|
ISA SERVER2000 学习笔记(2) 如果你的网络对外连接是通过拨号方式,则只有Web Proxy and firewall clients可以使用按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP(a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.)中进行相应设置
四:设置Access Policies
对于用户访问是否允许,ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察,首先考察是否有PROTOCOL RULES拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的:
1. 对于一个指定的PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的拒绝指得是IP地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对IP的,如果客户端在这一IP地址范围内,则PROTOCOL这一层过滤通过。
2. 对以WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下它是允许匿名的,他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况,我们可以在ISA的设置中要求出站WEB需要认证,或者在PROTOCOL中加一条允许协议,因为WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行匹配,他就会因为不匹配而遭到拒绝。
3. 对于FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进行管理,在ISA上观察,FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION,但是FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。
一般来说,你如果想访问外部网站,必须要有两个条件,一个是PROTOCOL RULE许可,另外一个是SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个SITE AND CONTENT许可供你使用,在PROTOCOL RULE集中,没有先后次序的概念,但是DENY比PERMIT的权力要高
在ISA的控制元素中包括:计划schedules, 带宽优先级bandwidth priorities, 目标集destination sets, 客户集client address sets, 协议定义protocol definitions, 内容组content groups, and 拨号dial-up entries。你可以将它们组合各种规则(access policy rules, routing rules, publishing rules, 和bandwidth rules)
对于包含路径的目标地址,ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器,必须使用IP FILTER,它本身还可以用来阻止外界的某些IP攻击
五:设置ISA Server Cache
CACHE可以加快用户的INTERNET访问速度,你可以使用routing rules来指定何者需要CACHE,何者从INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的CACHE,你可以控制它的大小(必须安装在NTFS上);是否CACHE动态内容;是否CACHE HTTP和FTP内容;自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给CACHE的内存大小以提高性能。
六:发布内部SERVER
如果想发布内部的SERVER,则使用PUBISHING RULES(这实际上也就是PROTOCOL RULES,只有在需要的时候才会开放),如果SERVER就在ISA上,则应使用IP PACKET FILTERS。在SERVER的发布上,最重要的是WEB SERVER和MAIL SERVER
七:ISA的安全性
| 
