ISA Server a des fonctions de filtrage Web autres que le blocage d’une liste de sites. Pour tester ces intéressantes fonctions, suivez la même procédure qu’à l’étape 3 dans l’article principal (Bloquer les sites Web dans ISA Server) pour créer une autre règle de blocage. Mais, cette fois, nommez-la File_Blocker et établissez la destination vers le réseau externe au lieu de Bad-Sites. Déplacez la règle File_Blocker pour la placer juste au-dessus de la règle Site_Blocker dans la Firewall Policy. Faites un clic droit sur votre règle File_ Blocker, sélectionnez Properties, puis allez à l’onglet Content Types. Par défaut, la règle s’applique à tous les types de contenu ; donc, la règle empêche désormais tous les téléchargements de fichiers en provenance du Web. Nous ne souhaitons pas cela. Choisissez donc l’option Selected content types et ne cochez que les cases Audio et Video, comme dans la figure A. Désormais, ISA Server empêchera vos utilisateurs de télécharger des fichiers audio ou vidéo à partir du Web via HTTP: une belle économie de bande passante.

ISA Server détermine le type d’un fichier d’après son extension (par exemple, mp3) et la description MIME (par exemple, audio/mpeg). Vous pouvez mettre en évidence un type de fichier sur l’onglet dans la figure A et cliquer sur Details pour voir la liste des extensions de noms de fichiers des descripteurs MIME qui constituent ce type de contenu. Vous pouvez aussi créer votre propre type de contenu en cliquant sur New.

À noter toutefois que spécifier les types de fichiers sur l’onglet Content Types d’une règle fait que cette règle ne s’applique qu’au trafic HTTP. Et cela, même si l’onglet Protocols indique qu’elle s’applique à tout le trafic. Si vous voulez bloquer les protocoles autres que HTTP, vous devrez créer des règles supplémentaires, mais même dans ce cas, vous ne pourrez pas bloquer les téléchargements de fichiers par extension de nom de fichier ou par type MIME pour ces protocoles non-HTTP.

En effet, cette fonction ne vaut que pour HTTP. De plus, à moins d’acheter une extension tierce telle que ClearTunnel de Collective Software, vous ne pourrez pas limiter le trafic HTTP Secure (HTTPS) parce que le canal est crypté. Ensuite, allez à l’onglet Action, illustré figure B. Là, vous pouvez entrer l’URL pour un serveur Web interne qui héberge une page Denied Access personnalisée qui contient votre stratégie d’utilisation acceptable officielle.

Si vous n’entrez pas une URL, les requêtes HTTP refusées obtiendront une page d’erreur d’aspect générique. Vous pourriez configurer les règles de File_Blocker et de Site_Blocker pour qu’elles montrent votre page personnalisée quand l’accès est refusé. Enfin, pour pousser encore plus loin le filtrage HTTP, ouvrez la boîte de dialogue Properties de la règle qui permet l’accès Internet (pas les règles de blocage), allez à l’onglet Protocols, cliquez sur Filtering, et sélectionnez Configure HTTP. Vous verrez un ensemble d’onglets pour procéder au filtrage de la couche applicative de HTTP.

Je ne peux pas évoquer ici toutes les options de filtrage HTTP disponibles, mais pour avoir une idée de ce qui est possible, allez à l’onglet Extension, sélectionnez Block specified extensions, et ajoutez .wmf à la liste. C’est une façon de faire équivalente à utiliser l’onglet Content Types pour bloquer les types de fichiers indésirables. Dans ce cas, vous bloquez le type de fichier d’image associé à la néfaste vulnérabilité du moteur de rendu graphique publiée en janvier 2006 (Microsoft Security Bulletin 2006 MS06-001 – Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution). Cliquez sur OK et sur Apply pour sauvegarder vos changements.