模板
教程
环境
性能
功能
管理
ISA Server 2000 问与答
答:我觉得您可做如下工作: 问:现在很多FTP Server为了躲避端口扫描,大多使用非标准21端口,为了在内网上连接这些FTP服务器,难道要我一个端口一个端口地打开吗?有其他办法吗? 答:原因是这样的, 因为非标准的FTP协议需要在ISA中自己定义一个protocol element,所以在不能确定的情下,Firewall Client能够通过Control Channel传送客户机和ISA之间的数据。另外FTP需要有Application Filter的支持,自己写一个Filter也是可以达到这样效果的。 问:公司新装ISA Server 2000,外地的公司内部网电脑无法通过路由器ping到本地的ISA服务器!本地可以ping到外地公司内部网络,这到底是什么原因? 答:很简单,ISA默认不响应ICMP请求,您在Protocal里面可以设置的。 问:请问怎么样通过设置ISA来禁止内部人员下载? 答:可以根据要下载东西的content-type来限制下载,ISA默认的content group非常多,常用的和不常用的几乎都有,平时下载流量最大的不外乎是一些媒体文件或是以“exe”、“zip”、“rar”为后缀的文件,默认的content-type非常多,没有的可以手动添加,比如 “.rm”,它的content-type是“application/octet-stream”。经过试验发现大多数新添加的扩展名的类型都是它,要注意的是以前我用Wingate时只需要添加要限制的扩展名就行了,但ISA的限制功能更加精细,仅仅添加“.*”扩展名而不添加content-type是不起作用的。另外,同样的扩展名可能有多个不同的content-type,比如:“.zip”做了限制后有时还能下载,ISA默认的只有“application/x-zip-compressed”,我们需要根据情况手动添加新的content-type,目前我知道的还有“application/zip”。“.rar”的是“application/x-rar-compressed”,其他的可以自行查找。 问:我已经将ISA Server和IIS安装在同一台服务器中了,但是我即使将IIS服务停止也无法使用Web Publish发布内部站点,请问一定要先卸载掉IIS吗? 答:对于IIS与ISA在同一台计算机的情况下,您需要注意以下问题: 问:在我的局域网中,ISA Server已经加入域了,而且域用户都可以在这台服务器上登录到域。但是客户端仍然只能用ISA Server上的本地用户身份才能上外网,用域用户身份不能上外网? 答:如果是这样,我认为还是您设置的规则有问题,如果您有多条规则,仔细确认一下规则之间是否产生了矛盾。 问:在ISA Server上安装Firewall Client安全吗? 答:绝对不要在ISA服务器上安装客户端程序。 问:怎么样才能让客户端可以上网,但不能收发邮件,包括不能收发Web方式的邮件? 答:通过限制Web页面发邮件,是不可行的;但不通过Web 的限制,那是可以实现的。 问:在ISA Server 2000上怎么做到限制客户端上一些特定的网站啊? 问:能不能实现这样的一个功能:整个内网通过一个网关上网,然后我在内网中有一台服务器,使用ISA让外网的用户访问到我内网中这台服务器上的服务? 答:如果想让外部用户访问到您的内部服务器,最好是有固定IP地址如果没有,您可以创建VPN环境,外部用户可以通过VPN来访问您的内部网络。 问:装了ISA后,打开Web端口,客户可以上网,ISA主机不能上网,错误提示是解析的问题,主机用ADSL+双网卡,主机有DNS转向到202.96.209.5。客户DNS制定为ISA主机。 答:对于拨号上网的ISA计算机,必须独立配置包过滤以后才可以使用。您需要添加两条规则: 问:我在ISA里Protocal和Filter中都打开了smtp、pop的端口,为什么客户端还是没法收发邮件啊? 答:除了这两个外,您还需要用户有DNS Query权限,否则smtp地址无法被解析,用户还是收不了邮件的。 问:在ISA的网络中,我想禁止MS Messenger的使用,有办法吗?它使用哪个端口?是不是禁用端口就可以了? 答:在“Protocols Rules”中,添加规则时,选择“All Traffic Except Specified”,然后停用1863端口后试试。
ISA Server 2000 问与答
问:我的装有ISA的机器上有两块网卡,Oracle数据库服务器在外面,IIS的服务器在内部。客户端都是用防火墙客户端。
配置完协议规则后,从内部用Oracle的工具和Borland BDE连接Oracle服务器都没有问题,但是,通过IIS使用ASP来连接Oracle数据库就有问题,返回错误。将协议规则设为全部“All IP Traffic”也是同样现象,我应如何处理?
1.确定没有在Oracle服务器上安装ISA的客户端程序;
2.将ISA内部网卡IP作为Oracle服务器的网关使用;
3.将Oracle服务器作为一个Server publishing发布出去,否则访问肯定有问题。
ISA没有内置对Oracle 数据库的发布功能,但有SQL Server的发布功能。
1.确保IIS与ISA没有使用相同的端口;
2.使用包过滤来发布ISA计算机上的IIS站点。
如果只是限制在客户端软件(例如Outlook Express)收发邮件,只需要限制smtp、pop3协议即可。
答:首先要创建“Destination Set”,然后在规则中使用它建立目的站点的集合,再订立站点及内容规则,选取Deny规则,将建立的目的站点集合选择进来,即可限制了。
对于出站访问,不论是拨号还是专线都是可以的。
为什么会出现不能解析的情况?
1、HTTP 80,tcp 方面:outbound,local port:any,remote port:fix:80;
2、DNS 53,udp,direction:send and receive,loca/remote:fixed 53。
然后重新启动ISA服务就可以了。
