ISA 2000 学习笔记（2）

　　 
　　ISA 2000 学习笔记
    四：设置Aclearcase/" target="_blank" >ccess Policies

对于用户访问是否允许，ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察，首先考察是否有PROTOCOL RULES拒绝访问，如果没有，再考察是否有明确的允许，如果有，则通过，其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的：

1. 对于一个指定的PROTOCOL，如果以一个SNAT访问，如果没有明确的拒绝（这里的拒绝指得是IP地址的拒绝），则ISA会查找是否有明确的许可，如果许可都是针对用户的，则SNAT客户会被拒绝（因为SNAT是匿名的）。如果许可是针对IP的，如果客户端在这一IP地址范围内，则PROTOCOL这一层过滤通过。
2. 对以WEB PROXY CLIENT用户（在浏览器中填写ISA作为代理服务器），缺省情况下它是允许匿名的，他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况，我们可以在ISA的设置中要求出站WEB需要认证，或者在PROTOCOL中加一条允许协议，因为WEB允许匿名，所以一条DENY并不能阻止他的访问，加上允许，ISA就会对他进行匹配，他就会因为不匹配而遭到拒绝。
3. 对于FIREWALL/WEB CLIENT均是通过用户来进行管理的，只有NAT是通过IP来进行管理，在ISA上观察，FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION，但是FIRWALL CLIENT有用户名和机器名，SNAT这两项为空，他只有客户端的IP地址。

一般来说，你如果想访问外部网站，必须要有两个条件，一个是PROTOCOL RULE许可，另外一个是SITE AND CONTENT许可，在缺省条件下，ISA会自动建立一个SITE AND CONTENT许可供你使用，在PROTOCOL RULE集中，没有先后次序的概念，但是DENY比PERMIT的权力要高
在ISA的控制元素中包括：计划schedules, 带宽优先级bandwidth priorities, 目标集destination sets, 客户集client address sets, 协议定义protocol definitions, 内容组content groups, and 拨号dial-up entries。你可以将它们组合各种规则（access policy rules, routing rules, publishing rules, 和bandwidth rules）
对于包含路径的目标地址，ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器，必须使用IP FILTER，它本身还可以用来阻止外界的某些IP攻击

五：设置ISA Server Cache
CACHE可以加快用户的INTERNET访问速度，你可以使用routing rules来指定何者需要CACHE，何者从INTERNET上直接访问，何者则把请求发给上一级ISA。对ISA本身的CACHE，你可以控制它的大小（必须安装在NTFS上）；是否CACHE动态内容；是否CACHE HTTP和FTP内容；自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小，还可以调整分配给CACHE的内存大小以提高性能。

六：发布内部SERVER
如果想发布内部的SERVER，则使用PUBISHING RULES（这实际上也就是PROTOCOL RULES，只有在需要的时候才会开放），如果SERVER就在ISA上，则应使用IP PACKET FILTERS。在SERVER的发布上，最重要的是WEB SERVER和MAIL SERVER

七：ISA的安全性
控制ISA，你必须有相应权限（Enterprise Admins），如果为了提高性能，在企业中有多台ISA SERVER，则对于防火墙用户，你只要简单的设置DNS，使用round robin distribution即可，对于SNAT客户，则需要设置Network Load Balancing （这需要高级服务器版和数据中心版）。对于企业设置和阵列设置，你可以将设置备份到一个文件，并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN，并可以让移动用户通过VPN访问公司的信息，这实际上是利用了WIN2K的Routing and Remote Access服务（ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤），你可以在相应服务上进行进一步设置，例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置，远端用户实际上并没有真正登录到公司的域中，对VPN的接入安全性必须加强设置。如果觉得有问题，可以删除由WIZARD建立的4条IP FILTERS，然后DISABLE Routing and Remote Access，最后由WIZARD重新建立。

八：使用H.323 Gatekeeper
不懂，请高人指点。

九：监视和优化ISA
ISA有45种报警，当报警触发时，写入WIN2K的事件记录器，并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS，防火墙，WEB代理三个文件，每天产生（当然你可以限制其总数量），缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察，最简单的办法是审查ISA的运行报告（事先你要设定ISA如何产生报告），对于ISA的带宽分配，你也可以加以定义，ISA是一种所谓的动态分配，优先满足优先权高的访问，在这基础上再满足优先权低的访问，而不是直接分配固定带宽给用户。

十：排错

基本的，你可以使用ISA Server Reports（性能） /Event Viewer （警告出错信息）/Performance Monitor （性能）/Netstat （网络状态）/Te.net （服务状态）/Network Monitor（网络状况） /The Routing Table （路由信息）来排除错误。
对于复杂的错误，可以先将ISA设置到最简单的模式，观察是否能连通内外网络，然后再一步步添加设置，找出问题的根源。最简单的形式如下：
1. 激活packet filtering enabled, 设定一个最简单的filter，允许双向的IP包
2. 建立一条protocol rule，允许所有的IP traffic，
3. 建立一条SITE AND CONTENT,允许访问所有的网站和内容
4. 将application filters 和routing rules 恢复成缺省设置
5. 检查LAT表包含了所有的客户端
6. 在IP Packet Filters中激活IP Routing，保证有二次连接的协议被顺利路由
7. 检查ISA的外部网卡，确保正确的网关，而内部网卡应该不设置网关
8. 客户端作为SNAT连接ISA，确定其网关地址为ISA的内网卡地址。

原文转自：http://www.ltesting.net