模板
教程
环境
性能
功能
管理
ISA 2000 学习笔记(9)
问题: 如何我配置DHCP以实现ISA 服务器的自动检测功能? 问题: 我如何才能在我的已发布的网络站点中提供验证功能? 问题: Netscape 用户仅仅通过使用“基本的”验证功能得到身份的鉴别。我如何改善身份的鉴别功能? 问题:我有一个多地址的系统。一个外部的IP和两个从子网得到的、用于内部的IP。我已经把这三个地址全部分配到我的外部接口中。当我支持包过滤功能时,前面提到的内部路由子网的两个IP从Inte.net是不可访问的。当包过滤器被禁止使用时,就可以了。我把这两个IP用在我的DNS服务器上。有办法解决这个问题吗? 问题:我能只配置防火墙的功能吗? 问题:ISA 服务器支持状态检测吗? 问题:你如何禁止客户进行SecureNAT存取? 问题:可以对网络内部的客户端进行ping的操作吗? 问题:如果我要使http请求只能去访问某些机器,我该如何设置包过滤功能? 问题:我应当在什么时候到控制面板中去更新防火墙的客户端?我得到的错误信息是:服务器对更新请求没有回应。 问题:有方法可以使用 ISA 服务器和一个 Novell 服务器相连结,以实现接入到Internet吗? 问题:使用防火墙客户端程序而不使用SecureNAT 的好处是什么? 问题:使用 SNAT 时,我总是收到“登录失败”的信息。为什么是这样,而我又如何解决这个问题呢? 问题:无论我怎么做,使用通过Outlook Express 的NNTP 就是不工作!我确信在安装ISA的时候已经定义了协议, 但为什么它就是不工作? 问题:是否可以配置防火墙的服务功能,以实现允许所有的内部地址可以进行任意连接?( 比如说,没有限制)现在看起来我只能是允许对在协议定义容器中被定义的记录执行存取操作。 问题:我在Win2K的客户机上安装防火墙以试用一下。我并未决定我现在就使用它,但在我卸载、重新启动了之后,ISA服务器仍然拒绝我的访问。我尝试再一次安装、卸载,但它仍然是没有任何的起色。有人知道该如何解决吗?
ISA 2000 学习笔记
问题: 我如何在没有安装防火墙客户端程序的情况下,在日志文件中支持用户名而不是“匿名”?
为了在“会话(session)”中支持用户名,在希望的阵列上选择“属性”, 然后选择“出站网络请求”。在“连接”下,选择“要求验证匿名用户身份”的复选框。当提示的时候重新启动服务,然后用户列表就出现在他们的域中了。此处不需要防火墙客户端程序和Netbios协议。
点击“开始”,指向“程序”,再指向“管理工具”,然后再点击“DHCP”。
在控制树中,右击“可应用的DHCP服务器”,点击“设置预定义选项”,然后点击“新增”,再点击“增加”,在“名称”中,输入“WPAD”。在“代码”中,输入“252”。
在“数据类型”中,选择“字符串”,然后再点击“OK”。在“字符串”中,输 http://Computer_Name:AutoDiscoveryPortNumber/Wpad.dat 。
计算机名是经过完全验证的ISA 服务器域名或者阵列,而自动检测端口号是用来发布自动检测信息的端口号。这个端口要么是出站网络请求的端口号,要么是另外的用以发布自动检测的端口。
右击“服务器选项”,然后点击“配置选项”。确认选中了选项252的复选框。
对于IIS WWW服务本身,ISA服务器仅支持基本的访问和匿名的访问。如果你 想要支持其它的验证模式,你需要在ISA服务器监听选项中进行配置。可从以下网址得到更多的有关验证的信息: http://www.microsoft.com/TechNet/isa/isadocs/CMT_CMTAuth.htm ;
选中你的服务器,右击,选择“属性”->“出站网络请求”->选择你的监听器 ->“编辑”-> 选中“基本验证”。
你已经支持路由了吗?你需要为每个IP地址创建包过滤器。
是的, 你可以把防火墙配置成向下锁定的安全解决方案。作为安装过程的一部分,你可以选择ISA 服务器模式:防火墙,缓存,或者集成方式。在防火墙模式,你可以通过使用配置控制你单位的网络和Internet通讯的规则来保证网络通讯。你可以也发布内部服务器,安全的与Internet用户共享你内部服务器上的数据。
对于缓存模式,你可以通过使用保存常被用户访问的对象来改进网络性能并节省带宽。你可以也发布内部的Web服务器。集成模式结合了两者的特点,即防火墙和缓存,既保证了安全又增强了性能。在所有模式下, 你都可以从ISA 服务器企业策略管理、实时监控和报警的特点中获益。
是的。为保证全面的安全,ISA 服务器支持三层过滤: 数据包层过滤, 链路层过滤和应用程序层过滤。链路层过滤通常指的就是“状态检测”,即当包到达防火墙的时候,检测包、监视状态信息、允许或者不允许通过基于访问策略的防火墙的过程。 ISA 服务器增加了基于特定的应用程序命令的“智能型”检测的应用程序过滤器,以在更高的通讯层提供过滤功能。这允许特定的SMTP 命令和过滤基于请求界面的RPC 访问实现模块化。
生成一个包含那台机器IP地址的客户端设置,然后再使用一个拒绝基于客户端设置访问的规则。
外部是不可能ping内部的客户端的。只有内部的S-NAT 客户端可以ping 外部的ISA。
新建一个 Web 发布规则就可以了。
重新输入其名称。 IP (内部的ISA 接口的)服务器名字(netbios,非FQDN, 像:“server1”而不是“server1.domain.com”)
例如: 172.16.1.45 NTSERVER1 – 奏效了吗?可能也会有人建议使用LMHOSTS文件来代替。
重新安装客户端或者检查端口设置。注意确保不妨碍其它的服务。
如果有IP地址,那么你可以使用Secure NAT 来接入Internet。
使用Secure Nat,你仅仅可以通过使用 IP (特定于使用IE的机器)来进行管理。比如: ISA 服务器不能区分用户是否已登录到系统。使用防火墙客户端程序,通过使用他们的用户登录名称和他们归属的组名,你就可以控制用户了。这样把IP转换成用户登录名称和他们归属的组名就可以实现更好的控制了,而不管用户是从哪台PC登录的。
定义一个新的协议:
TCPIP Outgoing Port 7175
Secondary Connections:
51200-51201 UDP Incoming
51200-51201 UDP Outgoing
51210 TCP Incoming
51210 TCP Outgoing
卸载FW 客户端,然后再重新安装FW客户端。
如果邮件也提示你相同的问题,然后重新安装FW客户端就应该可以了。
只有Secure NAT 客户端才有这种限制。防火墙客户端程序可以访问任何信息。如果你没有实现本功能,你需要重新安装FW客户端。
你需要到你的浏览器设置中找出有关ISA 服务器的参数。参考:局域网设置->代理服务器。或者,更好的情况下,恢复安装防火墙客户端程序之前浏览器的配置。
