首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > 编辑ISA Server 2004的系统策略(Part 1)
现在时间是: 2019-01-18 21:51
编辑ISA Server 2004的系统策略(Part 1)

(2004-11-26 21:49)
来源:ISAServer.org

编辑ISA Server 2004的系统策略(Part 1)

译自Ricky M. MagalhaesEditing the ISA server 2004 System Policy (Part 1)

在这篇分为两个部分的文章里,我将谈到ISA 2004系统策略的默认设置以及如何设置这些策略使ISA服务器可以 访问网络中的其他资源或者被别人访问。

在安装ISA Server2004时,系统策略 会自动被创建。作为ISA 2004的一个组成部分,系统策略能够自动配置并包含其自身默认设置。系统策略包含了一组指定ISA服务器如何与网络中其他资源进行 相互间访问的规则。

上面两幅图显示了打开ISA 2004系统的两种不同途径。

ISA 2004的系统策略通常会被忽略,所以常常保持默认的设置。系统策略可以通过导出为XML文件的形式进行备份,这个XML文件可以用于导入到其他ISA2004的服务器或者被作为备份而妥善保存。

ISA 2004的系统策略可以分为四个部分:

配置组 对网络服务类型进行了分类,用于定义ISA 2004如何所需网络资源进行交互。

常规标签 定义了系统策略规则,也允许负责安全的专业人员对配置组元素进行启用或禁用。

到/从标签 定义了通信在网络中的方向。你也可以创建网络组用于增强策略规则。

 

网络服务

 

  • DHCP:网络服务中的DHCP服务允许从ISA到内部网的DHCP请求,允许来自DHCP服务器到ISA服务器的DHCP答复,允许ISA服务器所在的计算机通过DHCP应答和DHCP请求协议访问内部网。这个规则可能在远程登录或者在通过内网卡的Tracersal DHCP时用到。注意这些可以在“从”窗口中指定的,除外的静态服务器也可以在此窗口中添加等。

  • DNS:网络服务(通过DNS的名字解析)DNS允许从本地主机到选定服务器DNS服务,这使得ISA服务器所在的计算机可以通过DNS协议进入到整个网络中。通过使用这个策略元素,你可以控制ISA服务器在何处对DNS请求进行解析。默认情况下这个设置针对整个网络。如果有必要,你可以指定例外情况,比如说你有不只一个同外网的连接并且你要指明路径。

  • NTP:网络服务(时间配置)NTP允许从ISA本地主机到受信任的NTP服务器的NTP通讯,并允许安装ISA2004的计算机通过NTP(UDP)协议访问内部网。这可能会在你需要ISA服务器同内部网同步时间时用到。

验证服务

  • Active directory:验证(Windows用户验证)活动目录为验证的目的允许进入目录服务。允许ISA服务器到信任服务器的RPC。允许ISA服务器到信任服务器或者是与ISA服务器相同域内的Microsoft CIFS;允许从ISA服务器到信任服务器的Kerberos验证;允许ISA服务器所在计算机使用多种LDAP协议、RPC(所有接口)协议、各种Microsoft CIFS协议以及各种Kerberos协议进入内部网,也可以使用活动目录的目录服务达到上述目的。如果这个选项被禁止,ISA2004服务器将通过AD的验证,将只能进行本地验证。

  • RADIUS:验证服务RADIUS允许ISA服务器到受信任的RADIUS服务器的RADIUS验证。允许ISA服务器所在计算机通过RADIUS协议访问内部网,包括用于Cisco设备的AV对。

  • RSA SecureID:验证服务RSA SecureID 允许ISA到受信任服务器的RSA SecureID验证。允许安装ISA的计算机通过RSA SecureID协议访问内部网。

  • CRL Download:验证服务证书吊销列表允许从ISA服务器通过HTTP到所有网络进行CRL下载。CRL Download:验证服务Certificate Revocation List(要修改)允许从ISA服务器通过HTTP到所有网络进行CRL下载。

远程管理

 

  • Microsoft Management Remote允许从指定的计算机(可以自定义;如果不允许其他用户管理ISA,可以将其他计算机加入到例外中)通过MMCISA进行远程管理。允许到指定计算机的微软防火墙控制通讯。允许内部网的计算机通过微软防火墙控制和RPC(所有接口)协议与ISA服务器进行通讯。通过定义此策略,IT专业人士可以在不需要使用AD而只使用IP、地址段或者子网的情况下进行对管理员进行精确的访问控制,这使得此策略显得极为有效。

下图描述了使用此系统策略能够完成什么

 

  • 终端服务器远程管理允许从指定的计算机使用终端服务器进行远程管理。这也允许内部网的计算机通过RDP(终端服务)协议访问ISA服务器。你通过定义这个策略控制谁可以使用终端服务管理ISA服务器,这是此策略的用途。

  • ICMPPing)远程管理允许从指定的计算机发送ICMPPing)请求到ISA服务器;允许内部网的计算机通过Ping协议访问ISA服务器,反之亦然。此选项可以根据你的意愿进行修改。Ping是一种可能对你的组织造成危害的工具,如果你不需要使用,可以禁用此策略。

    作者:gurry
    责任编辑:风间子

[1] [2] 下一页>>
上一篇:在ISA Server 2004中实现弹出窗口进行身份验证
下一篇:How to :如何让linux客户计算机通过ISA Server的集成身份验证
相关信息:

[补丁]ISA Server 2004防火墙警告:修复在被SYN攻击淹没中的连接不稳定现象
ISA 2004配置DEMO下载
How to :配置ISA Server 2004的报告
ISA Server 2004中的Site-to-Site VPN
在ISA Server 2004中实现弹出窗口进行身份验证

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..