准备实施ISA前必看的内容(页 1) - 【网络安全技术】 - 我是网管论坛 - 畅通网络因为有我

yu2885 发表于 2008-4-15 22:08

准备实施ISA前必看的内容

[align=left] 当大家看完“[color=red]新手学ISA系列[/color]”后，是不是有种马上想实施ISA的感觉？呵，心急吃不了热豆腐。那么在[b][color=green]实施ISA前[/color][/b]应该注意些什么呢？本帖将一一为您解答（该帖是将大家的ISA问题解决方法总结在这里）......[/align]3X%@hA&A3P
[align=left][b][color=green]疑惑1：ISA服务器放在硬件防火墙与三层交换机中间与将ISA服务器放在交换机上有什么区别？[/color]/gp8gd"s4b;? }

回答1：只有在前者情况下，ISA的防火墙功能才能被启用。其硬件防火墙的功能主要在于封闭端口和IP，无法完全对数据进行拆包分析,而ISA服务器恰好弥补了硬件防火墙的不足，还能主动分析入侵检测。[/b]

所以当外来及内网数据需要传输时，还要再经过ISA服务器这一关，这样公司的网络安全保护才能更加强效。而后者只能将ISA充当代理服务器的作用，这样岂不是很浪费？前者不仅可以当作边缘防火墙，也可以将后者的代理服务包容在内。Q-f&eT E5Wnt9B
?2Ds,z,q/n#S
其实ISA在前者运行环境下，还有很多作用。比如公司有对外的WEB，FTP服务器，可以通过ISA来对其进行发布。这样经过硬件防火墙和ISA边缘防火墙保护下，公司的WEB等服务器才能得以安心工作。c(Nv q(V B8U.JF

[b][color=green]疑惑2：ISA服务器与WSUS服务器共存的问题[/color][/b]
8z@&k^!Np)o
[b]回答2：WSUS服务器先安装再安装ISA服务器，则会造成WSUS失效。WSUS3.0和ISA都是通过MMC控制台进行操作的。[/b]Z:j3n-Q8_

当WSUS与ISA冲突时，可试着进行以下操作： Ra]ZE"l2O[
CJpN&tF G$X6|
1.进入服务列表，找到WSUS的服务名称，检查该服务是否被禁用，若禁用将它启动并设置成“自动”。

2.将ISA安装最新补丁，目前ISA2004打到了SP3，更高版本为2006，2008正在研发中。。
t~1fd&?tZ
ISA补丁的安装，与系统的补丁的作用是一样的，比如XP的SP2包括了SP2前的所有补丁集，这样不仅提高系统的安全性，还扩展了系统的部份功能。在这里我就不一一介绍SP3的功能了，有兴趣的话，请大家去看看54的ISA专题以及ISA中文站。*L0NA:fd.x

3.在ISA创建以下规则：
VK.gwN|d%Mt[
3.1创建访问规则：允许－所有协议－内部－本机－所有用户（这条规则是为了让公司的客户端能够访问到ISA/WSUS服务器）
Yz(G9v:H#~,[ A([/C
3.2创建WEB服务器发布规则：在创建过程中，输入WSUS服务器IP，其路径为/*，其创建两个新的侦听端口80和8530。(若ISA与WSUS在同一张机子上或WSUS在内部网络可以不用创建该规则)
2{,C/F!R6U I
如果你的WSUS服务器是默认安装的，则只要80端口就可以了，如果其端口有改动，把8530改成对应的端口即可。
[b][color=black]注意：ISA默认的[color=red]端口为80[/color]，所以WSUS最好在安装的过程中不要用[color=red]默认安装（WSUS默认安装为80），[/color]不然会冲突。[color=orange]Web Proxy 筛选器无法将其套接字绑定到 *.*.*.*端口 80[/color]等故障提示就是因为这个原因。另外，ISA最好独立，不要去安装IIS，不然IIS也是默认占用80端口[/color][/b][/align][b][color=#000000][/color][/b]
[b][color=#000000]3.3 WSUS无法重置服务器节点[/color][/b] t"Qoyl
[b][color=#000000][/color][/b] P1_v6[Ok
[color=#000000]ISA服务器重启后，WSUS控制台无法运行。打开“我的电脑”只有一个C盘存在，进行磁盘管理器，将其它分区按原盘符名称进行分配，重启计算机后，故障解决！[/color]
[align=left]?3|)Y kI&V;O

4.重新服务器，这时WSUS应该正常运行了，但是不管你怎么运行更新命令，XP客户端会比WIN2000更快连接过来，有的2000客户端要第二天才会在列表中出现。 hOs|4Wc}
,i#e/g{ a X6Dh
[b][color=green]疑惑3：ISA服务器与杀毒软件共存的问题[/color][/b]

[b]回答3：其实我强烈建议将瑞星杀毒软件服务端、WSUS等服务器与ISA分开最好，这样让ISA得以充分的资源去运行，不然你以后会遇到很多因为将WSUS等服务器与ISA共存的问题。上面的WSUS就是一个很好的例子，[/b]%ZHJCxEo3Su2W
O*Y!v"Ik,J,M/U
[b]3.1 ISA 2004与瑞星杀毒软件的冲突，造成蓝屏[/b]/Z@ko-X.w.f-d*?

这个规则我已经遇到了。解决方法有三种：
Q8r-e.Fx:[
3.1.1 网络上盛传的进入硬件设备管理器，打开隐藏的非驱动程序，找到瑞星的漏洞攻击监控程序，将其禁用。

禁用以后，瑞星的服务没有全部开启，所以它从绿色变成了黄。而且每次系统启动进入桌面时，会弹出服务错误，让人烦。

经我过测试，几天下来是稳定，可是昨天又蓝屏了。

3.1.2 在54搜索帖中，有一个方法是在ISA中开放1976-1981端口，这个我没有去尝试。因为ISA服务器马上要实施，所以我想让它彻底安心稳定下来，于是我用了第三个方法。V^;R8L'E ^9uu

3.1.3 更换杀毒软件T(N@K9\{cY;eW

其杀毒软件的评测，在54中已经有人转帖过，但网上有更形象的说明，你看过后，可以自己选择：1GE_-L7u?oFz&]Q
*|"BA H"@U
一，卡巴就好象西毒，凶猛强悍，神功盖世，对敌决不留情，出手狠辣，招招夺
命，绝少失手，不愧为一代枭雄，但毕竟练的不是纯正内功，容易走火入魔，导 mT1l2pb)R8\O FgB
致｛系统｝出问题． It%RP$w$KOQ;t

二，麦咖啡就象东邪，玉树临风，俊朗潇洒，对敌招式繁多，机关重重，杀伐决 P/a{.DBId
断从不迟疑，为江湖第一机智聪明之人，但因其心机太深，令人难以掌握． n$wNC(`&z7G%s.u

三，诺顿就象南帝，雍容华贵，稳沉厚重，胸怀博大，练的是纯正内功，靠的是 /yoY&[g%W;x
教化感人，对敌有慈悲心肠，一般采取隔离教化，使其不在作恶，很少杀人，称
的上是一代宗师，但因其过于敦厚，不仅自己活的累，别人也为他感到累．
Z^b1GVlw
四，nod32就想北丐，来无影去无踪，潇潇洒洒，笑傲江湖，对敌用的是逍遥游和 #e\-Y^b6eC3X
打狗棍法，江湖上少有对手，但因其过于轻浮，难免误事． LZ$T2J8rD'Y?
d k.lCB0{
五,国产的就像全真7子一起上还凑合 m8Zf/G qY3U8t

[b][color=green]3.2 ISA 2004与麦咖啡冲突[/color][/b]

麦咖啡自身带有防火墙功能，曾经让我的ADSL拨上网后，无法浏览网页。这次我是先安装ISA后，再装麦咖啡，
在安装麦咖啡过程中，突然提示ISA2004正在运行，如果要安装会取消ISA中的操作（具体提示我忘了）。所以我没有安装麦咖啡。
Z4c.{\Zc9[
如果大家确实要选择麦咖啡，建议先装杀毒软件，后安装ISA。m-x MeBD

[b][color=green]3.3 NOD32会阻止将ISA备份的策略还原、导入[/color][/b]

解决方法：
1.进入监控模块，先将它禁用，待还原策略之后再将它开启C;Ehh-{,R%DD
B:^6?mo`q
2.监控模块中有一个取消扫描指定的文件夹，将WSUS和ISA文件夹列在里面
d`-X+Tp3d`5L
3.网络监控模块会监控客户端浏览的每个网页链接，造成网页浏览速度不流畅[/align][align=left]4.偶尔会造成客户端无法访问ISA[/align][align=left]"b:rajC YB^z
[color=red][b]更多ISA与杀毒软件的测试[/b][/color]请到[url=http://bbs.54master.com/viewthread.php?tid=243618&page=1#pid2742026]http://bbs.54master.com/viewthread.php?tid=243618&page=1#pid2742026[/url]查看?x,d_:I&e"d;d+z
[b][color=green]疑问4 注意ISA 规则上下启用效果[/color][/b]EkE0^#bf7PO
+zL+Sq|zJ YIq#?
比如你已经创建内部拒绝访问QQ的规则，但你又要开通部份计算机使用它。你可以创建能访问QQ的计算机集，但是你必须这条允许访问的规则放在拒绝内部访问QQ的规则上面，否则将无法生效，其实这些规则的生效结果，你可以自己去测试。不过在我创建规则的环境中，一般是允许后拒绝。[/align]
[align=left][color=green][b][color=green]疑问5[/color]　不能访问或是多次刷新才能浏览网址、电子邮箱[/b][/color][/align]$n7f p\/rl:m,I]
[align=left]5.1　若在[color=red][b]ISA2004[/b][/color]环境下，其解决方法：[/align][align=left]5.1.1　将ISA2004升级至最新补丁－SP3[/align][align=left]5.1.2　检查该网站是否在ISA中开通所需要的访问协议，如SINA网站在SP3补丁环境下，如果你只是创建了HTTP\HTTPS服务器协议访问规则是不行的，另外你还要开通DNS\SMTP\POP等协议才能打开[/align][align=left]5.1.3　单独创建一条可访问该域名的规则[/align][align=left]5.1.4　关于163和126电子邮箱，如果你只创建了所选协议进行控制网内计算机，则在ISA2004中，你要注意以下几点：[/align][align=left]5.1.4.1　因为QQ游戏登录端口和163首页电子邮箱登录端口都为443，所以你封闭了443端口之后，员工在首页登录163是没有任何反映的。需在[url=http://mail.163.com/]http://mail.163.com/[/url]域名下才能登录正常。若在该域名还是不能登录，请按以下方法操作试一下：[/align][align=left]5.1.4.2　在163邮箱中，有个“增加安全性”筛选框，要将它取消才可登录。[/align][align=left]5.1.4.3　在163邮箱中，有个“版本”下拉菜单，将其“默认”改为“简约”。[/align][align=left]5.1.4.4　在126邮箱中，有个“SSL安全登录”，将其取消。[/align][align=left][color=#0000ff]某些网友反映126的邮箱及其他在购买网站空间时所一并购买的邮箱在ISA2006环境中无法打开的问题。现将126邮箱打不开我的解决办法发出来。欢迎大家来讨论。方法经我测试成功。大家可以在自己的ISA上根据自己的实际情况进行微调。

[/color][color=red] 126的邮箱[/color]
[/align][align=left][color=red] 1、新建一条tcp80出站协议。|w&ZLK.|3Z?QA'w
2、新建一个计算机集“126邮箱”IP:202.108.5.10和202.108.5.11”。
3、然后建一条规则：允许内部或特定计算机（根据你的实际情况）到计算机集“126邮箱”的tcp80协议访问，并作为第一条策略
4、再建一条规则：禁止内部或者特定计算机到计算机集“126邮箱”的http协议的访问，作为第二条策略。
以上两条规则一定放在所有策略之前，顺序不能倒。[/color][/align][align=left][color=#ff0000][/color][/align][align=left][color=#ff0000][/color][/align][align=left][color=#ff0000] 如果还是无法正常访问，请在论坛发短消息给我，请在短消息中注明你的ISA的版本，客户端情况（使用的是Webproxy,Snat,FWC中的那一种）。我将尽力为大家解决[/color][/align][align=left]5.1.4.5 在雅虎邮箱中，若附件无法下载，请检查HTTP阻止后缀名运行程序的列表中是否添加.DLL，若有请将其删除即可解决。[/align][align=left]5.1.6 网站提示：[b]WEB服务不稳定，您想要查看的站点当前没有默认页[/b][/align][align=left][b] [color=red] 解决方法：[/color][/b]1.在可以浏览这个网站的计算机上，看一下该网站是以什么格式运行的，如ASP或HTML[/align][align=left] 2.在ISA客户端中输入http:[url=http://www.xxx.com/index.asp]www.xxx.com/index.asp[/url]即可浏览[/align][align=left]5.1.7 若使用SNAT环境，将客户端设置成ISA网关及DNS时，无法上网，可以按以下方法操作：[/align][align=left]5.1.7.1 检查客户端是否安装有防火墙（XP自带）[/align][align=left]5.1.7.2 重新再设置一次网关和DNS[/align][align=left]5.1.7.3 启用TCP/IP上的NETBIOS协议[/align][align=left]5.1.8 QQ运行反映缓慢[/align][align=left] 解决方法：[url=http://bbs.54master.com/247631,1,1]http://bbs.54master.com/247631,1,1[/url][/align]3\/m^~cf
[align=left]5.2　若在[b][color=red]ISA2006[/color][/b]环境下，其解决方法：[/align]}tG^~
[align=left][size=3][color=#ff0000][color=black]1. [size=10pt]打开注册表编辑器，并找到如下键值：[/size][/color]ll7t0f.k3W[

[size=10pt]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters[/size][/color][R)c7t-Jiw(w
[size=10pt][color=#ff0000][/color][/size]
[color=#ff0000][size=10pt][color=black]在右方窗口中，找到如下键值并将其键值[/color]修改为[/size][size=10pt]0[/size][/color][/size][color=darkgreen][b][size=3][size=10pt]（如果部不在这两个键值，请您新建同名的[/size][size=10pt]DWORD[/size][size=10pt]值，并将其设置为[/size][size=10pt]0[/size][/size][size=10pt]）[/size]
[/b][/color]
[size=10pt][color=#ff0000]EnableRSS[/color][/size]}t puq:T
[size=10pt][color=#ff0000]EnableTCPA[/color][/size]
[color=black][color=#ff0000]EnableTCPChimney[/color][/color](fFL\(fP*hz
[color=black][color=#ff0000][/color][/color]
[color=#ff0000][color=black][font=宋体]将如下键值改为[/font][/color][color=black]1[/color][/color][color=darkgreen][b][font=宋体]（如果不存在这个键值，请您新建同名的[/font]DWORD[font=宋体]值，并将其设置为[/font]1[font=宋体]）[/font]YfS`QjK
[/b][/color][color=black][color=#ff0000][/color][/color]
[color=windowtext][color=#ff0000]EnablePMTUDiscovery[/color][/color]-?^Y gV
[color=windowtext][color=#ff0000][/color][/color]
[color=#ff0000][color=windowtext]2. [/color][color=windowtext][font=宋体]重新启动计算机[/font][/color][/color][/align][align=left][color=#000000][/color][/align][align=left][color=#000000]3.　关于这个问题的具体解决方法请进入：[url=http://bbs.54master.com/237381,1,1]http://bbs.54master.com/237381,1,1[/url][/color][/align])^/F)cf*cb2T!I
[align=left]－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－[/align][align=left]该帖内容会陆续更新......[/align][align=left]感谢 [color=red][b]rickyfang 　blazewind[/b][/color] 。。。。。。[/align]

[[i] 本帖最后由 yu2885 于 2008-5-20 08:34 编辑 [/i]]

towjx 发表于 2008-4-15 22:40

写得不错，赞一个！！

页: [1]

我是网管论坛's Archiver

准备实施ISA前必看的内容