datsenko

审阅: Ori Yosefi, Nathan Bigman

Comments (0)

Skip to main content