設定網頁存取規則內容

發佈時間: 2009年11月

更新日期: 2010年6月

適用於: Forefront Threat Management Gateway (TMG)

使用「網頁存取原則精靈」或「新增存取規則精靈」建立網頁存取規則後,您可以編輯其內容,以其他詳細資料來設定規則。您可以設定許多網頁存取規則內容。下列程序會說明如何修改這些內容。

  1. 在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. 在詳細資料窗格中,以滑鼠右鍵按一下您要修改的規則,再按一下 [內容]

  3. 根據下表所述的工作,視需要修改存取規則的內容。

 

工作與說明 步驟

啟用或停用規則

如果規則停用,規則引擎不會評估該規則。

按一下 [一般] 索引標籤,然後選取或清除 [啟用] 核取方塊。

修改規則動作

設定符合規則中指定的所有條件時,將要採取的動作。

按一下 [動作] 索引標籤,然後選取 [允許] 允許流量符合規則,或是選取 [拒絕] 拒絕流量符合規則。

啟用拒絕規則的使用者覆寫 (僅限 SP1)

如果要讓使用者自行決定是否要存取之前拒絕他們存取的網站,則啟用使用者覆寫。

當啟用及正確設定使用者覆寫時,「拒絕存取」的 HTML 網頁會提供選項來繼續前往受到限制的網站。

按一下拒絕存取規則的 [動作] 索引標籤,然後選取 [允許使用者覆寫]

Important重要事項:
  • 只有擁有 URL 類別或是 URL 類別設定為其目的地的拒絕規則才能使用使用者覆寫。

  • 當使用者按一下 [覆寫存取限制] 時,就不會考量此規則,但是會根據防火牆原則規則基底來評估這個特定的存取要求。因此,若要讓使用者覆寫得以運作,其中一個後續的防火牆原則規則必須允許存取要求的目的地。

如果您想要限制工作階段的長度,請選取 [覆寫有效期間 (分鐘)]。預設期間為 30 分鐘,您可以根據原則的需要來調整這個時間。

如需相關資訊,請參閱規劃拒絕規則使用者覆寫 (SP1)

修改拒絕通知

當網頁存取原則規則拒絕對於特定網站或網站組的存取時,您可以建立一個自訂訊息,通知用戶端已拒絕存取這些網站。您可以針對網頁存取原則中的每個規則,建立一個不同的拒絕存取訊息。

或者,您可以將網頁用戶端導向網頁伺服器上主控的自訂網頁。

按一下拒絕存取規則的 [動作] 索引標籤,再按一下 [進階],然後執行下列其中一個動作:

  • 若要修改預設的拒絕訊息,請確認已選取 [向使用者顯示拒絕通知]。在方塊的 [在通知中加入自訂文字或 HTML (選擇性)] 底下,輸入您要向嘗試存取已封鎖之網站的使用者顯示的訊息。

    note附註:
    • 您可以使用 HTML 標籤,例如:

      <a href="mailto:admin@contoso.com?subject=Access to web site denied">Contact the system administrator</a>.

    • 如果規則封鎖 URL 類別的存取,您可以向使用者公開已封鎖之網站的 URL 類別,方法是選取 [將拒絕的要求類別新增至通知。只有在啟用 URL 篩選時,才能使用此選項]

  • 若要將網頁用戶端導向網頁伺服器上主控的自訂網頁,請選取 [將網頁用戶端重新導向至下列 URL],然後使用下列格式輸入完整的 URL:http://URL。

    note附註:
    在 Forefront TMG 2010 Service Pack 1 中,您可以在自訂網頁上使用下列 Token:

    • [DESTINATIONURL]:顯示拒絕的 URL。

    • [URLCATEGORYNAME]:使用 Forefront TMG 安裝語言顯示拒絕的 URL 類別。

    • [URLCATEGORYID]:如果您想要使用使用者瀏覽器的預設語言設定來顯示 URL 類別,則必須顯示一個數字來表示拒絕的 URL 類別識別碼。

    • [OVERRIDEGUID]:如果您想要建立與預設通知頁面上的按鈕類似的使用者覆寫按鈕,則必須顯示陣列 GUID。

    例如:http://192.168.1.3/Default.aspx?OrigUrl=[DESTINATIONURL]&Category=[URLCATEGORYNAME]&CategoryId=[URLCATEGORYID].

啟用或停用規則的記錄

啟用記錄時,此規則所允許或拒絕的用戶端要求會儲存在適用的記錄檔中。

按一下 [動作] 索引標籤,然後選取或清除 [記錄符合這個規則的要求] 核取方塊。

修改規則的通訊協定

存取規則會使用此處所選取的通訊協定,套用到 IP 流量。想要允許網頁流量的規則將會允許 HTTP,而且根據您的需求而定,也可能允許 HTTPS 和 FTP。

  1. 按一下 [通訊協定] 索引標籤,然後在 [這個規則套用到] 中,選取下列其中一項:

    • 若要指定規則僅套用到網頁相關的通訊協定,選取 [選取的通訊協定],然後按一下 [新增]。在 [新增通訊協定] 對話方塊中,按一下以展開 [網頁],選取 [FTP][HTTP][HTTPS],並在每個之後按一下 [新增],然後按一下 [關閉]

      note附註:
      請勿選取結尾是 "Server" 的通訊協定。這些是用於網頁發行,不是用於連出存取。

    • 若要指定規則套用到所有通訊協定,請選取 [所有的輸出流量]

    • 若要指定這個規則套用到您選取之通訊協定之外的所有流量,選取 [除了選取以外的所有輸出流量],然後按一下 [新增]。在 [新增通訊協定] 對話方塊中,選取所需的通訊協定,按一下 [新增],然後按一下 [關閉]

      note附註:
      若需有關建立及編輯自訂通訊協定定義的相關資訊,請參閱Configuring protocols

  2. 若僅允許來自特定連接埠範圍的流量,按一下 [連接埠],然後選取 [限制存取來自這個範圍內來源連接埠的流量]。在 [從][到] 方塊中輸入允許的來源連接埠範圍。

  3. 若僅允許具備特定 HTTP 特性的流量,按一下 [篩選],然後選取 [設定 HTTP]。如需有關建立 HTTP 篩選器的相關資訊,請參閱設定 HTTP 篩選

修改規則來源

指定套用到此規則的來源網路、電腦、子網路、位址範圍與 URL 類別 (或每個項目的組合)。

按一下 [從] 索引標籤,然後執行下列其中一項:

  • 若要將流量來源新增至規則中,按一下 [這個規則套用到來自下列來源的流量] 清單上的 [新增]。在 [新增網路實體] 對話方塊中,選取您要套用此規則的流量來源,按一下 [新增],然後按一下 [關閉]

  • 若要指定規則的例外狀況,按一下 [例外狀況] 清單上的 [新增],然後指定不套用此規則的網路實體。

修改規則目的地

指定套用到此規則的目的地網路、電腦、子網路、位址範圍與 URL 類別 (或每個項目的組合)。

按一下 [到] 索引標籤,然後執行下列其中一項:

  • 若要將流量目的地新增至規則中,按一下 [這個規則套用到來自下列目的地的流量] 清單上的 [新增]。在 [新增網路實體] 對話方塊中,選取您要套用此規則的流量來源,按一下 [新增],然後按一下 [關閉]

  • 若要指定規則的例外狀況,按一下 [例外狀況] 清單上的 [新增],然後指定不套用此規則的網路實體。

修改規則的驗證需求

存取規則會套用到 [使用者] 索引標籤中列出的使用者組。

按一下 [使用者] 索引標籤,然後執行下列其中一項:

  • 若要指定規則為匿名,而且使用者對此規則不需要驗證,請確認使用者組清單上顯示 [所有使用者]

  • 若要將使用者組新增至規則,請按一下 [新增],然後在 [新增使用者] 對話方塊中選取以下使用者組:

    • 若要指定存取只能授與成功驗證的使用者,請選取 [所有已驗證的使用者]

    • 若要指定匿名存取,請選取 [所有使用者]

    • 如果已經建立自訂使用者群組,您也可以選取自訂使用者群組。如需詳細資訊,請參閱Configuring user sets

  • 若要指定規則的例外狀況,請在 [例外狀況] 清單上按一下 [新增],然後指定要從規則的使用者驗證需求中免除的使用者。

    note附註:
    • 設定需要驗證的規則時,將會根據規則之 [從] 索引標籤上為來源網路指定的網頁 Proxy 驗證方法,對使用者進行驗證。

    • 如果來源網路的網頁 Proxy 內容設定為需要驗證,則此設定的優先順序會高於特定規則的驗證設定。如需相關資訊,請參閱規劃網頁存取驗證

    • 如果在規則中需要驗證,沒有提供驗證認證的使用者將會拒絕存取,提供認證但無法通過驗證程序的使用者也是如此。

修改規則的排程

指定何時套用這個規則。

按一下 [排程] 索引標籤,然後在 [排程] 清單中選取下列其中一項:

  • 永遠:指定規則永遠適用。

  • 週末:指定規則只在星期六及星期日套用。

  • 工作時間:指定規則從星期一到星期五的早上九點到下午五點有效。

note附註:
  • 您可以編輯這些預設排程的日期和時間,或建立新的日期和時間。如需有關建立與編輯排程的詳細資訊,請參閱Configuring schedules

  • 當您修改規則以在特定時間才進行套用時 (藉由設定排程),修改後的規則只會套用在新的連線上。即使不在允許的時間內,現有連線的流量仍會繼續通過。

修改規則的內容類型

您可以使用這個項目,指定套用至規則的內容類型。

  1. 按一下 [內容類型] 索引標籤。

  2. 按一下 [選取的內容類型],然後從 [內容類型] 清單選取適當的內容類型組。

  3. 若要檢視包含在特定內容類型組中的 MIME 和檔案類型,請執行下列動作:

    1. 選取內容類型組,然後按一下 [詳細資料]

    2. 按一下 [應用程式內容] 視窗的 [內容類型] 索引標籤,然後檢視 [選取的類型] 清單。

    3. 若要將 MIME 或檔案類型新增至 [選取的類型] 清單中,請從 [可用的類型] 清單中選取它。

    4. 完成後,按一下 [確定]

  4. 若要定義新的內容類型,按一下 [新增],然後指定內容類型的設定。

    note附註:
    如需有關內容類型的詳細資訊,請參閱Configuring content types

修改規則的惡意程式碼檢查設定

指定是否要掃描從網頁伺服器下載的內容中是否有惡意程式碼,並修改規則專屬的惡意程式碼檢查選項。

  1. 按一下 [惡意程式碼檢查] 索引標籤。

  2. 若要針對此規則所允許的流量啟用惡意程式碼檢查,請選取 [檢查從網頁伺服器下載至用戶端的內容]

  3. 雖然建議您保留預設值,不過仍可以為此規則設定不同於全域設定的惡意程式碼檢查選項。若要執行此動作,按一下 [使用惡意程式碼檢查的規則特定設定]。然後按一下 [規則設定],微調惡意程式碼檢查封鎖閾值及此規則的其他選項。請注意下列事項:

    • 啟用 [嘗試清除受到感染的檔案] 時,會刪除無法清除的檔案。會發出 HTML 頁面,通知使用者該檔案已經封鎖。

    • [封鎖可疑的檔案] 設定是用來封鎖可能受到未知惡意程式碼感染的檔案。

    • 預設會關閉 [封鎖損毀的檔案] 設定。開啟這個設定可能會導致誤判,並且封鎖不是真正有害的檔案。

    • [封鎖封存深度層級超過以下限制的檔案] 設定是用來封鎖企圖以多層巢狀封存逃避偵測的惡意程式碼。

    • [封鎖解壓縮內容超過以下限制 (MB) 的封存檔案] 設定是用來避免將小封存檔案解壓縮成很大的大小。

note附註:
  • 只有當全域啟用惡意程式碼檢查時,才能在規則上設定。如需詳細資訊,請參閱啟用惡意程式碼檢查

  • 若要掃描 HTTPS 流量是否有惡意程式碼,必須先啟用 HTTPS 檢查。如需相關資訊,請參閱設定 HTTPS 檢查

 
顯示: