首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-访问规则 > ISA Server 2004 系统策略
现在时间是: 2019-01-18 21:26
ISA Server 2004 系统策略

(2005-03-14 11:25)

ISA Server 2004 系统策略

转载自微软技术资料

Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一种默认的系统策略配置,允许使用网络基础结构正常运行通常所需的服务。

从安全角度来讲,通常强烈建议用户配置系统策略以便不允许访问非管理网络所必需的服务。请在安装后仔细查看配置的系统策略规则。同样,请在执行完主要的管理任务后再次查看系统策略配置。

本文档将描述系统策略规则所启用的一些服务。

本页内容
  • 网络服务

  • 身份验证服务

  • 远程管理

  • 防火墙客户端共享

  • 诊断服务

  • 连接验证程序

  • SMTP

  • 预定下载作业

  • 访问 Microsoft 网站

  • 其他资源

网络服务

安装 ISA Server 时就启用了基本网络服务。安装后,ISA Server 可访问名称解析服务器和内部网络上的时间同步服务。

如果网络服务由不同的网络提供,应当修改适用的配置组源以应用特定网络。例如,假定 DHCP 服务器不在内部网络而在外围网络上。则修改 DHCP 配置组源,以应用于该外围网络。

用户可修改系统策略,以便只可以访问内部网络上的特定计算机。或者,如果服务位于其他位置,也可以添加其他网络。

下表显示了应用于网络服务的系统策略规则。

 

配置组

规则名称

规则描述

DHCP

允许从 ISA Server 到内部网络的 DHCP 请求

允许从 DHCP 服务器到 ISA Server 的 DHCP 答复

允许 ISA Server 计算机使用 DHCP(答复)和 DHCP(请求)协议访问内部网络。

DNS

允许从 ISA Server 到所选服务器的 DNS

允许 ISA Server 计算机使用 DNS 协议访问所有网络。

NTP

允许从 ISA Server 到受信任的 NTP 服务器的 NTP

允许 ISA Server 计算机使用 NTP (UDP) 协议访问内部网络。

 
DHCP 服务

如果 DHCP 服务器不在内部网络上,则必须修改系统策略规则以便其应用于 DHCP 服务器所在的网络。例如,如果 DHCP 服务器位于内部网络上,请执行以下步骤。

 

1.

单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。

2.

在“ISA Server 管理”的控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。

3.

在“任务”选项卡上,单击“编辑系统策略”。

4.

在“系统策略编辑器”上的“配置组”树中,单击“DHCP”。

syspol01.gif
 

5.

在“来自”选项卡上,单击“添加”。

6.

在“添加网络实体”中,选择一个网络对象。

syspol02.gif
 

提示: 建议如果知道 DHCP 服务器的 IP 地址,则使用该 IP 地址创建一个计算机集并选择该计算机集。强烈建议当 DHCP 服务器位于不受信任的网络上时执行以上操作。

7.

单击“添加”,然后单击“关闭”。

 

 

身份验证服务

ISA Server 的一个基本功能是能够将防火墙策略应用到特定用户。然而,要想验证用户的身份 ISA Server 必须能够与身份验证服务器通信。因此,ISA Server 默认能够与 Active Directory 服务器(用于 Windows 身份验证)和内部网络上的 RADIUS 服务器通信。

下表显示了应用于身份验证服务的系统策略规则。

 

配置组

规则名称

规则描述

Active Directory

允许出于身份验证目的访问目录服务

允许从 ISA Server 到受信任的服务器的 RPC

允许从 ISA Server 到受信任的服务器的 Microsoft CIFS

允许从 ISA Server 到受信任的服务器的 Kerberos 身份验证

允许 ISA Server 计算机使用各种 LDAP 协议、RPC(所有接口)协议、各种 Microsoft CIFS 协议以及使用 Active Directory 目录服务的各种 Kerberos 协议访问内部网络。

RSA SecurID

允许从 ISA Server 到受信任的服务器的 SecurID 身份验证

允许 ISA Server 计算机使用 RSA SecurID 协议访问内部网络。

RADIUS

允许从 ISA Server 到受信任的 RADIUS 服务器的 RADIUS 身份验证

允许 ISA Server 计算机使用不同 RADIUS 协议访问内部网络。

证书吊销列表

允许从 ISA Server 到所有网络的 HTTP 以下载 CRL

身份验证服务:允许从 ISA Server 到所选网络的 HTTP,以下载最新的证书吊销列表 (CRL)。

 



作者:Microsoft Corp.
责任编辑:风间子

[1] [2] [3] [4] [5] 下一页>>
上一篇:理解ISA 2004访问规则的处理过程 v1.1
下一篇:How to:配置ISA Server 2004的拒绝重定向
相关信息:

ISA2004 beta2 快速安装指南
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
How to :使用公共IP地址来访问DMZ中的服务器
启用ISA Server 2004 的VPN服务
比比谁的ISA Server运行时间长 v2.0 - 新记录诞生!

热点信息 TOP 10
ISA 规则详解
How to:使用ISA Server 2004限制BT下载
如何禁止使用MSN传送文件
使用 ISA Server 2004 控制安全的 Internet 访问
理解ISA 2004访问规则的处理过程 v1.1
使用RADIUS来验证Web代理用户
使用ISA Server 2004禁止P2P软件
使用签名封锁QQ出现的新问题及对策
ISA Server 2004 系统策略
How to : 使用IP地址来禁止内部用户上网

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..