ISA SERVER2000 学习笔记(16) 只需创建一个新的定义协议并制定了足够的发布规则。
问题:使用新的ISA服务器,你能通过使用用户账号来限制他们访问Internet吗? 是的。如果你安装了的防火墙客户端程序,你可以通过用户/组成员控制访问。然而,如果你没有安装防火墙客户端应用程序,那么你必须要么使用网络代理服务器,要么使用安全的NAT。你可以控制到正在使用网络代理服务器的网络协议(HTTP, FTP, HTTPS 和 Gopher) 的访问,但如果你使用的是面向其它协议的安全NAT, 你将无法控制基于用户/组的访问。
问题:我的很多用户下载了像HTTP PORT那样的程序,程序和详细资料可以在Http://www.technetva.com/httport/index.htm找到,另一个例子是Socks2HTTP, 可以在http://www.totalrc.com/找到。他们把SOCKS v.5 请求转换成HTTP 请求,并通过 HTTP 代理建立传输通道,从而虚拟地开放了几乎所有tcp端口。我曾经试图通过使用应用内容规则加以限制,但没有任何效果。我如何解决这个问题? HTTP端口和Socks2HTTP程序就像是简单的建立一个连接到代理服务器并发送以下字符串到代理服务器: CONNECT URL:PORT HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT) URL:PORT就是未授权的用户想要连接的服务器。 ISA服务器是支持这种连接方法的,但通过使用默认设置仅仅允许这方法到目的 端口443和563,因此内部用户不能滥用ISA-服务器代理,所以你的用户很可能是连接到了你网络外部的代理服务器。你要做的是屏蔽到允许你的用户建立他们连接的代理服务器的ip地址的访问。你也要考虑屏蔽到默认代理服务器端口: 8080, 3128和socks 1080访问的连接。 另一种解决方案就是仅允许连接到预先定义的目的端口。其它应该屏蔽的就是你到www.http-tunnel.com 和类似服务的连接。 你也应该注意内部的客户端也有可能在他们的家用pc上安装了软件并且从那里建立连接。 问题:我刚刚在一台Win 2K 服务器上安装了ISA ,通过使用一个线缆调制解调器连到网上。我想知道对于S/Nat 客户端,是否可以使用FTP?如果可能,如何才能找到相关的信息? SNAT 客户端访问 FTP是没有问题的。但你必须确保存在允许你的SNAT 客户端访问FTP的Site/Content(站点/内容) 规则和协议规则。 问题:我正在尝试通过端口 3000并使用SSL连接某网站(https://www...:3000)。当允许包过滤的时候,我不能与网站连接。但当禁止包过滤的时候,我却可以访问。我如何才能在允许包过滤的情况下与网站建立连接? ISA 服务器仅仅允许到端口 443和563 (Secure-news)的隧道连接。如果某个客户端试图连接到一个安全的运行在某个端口上的站点,而端口不是443 或者 563,连接将会失败。 问题:我怎样安装ISA服务器才能拒绝或允许基于IP地址的用户的访问? 在“站点和内容规则”、“协议规则”中,你需要选择并指定访问是通过使用正在使用的用户名还是通过ip地址的。某些情况下,两者结合使用可能更有效。我们采取如下的步骤解决了问题。 在“站点和内容规则”中,我们指定访问是通过使用IP地址的,在“协议规则”中,我们指定访问要通过使用用户账号。 我们是这样解决问题的:允许任何人通过我们内部网在任何时间访问Internet,但在工作时间,只允许拨号访问Internet。 问题:如果我想要允许对所有的IP都可以传输数据,我可以制定并设置一个针对端口0-60000的称为“允许全部”的规则,但有没有更容易的方法呢? 你只要在向导中的“协议”属性页选择“全部的IP 数据传输”就可以了。这样就可以开放全部的外接协议。 问题:缓存如何保证带宽需求和信息的可用性? 缓存通过移动比较接近使用者的网页内容从而减少带宽需求。通过缓存满足了频繁的请求响应,带宽使用量就可能被减少40%。缓存也能提供内容给使用者,即使这些内容的来源处于离线或不可用状态。 问题:什么是反向缓存,以及ISA Server支持它吗? 反向缓存是另外一个术语,指在Web服务器或电子商务应用程序之前放置一个缓存。被称为“反向”是因为它是由Web服务器的管理员执行的,而不是客户执行的,是内容从服务器被分发传送到缓存的过程或卸下的过程。ISA Server 支持反向缓存,并允许Web服务器的管理员管理缓存并分发其内容,因此缩短了客户的响应时间。
