1. 对于一个指定的PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的拒绝指得是IP地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对IP的,如果客户端在这一IP地址范围内,则PROTOCOL这一层过滤通过。 一般来说,你如果想访问外部网站,必须要有两个条件,一个是PROTOCOL RULE许可,另外一个是SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个SITE AND CONTENT许可供你使用,在PROTOCOL RULE集中,没有先后次序的概念,但是DENY比PERMIT的权力要高 五:设置ISA Server Cache 六:发布内部SERVER 七:ISA的安全性 八:使用H.323 Gatekeeper 十:排错
ISA 2000 学习笔记
四:设置Access Policies
对于用户访问是否允许,ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察,首先考察是否有PROTOCOL RULES拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的:
2. 对以WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下它是允许匿名的,他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况,我们可以在ISA的设置中要求出站WEB需要认证,或者在PROTOCOL中加一条允许协议,因为WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行匹配,他就会因为不匹配而遭到拒绝。
3. 对于FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进行管理,在ISA上观察,FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION,但是FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。
在ISA的控制元素中包括:计划schedules, 带宽优先级bandwidth priorities, 目标集destination sets, 客户集client address sets, 协议定义protocol definitions, 内容组content groups, and 拨号dial-up entries。你可以将它们组合各种规则(access policy rules, routing rules, publishing rules, 和bandwidth rules)
对于包含路径的目标地址,ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器,必须使用IP FILTER,它本身还可以用来阻止外界的某些IP攻击
CACHE可以加快用户的INTERNET访问速度,你可以使用routing rules来指定何者需要CACHE,何者从INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的CACHE,你可以控制它的大小(必须安装在NTFS上);是否CACHE动态内容;是否CACHE HTTP和FTP内容;自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给CACHE的内存大小以提高性能。
如果想发布内部的SERVER,则使用PUBISHING RULES(这实际上也就是PROTOCOL RULES,只有在需要的时候才会开放),如果SERVER就在ISA上,则应使用IP PACKET FILTERS。在SERVER的发布上,最重要的是WEB SERVER和MAIL SERVER
控制ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多台ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用round robin distribution即可,对于SNAT客户,则需要设置Network Load Balancing (这需要高级服务器版和数据中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN,并可以让移动用户通过VPN访问公司的信息,这实际上是利用了WIN2K的Routing and Remote Access服务(ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置,例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置,远端用户实际上并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可以删除由WIZARD建立的4条IP FILTERS,然后DISABLE Routing and Remote Access,最后由WIZARD重新建立。
不懂,请高人指点。
九:监视和优化ISA
ISA有45种报警,当报警触发时,写入WIN2K的事件记录器,并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS,防火墙,WEB代理三个文件,每天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。
基本的,你可以使用ISA Server Reports(性能) /Event Viewer (警告出错信息)/Performance Monitor (性能)/Netstat (网络状态)/Te.net (服务状态)/Network Monitor(网络状况) /The Routing Table (路由信息)来排除错误。
对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然后再一步步添加设置,找出问题的根源。最简单的形式如下:
1. 激活packet filtering enabled, 设定一个最简单的filter,允许双向的IP包
2. 建立一条protocol rule,允许所有的IP traffic,
3. 建立一条SITE AND CONTENT,允许访问所有的网站和内容
4. 将application filters 和routing rules 恢复成缺省设置
5. 检查LAT表包含了所有的客户端
6. 在IP Packet Filters中激活IP Routing,保证有二次连接的协议被顺利路由
7. 检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关
8. 客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址。
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073