[转译] 20100901 - 1，允许用户覆盖被阻止的 URL 类别

Article
08/31/2010

《本文转译自 Forefront TMG (ISA Server) Product Team 博客文章 “ User Override for Blocked URL Categories “》

1. 简介

Forefront TMG SP1 (点击此处下载) 中引入的新功能之一是允许用户覆盖被阻止的URL类别 (User Override for Blocked URL Categories)。当用户尝试浏览被防火墙策略阻止的 Web 站点时，这个功能会给出警告，不过仍允许用户显式覆盖这个限制，然后访问该站点。

这个功能使得管理员可以在实际执行一条 URL 过滤规则前先评估它，同时也可以通过覆盖页面来教育组织成员，哪些是没有被强制阻止访问的可接受的Web使用规则。

Forefront TMG 管理员需要记住：用户覆盖限制由终端用户控制，不应该被认为是安全功能。

2. 管理用户覆盖

准备

用户覆盖选项在每一条“拒绝“规则上启用。

假设有如下防火墙规则：

如果要在第一条拒绝规则上启用用户覆盖选项，管理员需要打开其属性对话框，并找到“ 一般 (General) ”页，勾选“ 允许用户覆盖 (Allow user override) ”。

第二个复选框允许将时间限制应用到用户覆盖上。它定义了用户可以浏览被覆盖站点的时间，之后他需要再次覆盖该拒绝规则。

注意：这个功能是基于阻止请求的“拒绝”规则的，如果没有被覆盖，请求就会被忽略。所以，这条规则不会提供访问 Web 的权限。在覆盖规则之后，要想让这个请求被允许，必须有一条额外的访问规则来允许它。

用户体验

用户浏览一个被启用用户覆盖选项的规则阻止的站点时 (例如本例中的hotmail.com)，会看到如下页面：

这个页面由 Forefront TMG 提供，需要客户端浏览器能够运行 JavaScript。如果没有 JavaScript，这个按钮的功能不会有效，该限制也不会被覆盖。用户点击这个按钮后，他就可以访问当前域内 (本例中是 hotmail.com) 被归类为 Web Email 的所有页面。

覆盖是针对各个域和各个类别来操作的，所以如果同一个域内的站点属于不同的被阻止类别，用户必须为每个类别分别覆盖访问限制。

考虑下面这个例子，防火墙阻止了 Sport 和 News 类的站点。该阻止规则启用了用户覆盖选项。假设站点 contoso.com 和 contoso.com/news 被归类为 News；contoso.com/sport 被归类为 Sport。当用户第一次访问 contoso.com/news 时，他会覆盖访问限制。之后他再访问 contoso.com 时，他不需要再次覆盖，因为他已经可以访问 contoso.com 域内的 News。不过，如果他试图访问 contoso.com/sport，他会被要求再次覆盖。之后他就可以覆盖访问 contoso.com 域内的 Sport 和 News。

每次用户覆盖访问限制时，这个动作都会被记录并写入报告的统计信息里。

覆盖的持续时间

用户通过用户覆盖方式获取访问后，他可以再次进入该站点和其子站点 (只要它们属于同一类别)，除非出现以下两种情况之一:

1) 用户关闭了浏览器

2) 规则中定义的时间超时

任意一种情况下，用户下次尝试进入该站点时，他会收到带有覆盖选项的错误页面。

限制

用户覆盖功能存在以下限制：

l 协议必须是 HTTP，HTTPS 在SP1中并不支持。这是因为许多浏览器带有这样一个安全功能：在SSL信道建立之前阻止浏览器显示任何页面 (比如“用户覆盖“ HTML 页面)。这意味着管理员需要创建两条“拒绝”规则 —— 一条是启用“用户覆盖“选项的 HTTP 规则，另一条是带有严格拒绝的 HTTPS。