[转载自Microsoft]
此文中有一部分内容是ISA 2000的,如果你使用的是ISA 2000,请你好好看一下。如果你和我一样,使用的是ISA 2004/2006的话,也可以从中受益。
问题:我能只配置防火墙的功能吗?
是的, 你可以把防火墙配置成向下锁定的安全解决方案。作为安装过程的一部分,你可以选择ISA 服务器模式:防火墙,缓存,或者集成方式。在防火墙模式,你可以通过使用配置控制你单位的网络和Internet通讯的规则来保证网络通讯。你可以也发布内部服务器,安全的与Internet用户共享你内部服务器上的数据。
对于缓存模式,你可以通过使用保存常被用户访问的对象来改进网络性能并节省带宽。你可以也发布内部的Web服务器。集成模式结合了两者的特点,即防火墙和缓存,既保证了安全又增强了性能。在所有模式下, 你都可以从ISA 服务器企业策略管理、实时监控和报警的特点中获益。
问题:ISA 服务器支持状态检测吗?
是的。为保证全面的安全,ISA 服务器支持三层过滤: 数据包层过滤, 链路层过滤和应用程序层过滤。链路层过滤通常指的就是“状态检测”,即当包到达防火墙的时候,检测包、监视状态信息、允许或者不允许通过基于访问策略的防火墙的过程。 ISA 服务器增加了基于特定的应用程序命令的“智能型”检测的应用程序过滤器,以在更高的通讯层提供过滤功能。这允许特定的SMTP 命令和过滤基于请求界面的RPC 访问实现模块化。
问题:你如何禁止客户进行SecureNAT存取?
生成一个包含那台机器IP地址的客户端设置,然后再使用一个拒绝基于客户端设置访问的规则。
问题:可以对网络内部的客户端进行ping的操作吗?
外部是不可能ping内部的客户端的。只有内部的S-NAT 客户端可以ping 外部的ISA。
问题:如果我要使http请求只能去访问某些机器,我该如何设置包过滤功能?
新建一个 Web 发布规则就可以了。
问题:我应当在什么时候到控制面板中去更新防火墙的客户端?我得到的错误信息是:服务器对更新请求没有回应。
重新输入其名称。 IP (内部的ISA 接口的)服务器名字(netbios,非FQDN, 像:“server1”而不是“server1.domain.com”)
例如: 172.16.1.45 NTSERVER1 – 奏效了吗?可能也会有人建议使用LMHOSTS文件来代替。
重新安装客户端或者检查端口设置。注意确保不妨碍其它的服务。
问题:有方法可以使用 ISA 服务器和一个 Novell 服务器相连结,以实现接入到Internet吗?
如果有IP地址,那么你可以使用Secure NAT 来接入Internet。
问题:使用防火墙客户端程序而不使用SecureNAT 的好处是什么?
使用Secure Nat,你仅仅可以通过使用 IP (特定于使用IE的机器)来进行管理。比如: ISA 服务器不能区分用户是否已登录到系统。使用防火墙客户端程序,通过使用他们的用户登录名称和他们归属的组名,你就可以控制用户了。这样把IP转换成用户登录名称和他们归属的组名就可以实现更好的控制了,而不管用户是从哪台PC登录的。
问题:使用 SNAT 时,我总是收到“登录失败”的信息。为什么是这样,而我又如何解决这个问题呢?
定义一个新的协议:
TCPIP Outgoing Port 7175
Secondary Connections:
51200-51201 UDP Incoming
51200-51201 UDP Outgoing
51210 TCP Incoming
51210 TCP Outgoing
问题:无论我怎么做,使用通过Outlook Express 的NNTP 就是不工作!我确信在安装ISA的时候已经定义了协议, 但为什么它就是不工作?
卸载FW 客户端,然后再重新安装FW客户端。
如果邮件也提示你相同的问题,然后重新安装FW客户端就应该可以了。
问题:是否可以配置防火墙的服务功能,以实现允许所有的内部地址可以进行任意连接?( 比如说,没有限制)现在看起来我只能是允许对在协议定义容器中被定义的记录执行存取操作。
只有Secure NAT 客户端才有这种限制。防火墙客户端程序可以访问任何信息。如果你没有实现本功能,你需要重新安装FW客户端。
问题:我在Win2K的客户机上安装防火墙以试用一下。我并未决定我现在就使用它,但在我卸载、重新启动了之后,ISA服务器仍然拒绝我的访问。我尝试再一次安装、卸载,但它仍然是没有任何的起色。有人知道该如何解决吗?
你需要到你的浏览器设置中找出有关ISA 服务器的参数。参考:局域网设置->代理服务器。或者,更好的情况下,恢复安装防火墙客户端程序之前浏览器的配置。
问题:我怎样配置MSN Instant Messenger以可以在ISA 服务器后端工作?
最简单的办法就是使用防火墙客户端程序动态的允许访问正在使用的任何一个端口。 如果使用S-NAT,你需要新定义一个端口信息... (55xx? )协议。如果你打算使用Netmeeting,你可能需要配置ISA gatekeeper部分,也需要使用gatekeeper配置Netmeeting。通常情况下在Netmeeting使用gatekeeper的时候,远程NM 客户端需要设置他们的NM使用网关,不论他们是在getekeeper后端以及他们的gatekeeper 是否已恰当的配置了到你的GK的路由请求。
问题: CuteFTP不能连接到FTP 站点。它运行登录程序,并确定它已成功连接,但运行PWD指令总是超时。如何解决这个问题?
生成一个新的协议以定义允许TCP 外接端口 21和TCP 外接端口 20进行第二次连接。
问题: Quicken 2000已经安装到了客户端(在LAT内部)。我正在尝试连接到英特网以获取银行记录。我的问题是它提示检测不到已存在的网络。如何解决这个问题?
完成Quicken中在EDIT 菜单下的Internet连接安装向导。确保你的默认浏览器设置了使用ISA 服务器作为其代理,Quicken将使用这些设置。
问题:我怎样才能在ISA服务器后端执行对[email=SETI@home]SETI@home[/email]的访问?
在代理服务器设置中禁止使用HTTP代理并使用SOCKS代理,然后只需在SOCKS Host一栏键入你的ISA 服务器的名称。 你不需要在SOCKS用户名和密码一栏键入任何信息。端口默认是1080。
问题:ISA服务器在本地运行的时候,我如何才能连接到一个远程SQL服务器?我不能连接到SQL 企业版,而且我也不能产生对远程SQL 服务器的DSN。这个问题如何解决?
打开端口 1433
问题:我现在正在使用RRAS NAT以使我的 Linux 和Windows用户漫游英特网。当我安装了 ISA 而且禁止使用RRAS NAT的时候,如何做才能实现和上面一样的功能?
以sNAT(ISA 服务器的一部分)的方式。在这种情况下,系统将自动提供策略。
问题:每个人都知道该如何使用Yahoo Messenger Voice Chat。我已经直接连接了Yahoo,但是Voice Chat不能连接到他们的服务器。如何解决这个问题?
如果基于Java,可能是因为端口8000或者端口8500 和TCP端口。为此你将需要定义一个清晰的协议和规则。检查并确定一下正在使用什么端口?你可能需要运行NetMon来跟踪一下。
问题:除非我允许所有的IP都可以进行数据的传输,否则我无法进行Real Player Clients的在线浏览。有人曾经成功的让Real Player运行吗?
你并不需要开放任何特殊的端口。有一个协议和规则是针对Real Player 的,而且要运行Real Player, 这个协议和规则是必须的。
问题:我正在尝试发布我的运行在ISA服务器后端的内部FTP服务器。我为端口21和端口 20 配置了一个自定义的协议,但它仍然不工作,问题可能是什么?
你需要打开内部的动态外接端口1025-5000到任何有过滤功能的端口。
问题:我如何配置ISA 才能允许内部用户使用AOL Instant Messenger?
有一个为AOL Instant Messenger预先定义的访问协议。支持这个访问协议,重新启动你的防火墙服务,就应该可以了。
问题:我如何安装ISA 服务器以允许远程客户端接受DNS服务? 比如说,应当允许什么协议或者过滤哪些端口?
如果你想要Internet客户端使用你的DNS服务器,那么打开内接端口53/udp。如果你想要Internet服务器从你的DNS服务器传送区域信息,同样需要打开内接端口53/tcp。确保你的DNS 服务器允许通过外部IP地址连接。
问题:有否容易的方法只运行ISA就可以完成所有网络数据的传输?
禁止使用包过滤,支持有关外部IP的netbios。在协议规则中允许全部的数据传输。
问题:我如何安装QuickTime以使之运行在ISA 服务器后端?
安装防火墙客户端程序。开始安装后,安装Quicktime,在安装窗口中,当询问有关代理服务器信息时,保持空白。
问题:我如何设置才能允许内部的客户端通过我的ISA服务器进行对外部的PPTP 操作?
支持路由和PF
选中“PPTP通过防火墙”复选框
为PPTP Call新建一个PF
问题:每次我改变协议规则之后,就必须重新启动防火墙服务功能,而规则的改变将影响网络数据的传输。我确实需要重新启动防火墙服务吗?
你并不需要重新启动防火墙服务,但在策略生效之前,可能需要一段时间。我认为这是ISA读注册表或者AD的方式引起的问题。
问题:我安装了控制网络访问的策略,也配置了浏览器。Navigator 4.75 要求验证 (用户姓名/密码), 然后就锁住了,或者报告是内存错误。我如何解决这个问题?
其原因是使用了ISA的集成验证。在ISA MMC中,找到ISA 计算机名称并右击鼠标。选择“属性”并点击“出站Web请求”选项卡。然后选中“集成的安全性”复选框。
1) 你可以不选中这个复选框,因而就没有验证。但这之后你就不会知道有谁正在使用哪些服务, 因为在日志文件中用户都是匿名的,结果就是不能通过使用他们的用户名控制用户的访问。
2) 你可以不选中综合安全这个复选框,但可以选中“基本验证”的复选框。这可以使你控制和访问全部其它浏览器。注意只有IE3.x和其以上版本才支持集成 NTCR验证。
问题:有人有建议可以使我的内部的客户端通过 ISA访问 Symantec Live Update吗?
首先的,也是最重要的,确保你用的是LiveUpdate最新版本。我原来用的是1.5,但当我升级到1.6时,就正常了。
我进行了如下的操作:
1. 允许用户通过代理服务器使用HTTP 和 FTP 访问。
2. 用代理服务器名称配置LiveUpdate并要求用户输入账号和密码以验证身份。直到我让它使用Internet Explorer的配置,LiveUpdate才正常执行程序。(这些都可以通过在控制面板中的LiveUpdate applet 进行配置)。
问题:我正在试图发布SSH (端口 22)服务器,其基于在我的ISA防火墙后端运行的UNIX 服务器。但SSH不在发布规则协议列表之中。有否其他途径解决这个问题?
只需创建一个新的定义协议并制定了足够的发布规则。
问题:使用新的ISA服务器,你能通过使用用户账号来限制他们访问Internet吗?
是的。如果你安装了的防火墙客户端程序,你可以通过用户/组成员控制访问。然而,如果你没有安装防火墙客户端应用程序,那么你必须要么使用网络代理服务器,要么使用安全的NAT。你可以控制到正在使用网络代理服务器的网络协议(HTTP, FTP, HTTPS 和 Gopher) 的访问,但如果你使用的是面向其它协议的安全NAT, 你将无法控制基于用户/组的访问。
FAQ 的回答是通过使用Tom Shinder实现的。请到以下网址参考与ISA 服务器相关的指南、建议和书籍: http://www.isaserver.org/shinder/
问题:我的很多用户下载了像HTTP PORT那样的程序,程序和详细资料可以在Http://www.technetva.com/httport/index.htm找到,另一个例子是Socks2HTTP, 可以在http://www.totalrc.com/找到。他们把SOCKS v.5 请求转换成HTTP 请求,并通过 HTTP 代理建立传输通道,从而虚拟地开放了几乎所有tcp端口。我曾经试图通过使用应用内容规则加以限制,但没有任何效果。我如何解决这个问题?
HTTP端口和Socks2HTTP程序就像是简单的建立一个连接到代理服务器并发送以下字符串到代理服务器:
CONNECT URL:PORT HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT)
URL:PORT就是未授权的用户想要连接的服务器。
ISA服务器是支持这种连接方法的,但通过使用默认设置仅仅允许这方法到目的 端口443和563,因此内部用户不能滥用ISA-服务器代理,所以你的用户很可能是连接到了你网络外部的代理服务器。你要做的是屏蔽到允许你的用户建立他们连接的代理服务器的ip地址的访问。你也要考虑屏蔽到默认代理服务器端口: 8080, 3128和socks 1080访问的连接。 另一种解决方案就是仅允许连接到预先定义的目的端口。其它应该屏蔽的就是你到
www.http-tunnel.com 和类似服务的连接。 你也应该注意内部的客户端也有可能在他们的家用pc上安装了软件并且从那里建立连接。
问题:我刚刚在一台Win 2K 服务器上安装了ISA ,通过使用一个线缆调制解调器连到网上。我想知道对于S/Nat 客户端,是否可以使用FTP?如果可能,如何才能找到相关的信息?
SNAT 客户端访问 FTP是没有问题的。但你必须确保存在允许你的SNAT 客户端访问FTP的Site/Content(站点/内容) 规则和协议规则。
FAQ是由Tom Shinder解答的。请到以下网址参考与ISA 服务器相关的指南、建议和书籍: http://www.isaserver.org/shinder/
我正在尝试通过端口 3000并使用SSL连接某网站(https://www...:3000)。当允许包过滤的时候,我不能与网站连接。但当禁止包过滤的时候,我却可以访问。我如何才能在允许包过滤的情况下与网站建立连接?
ISA 服务器仅仅允许到端口 443和563 (Secure-news)的隧道连接。如果某个客户端试图连接到一个安全的运行在某个端口上的站点,而端口不是443 或者 563,连接将会失败。
问题:我怎样安装ISA服务器才能拒绝或允许基于IP地址的用户的访问?
在“站点和内容规则”、“协议规则”中,你需要选择并指定访问是通过使用正在使用的用户名还是通过ip地址的。某些情况下,两者结合使用可能更有效。我们采取如下的步骤解决了问题。 在“站点和内容规则”中,我们指定访问是通过使用IP地址的,在“协议规则”中,我们指定访问要通过使用用户账号。
我们是这样解决问题的:允许任何人通过我们内部网在任何时间访问Internet,但在工作时间,只允许拨号访问Internet。
问题:如果我想要允许对所有的IP都可以传输数据,我可以制定并设置一个针对端口0-60000的称为“允许全部”的规则,但有没有更容易的方法呢?(ISA 2000)
你只要在向导中的“协议”属性页选择“全部的IP 数据传输”就可以了。这样就可以开放全部的外接协议。
