模板
教程
环境
性能
功能
管理
ISA教程 附录A 各章的问题和答案(2)
ISA教程 附录A 各章的问题和答案
第3章的问题和答案
复习问题
1. 假设您为一家公司的两个分部办公室配置ISA Server安装,为其提供防火墙和网络缓存服务。您需要评估条件并推荐怎样配置客户机。这两个分部各有20个成员。此外,还有10个现场工人也到这两个办公室来,他们会把便携式电脑插入到任一一间办公室的任何可用的以太网接口上。办公室的台式机的位置几乎是固定的,同时也不必考虑为任何用户账号设置特定的访问规则。要获得最高安装和维护效率,推荐把哪一台计算机(如果有的话)配置为安全网络地址转换客户端?哪一台(如果有的话)作为防火墙客户端?
既然台式机不能随便移动,也不必考虑为任何用户账号设置特定的访问规则,它们应该配置为安全网络地址转换客户端以简化安装和维护(简化到最小限度)。另一方面,便携式电脑应该配置成防火墙客户端,因为它们可以使用自动发现特性,而自动发现特性只和防火墙客户端一起工作。
2. 防火墙客户端上的Mspclnt.ini文件和 Wspcfg.ini 文件之间的区别是什么?
两个文件都为Winsock客户应用了配置设置。但是,在处理Winsock请求中,防火墙软件给了Wspcfg.ini文件先于Mspclnt.ini文件的优先权。Wspcfg.ini 文件可以在Winsock应用程序的指定目录中找到,因此,它为给定的用户应用特定的设置。如果找不到该文件,或者文件中没有设置,防火墙客户端应用程序将寻找Mspclnt.ini文件中的设置。Mspclnt.ini文件位于防火墙客户端安装文件夹。它应用的是一般的Winsock设置,不是面向特殊应用的设置。
3. 配置了自动发现特性后,它采取什么样的步骤来满足客户请求?
首先,客户连接到域名系统(DNS)或者动态主机配置协议(DHCP)服务器上。DNS服务器或者DHCP服务器应该有一个WPAD项。该项指向指明ISA Server计算机的WPAD服务器。接着,DNS服务器或者DHCP服务器的WSPAD项识别客户请求后,ISA Server计算机满足这些 请求。
4. 在ISA Server中配置拨号项,允许在Web代理客户端中共享一个安全的Inte.net拨号连接吗?
不允许。ISA Server中没有配置拨号上网项,Web代理客户端就可以共享一个安全的拨号连接。配置拨号上网项允许安全网络地址转换客户端共享安全拨号连接。
5. 由于近来已从专线连接上网改为拨号连接上网,您禁用了外部网络适配器并为现在的拨号连接配置了拨号上网项。然而,ISA Server通过该拨号连接拨号到ISP时,所有的客户无法连接到Internet。要解决这个问题,应当采取的第一个措施是什么?
无论何时启动或者禁用网络适配器,在重新建立和ISA Server客户的连接之前,需要重新启动防火墙和Web代理服务。
第4章的问题和答案
复习问题
1. 下列的哪个条件下,John能通过ISA Server访问 Internet?假定有默认的允许站点和内容规则,并且没有配置其他的规则或筛选器。
a. 配置一个协议规则允许任何请求访问所有IP通信。然后配置第二个协议规则拒绝用户John访问所有IP通信。不要修改传出Web请求的默认阵列属性。John能够通过安全网络地址转换客户端上的Web浏览器来访问Internet吗?
John可以通过Web浏览器访问Internet。因为传出Web请求的默认阵列属性没有修改成要求用户身份,并且没有配置需要用户身份验证的允许类型规则,John的Web会话仍可以是匿名的,拒绝规则不会影响他。
b. 配置一个协议规则允许所有域用户访问所有IP通信。John是域客人组的成员(不是域用户),并且传出Web请求的默认阵列属性没有改变。John能够通过安全网络地址转换客户端上的Web浏览器来访问Internet吗?
John不能通过Web浏览器访问Internet。因为为域用户配置了允许类型的协议规则,该规则要求所有的Web代理客户进行身份验证。一旦进行验证后,John将不能访问Web,因为他不是域用户组成员。
c. 配置一个协议规则允许任何请求访问所有的IP通信。然后配置第二个协议规则拒绝域用户访问所有IP通信。John(仅)是域用户组成员。传出Web请求的默认阵列属性没有改成要求未验证身份的用户的提供身份证明。John能通过防火墙客户上的Web浏览器访问Internet吗?
因为匿名访问已经失效,所以John不能访问Internet。他的会话需要Web代理服务的证明,既然他是域客人组的成员,他的请求会被拒绝。
d. 配置一个协议规则允许所有的域用户组成员访问所有的IP通信。John是域用户组的成员。他可以从没有配置防火墙客户端的计算机上的命令提示符中建立通过Internet的FTP连接吗?
因为John的计算机没有配置成防火墙客户端,所以他不能通过FTP客户端访问Internet。对于非Web请求,只有防火墙客户端能给ISA Server发送账户信息。既然John一直没有经过身份验证,他的请求会被拒绝。
2. 如果检测到来自某些网络ID的IP半扫描攻击,应该采取什么保护措施?
可以创建站点和内容规则或者IP筛选器以阻塞那些网络ID的IP地址范围的通信。
3. 在哪三个条件下,需要创建IP数据数据包筛选器而不是协议规则或者站点和内容规则以允许Internet连接?
当发布的服务器位于边界网络或者DMZ中时,当在ISA Server上运行的程序或者其他的服务需要侦听Internet时,当要允许访问基于用户数据包协议(UDP)或者传输控制协议(TCP)的协议时,需要创建IP数据数据包筛选器。
4. 已经配置了站点和内容规则拒绝访问两个目的:ftp://movies.acme.com/clips and ftp://radio.能acme.com。假定用户有权从FTP站点上下载文件,用户可以通过ftp://movies.acme.com上的FTP客户下载内容吗?他们能够在ftp://radio.acme. com/songs上下载内容吗?
因为规则只是拒绝访问子文件夹,所以他们能够访问ftp://movies.acme.com。但是他们不能访问ftp://radio.acme.com/songs,因为该子文件夹由拒绝访问//radio.acme.com的规则隐含地否 定了。
5. 如果想阻止一个Windows 2000用户组在工作日的上午10点和下午4点之间下载所有的音频内容,需要创建多少个策略单元?
需要创建一个策略单元、一个时间表(上午10点和下午4点之间)。音频内容是预配置的内容组策略单元,并且Windows 2000用户和组没有配置在ISA Server上。一旦创建了该时间表,可以创建一个站点和内容规则,拒绝该组在时间表规定的时间内访问此音频内容。
