ISA verständnissfrage

[DooMRunneR]

Hallo hab eine kleine verständnissfrage bezüglich des ISA Server.

ich habe eine firewallrichtliene erstellt die wie folgt aussieht:

allow - http - any -any - all user

darunter eine zweite:

deny - http - any - Google - all user

trotzdem kommt jeder user auf google.com, wird eine deny rule beim ISA nicht höher priorisiert als eine allow rule wie bei jeder anderen fw?

mfg

doom

[Cybquest]

Die Reihenfolge ist da wichtig! Die google-Regel einfach über die andere schieben und gut.

[DooMRunneR]

Ja, wenn ich die deny Regel als erstes hab geht google nicht mehr, jedoch geht dann jeder Windows Media Stream ebenfalls nicht mehr, dann bekomm ich immer eine User und Passwortabfrage vom ISA Webproxy.

Mein Hauptproblem ist eigentlich folgendes:

Ich habe einen ISA 2006 als Webproxy, alle Benutzer surfen über diesen und werden per Integrierter Authentifizierung gegens AD authentifiziert. Eine bestimmte Benutzergruppe sollte nun keinen Zugriff auf Webmailanbieter bekommen. Also erstellte ich folgende Regel:


deny - http - intern - webmailurls - webmaildenyuser

Danach folgt eine Regel für alle benutzer damit sie allgemein Surfen könenn.

allow - anyprotocol - intern - extern - allusers

Wenn jetzt ein Benutzer aus der Allusers Gruppe, dem die deny Regel des Webmails eigendlich egal sein sollte, einen windows media stream öffnen will, kommt ein Authentifizierungsfenster.

[Cybquest]

Ist im IE unter Verbindungen der ISA als Proxy eingetragen?
Oder geht das über Standardgatway (SecureNAT)?

[DooMRunneR]

der ISA ist als Proxy eingetragen, der WMP übernimmt ebenfalls für http-Streams die Proxykonfiguration des ISA.

[djmaker]

Du kannst bei jeder Regel im Fenster der erlaubten User untendruunter Ausnahmen eintragen. Getestet habe ich das noch nicht, weiß aber das es das gibt.

[chappy]

Wenn ein ISA im Einsatz ist, muss man den dann bei den Clients als Proxy eintragen? Dachte er wird einfach als Gateway eingetragen? Interessiert mich mal habe mit dem ISA noch keine Erfahrung will aber bissel damit in ner VMWare rumspielen...

[Cybquest]

@Doomrunner: Der IE versucht ja erst mal anonyme Verbindungen, wenn das nicht klappt erst authentifizierte. Wir möglicherweise ein Problem vom Mediaplayer sein, dass der das so nicht macht. Hab hier grad nix um das zu testen.

@chappy: Mit Standardgateway bekommt man nur sog. SecureNAT Verbindungen und kann dann keine Userbasierten Filter verwenden, da keine Authentifizierung erfolgt!
Dazu brauchts den Webproxy oder einen Firewallclient.