ISA Server 2004 安全强化指南三(图)

发布: 2007-6-21 12:06 | 作者: | 来源: | 查看: 15次 | 进入软件测试论坛讨论

　　
　　系统策略
　　
　　ISA 服务器包含默认的系统策略配置，允许使用网络基础结构正常运行所需的常用服务。
　　

　　一般从安全角度考虑，我们强烈建议您配置系统策略，以便禁止访问管理网络不需要的服务。安装之后，请仔细检查配置的系统策略规则。同样，执行主要管理任务之后，请再次检查系统策略配置。
　　
　　以下各部分描述系统策略规则启用的服务。
　　
　　网络服务
　　
　　安装 ISA 服务器时，启用基本的网络服务。安装之后，ISA 服务器可以访问内部网络上的名称解析服务器和时间同步服务。
　　
　　如果网络服务在其他网络上，您应修改相应的配置组的源，以便适用于特定网络。例如，假设 DHCP 服务器不在内部网络上，而是在外围网络上，请修改 DHCP 配置组的源，以便适用于外围网络。
　　
　　您可以修改系统策略，以便仅允许访问内部网络上的特定计算机。另外，如果服务在其他位置，您可以添加附加网络。
　　
　　下表显示适用于网络服务的系统策略规则。
　　　

点击查看大图
　　DHCP 服务
　　
　　如果 DHCP 服务器不在内部网络上，您必须修改系统策略规则，以便适用于 DHCP 服务器所在的网络。例如，如果 DHCP 服务器在外部网络上，请执行以下步骤。
　　
　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。
　　
　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。
　　
　　3. 在“任务”选项卡上，单击“编辑系统策略”。
　　
　　4. 在系统策略编辑器的“配置组”树中，单击 DHCP。
　　　 ISA Server 2004 安全强化指南三(图)（图二）

　　5. 在“从”选项卡上，单击“添加”。
　　
　　6. 在“添加网络实体”中，选择一个网络对象。
　　　 ISA Server 2004 安全强化指南三(图)（图三）

　　提示
　　
　　我们建议，如果您知道 DHCP 服务器的 IP 地址，请仅使用该 IP 地址创建一个计算机集，并选择该计算机集。我们强烈建议当 DHCP 服务器在不受信任的网络上时这样做。
　　
　　7. 单击“添加”，然后单击“关闭”。
　　
　　身份验证服务
　　
　　ISA 服务器的基本功能之一是能够对特定用户应用防火墙策略。但是，要验证用户，ISA 服务器必须能够与身份验证服务器通讯。由于这个原因，默认情况下 ISA 服务器可以与 Active Directory 服务器（对于 Windows 身份验证）以及内部网络上的 RADIUS 服务器通讯。
　　
　　下表显示适用于身份验证服务的系统策略规则。
　　　

点击查看大图
　　DCOM
　　
　　如果您需要使用 DCOM 协议（例如，为了远程管理 ISA 服务器计算机），请确保不要启用“强制严格符合 RPC”。
　　
　　要验证未选中“强制严格符合 RPC”，请执行以下步骤。
　　
　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。
　　
　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。
　　
　　3. 在“任务”选项卡上，单击“编辑系统策略”。
　　
　　4. 在系统策略编辑器的“配置组”树中，单击 Active Directory。
　　
　　5. 验证未选中“强制严格符合 RPC”。
　　　 ISA Server 2004 安全强化指南三(图)（图五）

　　提示
　　
　　各种服务（包括远程管理和自动登记）通常都需要 DCOM。
　　
　　Windows 和 RADIUS 身份验证服务
　　
　　如果您不需要 Windows 身份验证或 RADIUS 身份验证，应执行以下步骤禁用相应的系统策略配置组。
　　
　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。
　　
　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。
　　
　　3. 在“任务”选项卡上，单击“编辑系统策略”。
　　
　　4. 在系统策略编辑器的“配置组”树中，单击 Active Directory。
　　　 ISA Server 2004 安全强化指南三(图)（图六）

　　5. 在“常规”选项卡上，验证未选中“启用”。
　　
　　注
　　
　　禁用 Active Directory 系统策略配置组时，实际上禁用对所有 LDAP 协议的访问。如果您需要 LDAP 协议，请创建允许使用这些协议的访问规则。
　　
　　6. 对 RADIUS 配置组重复步骤 4 和 5。
　　
　　提示
　　
　　如果您仅需要 Windows 身份验证，请确保配置系统策略，以便禁用所有其他身份验证机制。
　　
　　RSA SecurID 身份验证服务
　　
　　默认情况下不启用与 RSA SecurID 身份验证服务器的通讯。如果您的防火墙策略需要 RSA SecurID 身份验证，请确保启用此配置组。
　　
　　CRL 身份验证服务
　　
　　默认情况下不能下载证书吊销列表 (CRL)。这是因为默认情况下不启用 CRL 下载配置组。
　　
　　要启用 CRL 下载，请执行以下步骤。
　　
　　1. 单击“开始”，指向“所有程序”，指向 Microsoft ISA Server，然后单击“ISA 服务器管理”。
　　
　　2. 在“ISA 服务器管理”的控制台树中，单击 Microsoft ISA Server2004，单击 server_name，然后单击“防火墙策略”。
　　
　　3. 在“任务”选项卡上，单击“编辑系统策略”。
　　
　　4. 在系统策略编辑器的“配置组”树中，单击“CRL 下载”。
　　
　　5. 在“常规”选项卡上，验证选中“启用”。
　　
　　6. 在“到”选项卡上，选择可以从其中下载证书吊销列表的网络实体。
　　 ISA Server 2004 安全强化指南三(图)（图七）

　　将允许从本地主机网络（ISA 服务器计算机）到“到”选项卡上所列网络实体的所有 HTTP 通讯。