規劃拒絕規則使用者覆寫 (SP1)

發佈時間: 2010年6月

適用於: Forefront Threat Management Gateway (TMG)

Important重要事項:
本主題的資訊與 Forefront TMG SP1 有關。

您可以設定 Forefront TMG 來允許使用者覆寫存取限制,並根據要求繼續前進到封鎖的網站。這樣會提供更有彈性的網站存取原則,讓使用者可以自行決定是否要存取遭到拒絕的網站。對於分類錯誤的網站而言,這一點特別有用。

本主題說明:

使用者覆寫的運作方式

使用者覆寫的運作方式如下:

  1. 使用者嘗試存取的網站分類在遭到原則封鎖的 URL 類別或 URL 類別集合中,而且 Forefront TMG 會呈現 HTML 拒絕存取通知頁面。

  2. 如果此規則設定為允許使用者覆寫,此 HTML 頁面會包含一個名為 [覆寫存取限制] 的按鈕。

  3. 當使用者按一下 [覆寫存取限制] 按鈕時,Proxy 伺服器會配置一個 Cookie 給使用者的瀏覽器 (此 Cookie 伴隨著這個網域的所有後續網頁要求),而且會觸發瀏覽器重新載入 URL。

  4. Proxy 伺服器會接收包含此 Cookie 的網頁要求,並只針對這個網頁要求有效停用封鎖規則。

    note附註:
    • 此 Cookie 在瀏覽器工作階段期間或是設定的逾時期間內會持續有效。

    • 如果在相同的瀏覽器工作階段對另一個網域或 URL 類別發出了另一個網頁要求,使用者需要再次覆寫此存取限制 (如果允許的話)。

  5. 允許存取之前封鎖之目的地的規則會接受此網頁要求。

  6. 之前封鎖的網頁會在使用者的瀏覽器中開啟,使用者可以在工作階段期間或是設定的逾時期間內繼續存取網站。

  7. 如果這個規則已啟用記錄,便會記錄使用者的要求及網站的後續存取。

實作使用者覆寫

實作使用者覆寫需要兩個步驟:

  1. 根據 URL 類別或 URL 類別集合建立封鎖網站存取的規則。

  2. 在規則的 [動作] 索引標籤上啟用 [允許使用者覆寫]

note附註:
若要讓使用者覆寫得以運作,其中一個後續的防火牆原則規則必須允許存取要求的目的地。

如需組態詳細資料,請參閱設定網頁存取規則內容中的如何啟用拒絕規則的使用者覆寫

note附註:
若要啟用存取規則的使用者覆寫,必須符合以下條件:

  • 目的地 (及任何目的地排除項目) 只能包含 URL 類別和 URL 類別集合。嘗試新增另一種網路實體 (例如 IP 位址) 會產生錯誤。

  • 通訊協定只能是 HTTP。

  • HTTPS 流量不支援使用者覆寫。必要時,請建立個別的規則來拒絕通往這些 URL 類別的 HTTPS 流量。

  • 此規則必須套用到所有類型的 HTTP 內容。請確定已經在 [內容類型] 索引標籤上設定此規則套用至 [所有的內容類型]

使用者覆寫記錄檔記錄

覆寫存取限制的要求會記錄在網頁 Proxy 記錄檔中,好讓您識別:

  1. 要求存取的人 (來源 IP 位址或經過驗證的使用者) 和時間。

  2. 要求的網站和網站的 URL 類別。

  3. 封鎖的規則及之後允許要求的規則。

檢閱記錄檔可讓您了解使用者覆寫是否正常運作,並在發生問題時進行疑難排解。

下表提供正確運作的使用者覆寫規則範例。

 

動作 用戶端 IP 用戶端使用者名稱 規則 覆寫的規則 URL URL 類別

拒絕連線

10.10.10.1

匿名

(已啟用使用者覆寫的 URL 類別封鎖規則)

http://www. contoso.com

惡意

允許的連線

10.10.10.1

匿名

(允許之前封鎖之 URL 類別的規則)

(已啟用使用者覆寫的 URL 類別封鎖規則)

http://www. contoso.com

惡意

note附註:
  • 封鎖初始存取要求的規則會在允許連線的規則中以「覆寫的規則」形式出現。

  • 這個表格會顯示使用者覆寫功能的相關欄位,記錄檢視器中有提供許多其他的欄位。

已知問題

萬一使用者報告 HTML 頁面有空白框架或是包含錯誤訊息的框架,請搜尋網頁 Proxy 記錄檔,找出特定框架的要求。如果您發現拒絕這些連線的規則已啟用使用者覆寫,問題最有可能與框架中內容的 URL 分類有關。如果此分類不正確,您可以覆寫它。如需相關指示,請參閱覆寫 URL 分類。您也可以報告 Microsoft Reputation Service 的 URL。如需詳細資訊,請參閱 Microsoft Reputation Services 意見回應及錯誤報告 (http://go.microsoft.com/fwlink/?LinkId=178581)。

相關主題

顯示: