|
ISA SERVER2000 学习笔记(3) 控制ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多台ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用round robin distribution即可,对于SNAT客户,则需要设置Network Load Balancing (这需要高级服务器版和数据中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN,并可以让移动用户通过VPN访问公司的信息,这实际上是利用了WIN2K的Routing and Remote Access服务(ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置,例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置,远端用户实际上并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可以删除由WIZARD建立的4条IP FILTERS,然后DISABLE Routing and Remote Access,最后由WIZARD重新建立。
八:使用H.323 Gatekeeper
不懂,请高人指点。
九:监视和优化ISA
ISA有45种报警,当报警触发时,写入WIN2K的事件记录器,并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS,防火墙,WEB代理三个文件,每天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。
十:排错
基本的,你可以使用ISA Server Reports(性能) /Event Viewer (警告出错信息)/Performance Monitor (性能)/Netstat (网络状态)/Telnet (服务状态)/Network Monitor(网络状况) /The Routing Table (路由信息)来排除错误。
对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然后再一步步添加设置,找出问题的根源。最简单的形式如下:
1. 激活packet filtering enabled, 设定一个最简单的filter,允许双向的IP包
2. 建立一条protocol rule,允许所有的IP traffic,
3. 建立一条SITE AND CONTENT,允许访问所有的网站和内容
4. 将application filters 和routing rules 恢复成缺省设置
5. 检查LAT表包含了所有的客户端
6. 在IP Packet Filters中激活IP Routing,保证有二次连接的协议被顺利路由
7. 检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关
8. 客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址
附录:常见问题解答(资料来自www.isaserver.org)
问:什么是Microsoft ISA Server?
这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。ISA Server提供了安全、快速、可管理的Internet连接性。ISA Server包括一个可扩展的、多层的企业防火墙,该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度,而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与Windows 200的虚拟专用网(VPN,virtual private networking)和带宽控制进行了集成。ISA Server是一个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。
问:Microsoft Internet Security and Acceleration Server 2000是否属于防火墙或缓存服务器?
| 
