史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-07-16, 11:23 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 ISA Server 2004中英文正式版發佈!

ISA Server 2004中英文正式版發佈!

今日,微軟正式發佈了ISA Server 2004的中英文版本,版本號均為4.0.2161.50。

http://www.isaservercn.org/pic/final/en_isa2004.JPG


英文版本安裝界面



英文版本的版本號

http://www.isaservercn.org/pic/final/en_version.JPG


中文版本安裝界面
http://www.isaservercn.org/pic/final/cn_isa2004.jpg



中文版本的版本號

目前標準版的ISA Server 2004價格是每個處理器$1499,折算成人民幣大概就是12292元。企業版的ISA Server 2004估計會在不久後正式發佈。

Q:
不能從ISA 2000 ENT昇級到ISA 2004 STD
鬱悶
A:
1. 電腦上必須安裝 ISA Server 2000 Service Pack 1 (SP1)。
2. 只能從 ISA Server 2000 Standard Edition 昇級。





http://www.isaservercn.org/pic/final/cn_version.JPG
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:25 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

微軟官方我的文件中ISA Server 2004的新特性描述

 

 

和ISA Server 2000相比,ISA Server 2004中引入了多網路支持、易於使用且高度整合的虛擬專用網路配置、擴展的和可擴展的用戶和身份驗證模型,以及經過改善的管理功能(包括配置匯入和匯出),具體有:



多網路

新增功能或改進功能
功能
描述

新增
多網路配置
可以配置一個或多個網路,並使每個網路都與其他網路有明確的關係。訪問原則是相對於多個網路而定義的,而不必相對於給定的內部網路。在 ISA Server 2000 中,所有通訊的檢查都相對於只包含內部網路中的位址範圍的近端網址表 (LAT),但是 ISA Server 2004 擴展了防火牆和安全功能,以便適用於任何網路之間的通訊。

新增
唯一的各網路原則
ISA 伺服器的多網路功能使您可以限制客戶端(甚至您自己組織內部的客戶端)之間的通訊,從而防止網路受到內部和外來的安全威脅。多網路功能支持複雜的外圍網路(也稱 DMZ、網路隔離或被篩選的子網)方案,以便您可以配置不同網路中的客戶端如何訪問外圍網路。

新增
對所有通訊的監控狀態的檢查
可以根據傳輸協定以及連接狀態的具體情況檢查通過防火牆的資料,而不論源或目標為何。

新增
NAT 和路由網路關係
通過使用 ISA 伺服器,可以根據網路之間所允許的訪問和通訊類型來定義網路之間的關係。在某些情況下,您可能希望網路之間的通訊更安全、透明度更低。在這些情況下,可以定義網路位址轉換 (NAT) 關係。在其他情況下,您可能僅僅希望通過 ISA 伺服器路由通訊。在這些情況下,可以定義路由關係。

新增
網路範本
ISA 伺服器包含與一般網路拓撲對應的網路範本。可以使用網路範本來為網路之間的通訊配置防火牆原則。當套用網路範本時,ISA 伺服器依照指定的原則新增必要的規則集,以便允許通訊。

虛擬專用網路

新增功能或改進功能
功能
描述

改進
VPN 管理
ISA 伺服器包含一種高度整合的虛擬專用網路 (VPN) 機制。可以通過「ISA 伺服器管理」來管理 VPN 連接,就像管理通過物理的方式連接的網路和客戶端一樣。ISA 伺服器的全部功能都可以用於 VPN 連接,其中包括監視、日誌記錄以及會話管理。

新增
對 VPN 的監控狀態的檢查
VPN 客戶端被配置為單獨的網路。因此,可以為 VPN 客戶端新增單獨的原則。規則引擎有區別地檢查來自 VPN 客戶端的請求,對這些請求進行監控狀態的檢查,並關於訪問原則動態地開啟連接。

新增
與第三方 VPN 解決方案的互操作性
由於支持產業標準 Internet 傳輸協定安全 (IPSec),所以 ISA Server 2004 可以加入到其他供應商提供的已有 VPN 基礎結構的環境中,其中包括那些對站點到站點連接採用 IPSec 隧道模式配置的環境。

新增
隔離控制
ISA 伺服器可以將 VPN 客戶端隔離到「被隔離的 VPN 客戶端」網路中,直到驗證它們符合公司的安全要求。

安全和防火牆

新增功能或改進功能
功能
描述

新增
擴展的傳輸協定支持
通過允許您控制對任何傳輸協定(包括 IP-等級傳輸協定)的訪問和使用,ISA Server 2004 擴展了 ISA Server 2000 功能。可以使用 ping 和 tracert 等應用程式,並使用點對點隧道傳輸協定 (PPTP) 來新增 VPN 連接。此外,還可以通過 ISA 伺服器啟用 Internet 傳輸協定安全 (IPSec) 通訊。

改進
身份驗證
可以使用內裝的 Microsoft Windows® 或遠端身份驗證撥號用戶服務 (RADIUS) 身份驗證類型或其他名稱空間來對用戶進行身份驗證。規則可以套用於任何名稱空間中的用戶或用戶組。第三方供應商可以使用軟體開發工具包來擴展這些內裝的身份驗證類型,從而提供額外的身份驗證機制。

改進
發佈
使用 ISA 伺服器,可以將伺服器置於防火牆的後面(在公司網路或外圍網路中),並安全地發佈其服務。

快取

新增功能或改進功能
功能
描述

改進
快取規則
使用 ISA 伺服器的集中式快取規則機制,可以配置如何檢索存儲在快取中的對象,以及如何從快取中提供對象。

管理

新增功能或改進功能
功能
描述

改進
管理
ISA 伺服器包含新的管理功能,這使您可以更容易地保護您的網路。新的用戶界面中包含工作視窗、「說明 」選擇項、改進的入門嚮導,以及面貌一新的防火牆原則編輯器。

新增
匯出和匯入
ISA 伺服器中引入了匯出和匯入配置資訊的功能。可以使用此功能將配置參數儲存到一個.xml 文件中,然後將資訊從該檔案匯入到另一台伺服器中,從而使用戶只需通過複製即可將防火牆配置佈署到多個站點中。

新增
儀表板
用於提供關鍵監視資訊的匯總版本的單一視圖。如果發現了問題,可以開啟詳細的監視視圖以瞭解更多資訊。

新增
日誌檢視器
ISA 伺服器日誌檢視器既時地顯示防火牆日誌。可以採用連線電腦既時模式或歷史記錄審閱模式顯示日誌。可以對日誌字段套用篩選以找到特定的項目。

改進
報告
可以對 Web 使用、應用程式使用、網路通訊模式和安全性產生重複的或一次性的報告。


 

同時也請注意,和ISA Server 2000相比,ISA Server 2004也不僅僅是新增或者改進,也有取消的功能,如關於優先權的帶寬管理。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:31 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

[同步更新]使用ISA Server 2004防火牆發佈位於公共DMZ網段的伺服器

前言:這篇文章描述了如何使用訪問原則發佈使用公共IP的DMZ主機。這種方法允許你在使用你伺服器已經使用的公共IP和ISA Server 2004防火牆套用層過濾之間進行平衡。不像傳統的關於包過濾的防火牆(PIX、Netscreen、SonicWall等等),ISA Server 2004防火牆對通過防火牆的所有通信執行過濾和套用層識別。這篇文章對此進行了完全的討論。

 

 

使用ISA Server 2004防火牆發佈位於公共DMZ網段的伺服器



 

譯自 Thomas W Shinder M.D,「Publishing Servers on a ISA Server 2004 Firewall Public Address DMZ Segment」,加以編輯修改

 
http://www.isaservercn.org/pic/pubdmz/image001.jpg


比起ISA Server 2000防火牆,ISA Server 2004的一個重大改進是多網路的支持。ISA Server 2004從「世界」中發現多網路,不同於ISA Server 2000只是把「世界」 認為是「信任與不信任「(LAT與非LAT)。ISA Server 2004防火牆認為所有網路都是不信任的,而且把訪問原則套用到所有通過ISA Server 2004防火牆的網路連接,包括通過遠端VPN連接的客戶端和VPN網路閘道。

http://www.isaservercn.org/pic/pubdmz/image002.jpg



ISA Server 2004多網路允許你連接多個網路接頭(或多個使用VLAN標籤的虛擬接頭)和對經過ISA Server 2004防火牆的通信具有完全的控制。這個和ISA Server 2000當資料在內部網路中通行時不會受防火牆原則的影響和需要使用RRAS包過濾建立「不足的DMZ」的網路模型具有強烈的對比。

在這篇文章中,我們測試了如何發佈位於公共IP的DMZ段的主機。你可能會記得ISA Server 2000需要使用DMZ網段的公共位址。ISA Server 2000DMZ網段需要使用公共IP,你不能使用私有位址因為ISA Server 2000防火牆路由(替代NAT)使用簡單的包過濾連線到DMZ網段(類似PIX)。與之對比,ISA Server 2004防火牆允許你在Internet和DMZ使用之間路由,或者NAT。事實上,ISA Server 2004防火牆允許你決定使用什麼方式進行連接:路由或者NAT。

如果你已經擁有一個具有多個使用公共位址的主機所建立的DMZ網段,而且因為如果他們位址架構的改變會影響到其他服務的改變如DNS服務等,你不希望改變他們的位址架構,此時,使用公共位址是必要的。你仍然想使用當前伺服器上的IP架構,這樣Internet主機可以使用過去一樣的IP位址(實際上,相同的DNS映射)來訪問DMZ主機。你可以通過ISA Server 2004來在Internet和包含你想發佈的伺服器的DMZ網段之間配置一個路由關係。

注意我加注了「Publish」。ISA Server 2004防火牆原則提供了兩種方式讓你可以控制通過防火牆的原則:Access Rules和Publishing Rules。訪問原則(Access Rules)可以加入到路由和NAT關係。發佈原則(Publishing Rules)總是對連接實行NAT,不過你是否使用公共位址網段或者在源主機和目的主機之間有路由關係。

如果這樣聽起來有點混淆,它是的。它在你按照ISA Server 2000方式,總是要對非信任主機和信任主機進行NAT的方法來實施時會特別混淆。在我們進入如何發佈位於公共位址網段的伺服器之前,先讓我們對新的ISA Server 2004網路模型的的一些方面進行介紹。

下圖顯示了我們這篇文章中使用的示例網路。下圖展示了一種Internet和DMZ網段之間的路由關係。當PocketPC PDA客戶連線到位於DMZ網段的伺服器,它用於建立連接的名字解析到DMZ主機的實際IP位址,在我們這個例子中是172.16.0.2。路由關係允許我們做DNS解析和儲存映射到DMZ主機到實際IP位址的DNS記錄。ISA Server 2004訪問原則讓DMZ主機對Internet客戶可見。
[img]http://www.isaservercn.org/pic/pubdmz/image003.jpg[img]

但是,你同樣可以使用發佈原則來對Internet用戶發佈位於DMZ的主機。在這個例子中,位於Internet的PocketPC PDA主機使用一個位於ISA Server 2004防火牆外部接頭的IP位址來訪問DMZ主機。注意,DMZ主機同樣也有一個公共IP。即使我們使用公共IP位址,因為使用發佈原則,也會執行NAT。這樣允許Internet主機連線到ISA Server 2004防火牆的外部接頭並且有效的隱藏DMZ主機的IP。這個NAT隱藏對於公開的伺服器是一種通用的安全方法。


[img]http://www.isaservercn.org/pic/pubdmz/image004.jpg[img]
注意在圖中DMZ主機使用的DNS伺服器的IP位址,172.16.0.1是DMZ接頭的IP位址。我們使用這個IP位址替代實際的DNS伺服器位址的原因是我們會發佈位於內部網路的DNS伺服器。DNS伺服器發佈原則會在DMZ接頭的IP位址上進行偵聽。你會在文章的後面配置細節中看到。

一個ISA Server 2000Web發佈的主要缺點是你會在發佈的Web伺服器log中記錄下ISA Server 2000防火牆的IP。這對於在日誌分析和報告軟體上花費了巨大投資的組織來說是一個問題。ISA Server 2004修復了這個問題並且允許你選項是將原始客戶IP位址或者ISA Server 2004防火牆的位址傳送到發佈的Web伺服器上。這個對於使用公共位址或者私有位址的DMZ中的Web和伺服器發佈都有效。


表中描述了ISA Server 2004允許遠端訪問到使用公共位址和私有位址的DMZ網段的行為:

 

表一 遠端訪問使用私有位址和公共位址的DMZ伺服器,NAT vs Route,訪問原則和發佈原則

位址架構、路由關係、規則類型
結果和描述

具有公共位址、路由關係和使用訪問原則的DMZ
這種配置允許你使用他們的實際IP位址連線到你的DMZ主機。位於發佈的伺服器上的Log文件將會顯示遠端主原來的IP位址。除非你建立一條訪問原則連線到一台位於DMZ網段的HTTP伺服器。在此例中,ISA Server 2004防火牆的IP位址將表現為源位址。這個可以通過在規則中禁止Web Proxy過濾器來禁止。

具有公共位址、路由關係和使用發佈原則的DMZ
這種配置需要你通過連接ISA Server 2004防火牆的外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將會是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。

具有公共位址、NAT關係和使用訪問原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。

具有公共位址、NAT關係和使用發佈原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。熟悉的話?J

具有私有位址、NAT關係和使用發佈原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。Yep,和上面的兩個一樣。


* 注意在所有的發佈原則配置中,連接是通過NAT。當你使用Web或者伺服器發佈時,沒有使用路由的場景。

我們對於這些結果是否關於Web Proxy過濾器啟用與否有些好奇,我們會在文章的後面探討這些行為。

在完成討論之前,我得提醒你在使用訪問原則替代發佈原則來允許訪問你的DMZ主機前將失去大量的安全性。ISA Server 2004比起PIX或者Netscrenn設備提供了很少的安全性。我們可能使用發佈原則的原因包括:

Web發佈原則允許你阻止用戶使用IP位址來替代FQDN來訪問DMZ主機的資源。許多蠕蟲使用IP位址來訪問伺服器,而不是FQDN。

Web發佈原則允許你配置自訂Web偵聽器,它提供了關於Exchange表單的認證、基本身份認證和RSA安全ID認證。

Web發佈原則允許你執行SSL到SSL的橋接。這樣阻止了在一個SSL隧道之間的攻擊者的隱藏注入,當使用SSL到SSL橋接,ISA Server 2004防火牆「解開」SSL隧道,把連接「暴露」在ISA防火牆的應用程式識別機制下,並且丟棄包含有隱藏注入或者其他可疑特性的連接。被ISA Server 2004認為是值得信任的連接將重新加密,並且通過建立在ISA Server 2004和發佈的Web伺服器之間的第二個SSL連接傳送到發佈的Web伺服器上。

伺服器發佈原則將進入的連接通過應用程式過濾器檢查以保護特定的服務。例如包含SMTP過濾器將阻止緩衝區溢出攻擊,DNS過濾器阻止許多DNS注入攻擊,POP3過濾器阻止POP3緩衝溢出。如果你使用訪問原則來發佈來發佈具有公共IP位址的DMZ主機,應用程式過濾器將不會保護它們。

如果你使用訪問原則發佈位於公共位址DMZ區域的Web伺服器,你仍然受到HTTP安全過濾器的保護。HTTP安全過濾器對所有通過ISA Server 2004防火牆的HTTP通信提供非常深入的應用程式層識別。HTTP安全過濾器允許你粒度控制和關於每條規則進行配置。所以你不需要堅持為ISA Server 2004防火牆的所有原則設定一個HTTP安全原則。這是和過去的關於URLScan方法的HTTP通信過濾的巨大躍變(ISA Server 2000中使用URLScan來進行HTTP識別)。

文章的剩餘部分將描述如何使用訪問原則來發佈使用公共IP位址的DMZ主機。這種方式允許你繼續使用你伺服器使用的公共ip,並且在繼續使用ISA Server 2004防火牆的應用程式過濾之間進行平衡。不像傳統的關於包過濾的防火牆(PIX、Netscreen、SonicWall等等),ISA Server 2004防火牆對通過防火牆的所有通信執行過濾和套用層識別,這樣比起市場上的其他防火牆提供了更進階別的保護和控制。


http://www.isaservercn.org/pic/pubdmz/image002.jpg


為了達到我們的目標,你需要執行以下步驟:

配置上游路由器的路由表;

配置網路接頭;

安裝ISA Server 2004防火牆軟體;

在DMZ伺服器上安裝和配置IIS WWW和SMTP服務;

配置DMZ網路;

在DMZ和外部網路之間、DMZ和內部網路之間建立網路規則;

建立一個伺服器發佈原則以允許DMZ傳送DNS請求到局內網;

建立一個訪問原則以允許局內網向外網傳送DNS請求;

建立一個訪問原則以允許外網向DMZ傳送HTTP請求;

建立一個訪問原則以允許外網向DMZ傳送SMTP請求;

測試從外網到DMZ的訪問原則;

通過修改訪問原則禁止Web Proxy filter來允許外網向DMZ傳送資料。


配置上游路由器的路由表

我見過的ISA防火牆管理的最一般的問題是在上游路由器的路由表中把DMZ網段和其他網段放在一起。當你建立一個公共位址的DMZ網段,你需要對你的公共外網位址進行子網劃分,然後分配一個子網給DMZ網段。你可以綁定第一個分配給DMZ網段的有效的IP位址給DMZ接頭,然後分配另外子網的第一個有效IP位址給公共外網接頭。

這就是許多ISA防火牆管理員停止和出現問題的地方。你需要在上游路由器上配置DMZ網段的路由。你可以通過配置路由器使用ISA Server 2004防火牆的外部接頭位址作為DMZ網段網路ID的網路閘道位址。如果在上游路由器上丟失了這條路由項,那麼對於DMZ網段,沒有主要的進入連接、也沒有對進入連接的回應、通信的出入可以正常工作。

在我們在這篇文章中使用的實驗網路中,外部網路主機和ISA Server 2004防火牆的外部接頭具有相同的網路ID192.168.1.0/24。ISA Server 2004防火牆的外部IP位址是192.168.1.70,外部主機將使用和它相同網路ID的IP位址。DMZ網段使用網路ID 172.16.0.0/16。因此,在這篇文章中我們使用的Windows XP外部網路主機中,我配置了一個路由項來告訴它使用ISA Server 2004防火牆的外部接頭IP位址來到達網路172.16.0.0/16。我執行了以下指令:

 

route add 172.16.0.0 MASK 255.255.0.0 192.168.1.70

 

注意:這個例子中沒有使用公共外網位址塊的子網。在生產環境中,你可能會對你的公共位址塊進行子網劃分和在ISA Server 2004防火牆的上游路由器上為你的DMZ子網段建立對應的路由項。這意味著你必須得控制你的上游路由器,由於ISP的關係,這讓公共位址的DMZ網段成為了難確定的一點。


 

配置網路接頭

網路接頭配置通常是ISA Server 2000管理員的爭論焦點,並且我期望它能繼續成為ISA Server 2004管理員的爭論焦點。關於這個問題,有許多原因,主要的原因是你是否架設你的DNS服務。

對於ISA Server 2004防火牆來說,DNS是一個至關重要的服務,因為防火牆可以為Web Proxy和防火牆客戶代理名字解析。ISA Server 2004防火牆使用它接頭上的DNS設定來詢問合適的DNS伺服器。如果你配置了錯誤的DNS伺服器,那麼你將會體驗緩慢的名字解析,或者根本不能解析名字,給予最終用戶ISA Server 2004防火牆不能工作的印象。

我們可以使用以下的指導方法把ISA Server 2004防火牆正確的DNS配置進行摘要:

如果你在內部網路中擁有DNS伺服器,你應該配置這個DNS伺服器支持Internet的主機名字解析;

如果你不選項讓你的局內網DNS伺服器執行Internet名字解析,你可以考慮在ISA Server 2004防火牆或者DMZ網段上放置一個快取式DNS伺服器。

如果你選項在DMZ網段放置一個為你可以公開訪問的域進行授權的DNS伺服器,不要允許這個DNS伺服器解析DNS名字。它的意思是,你授權的DNS伺服器應該只是對你架設的域解析進行解析,在用戶想通過它解析其他域名時會返回一個錯誤。

如果你不想架設你自己的DNS伺服器而且不想在局內網裡面使用DNS服務,那麼配置ISA Server 2004防火牆使用公眾的DNS伺服器,例如你ISP的DNS伺服器。注意這個配置在進行內部名字解析與在Web Proxy和防火牆客戶端進行連接時將導致問題。因此,你應該為沒有建立DNS基礎結構的SOHO環境選項另外一種防火牆。但是,如果你具有SOHO環境而且具有DNS伺服器,ISA Server 2004防火牆是保護你公司資產的理想防火牆。

永遠不要在已經配置了內部DNS伺服器位址的網路接頭上再配置公眾的DNS伺服器位址。

DNS伺服器位址應該在網路和撥號連接視窗的列表最頂端的接頭上配置。例如,如果你有三個接頭的ISA Server 2004防火牆:一個DMZ接頭,一個內部接頭和一個外網接頭。那麼內部接頭應該是在列表最頂端並且DNS伺服器IP應該配置在這個接頭上。在你使用局內網DNS伺服器、DMZ DNS伺服器、外網DNS伺服器時,這是要值得注意的。

如果你不能理解這些規則,詢問理解了的人。DNS設定非常重要,並且如果ISA Server 2004防火牆的DNS設定不正確,你將體驗非常難偵錯的連通性問題,並且它會給你「ISA Server 2004防火牆不能工作」的壞印象。

最後一條:在發佈你的公共位址的DMZ主機到Internet之前,正確的安排你的DNS伺服器順序。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:40 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

安裝ISA Server 2004防火牆軟體

在處理完DNS之後,我們就可以安裝ISA Server 2004防火牆軟體了。至於安裝說明,可以在本站http://www.isaservercn.org/info/info...ssid=&infoid=8 找到。

 

 

 

安裝和配置IIS WWW和SMTP服務

在這篇文章中我們將把一台Windows Server 2003電腦放置在公共位址的DMZ中。這台電腦將安裝IIS 6.0 WWW和SMTP服務,我們使用訪問原則來發佈它們。在生產環境中,根據你的需要,可能還會有前端的Exchange發佈OWA、OMA、RPC over HTTP等服務。在DMZ網段中的主機使用有效的DMZ子網塊的IP位址。發佈的DMZ主機使用ISA Server 2004防火牆的DMZ接頭作為它的預設網路閘道。DMZ主機不能使用內部網路的IP位址作為它的預設網路閘道,因為它沒有訪問內部網路的權限,除非我們給予它這個權限但是我們不會這樣做。

DMZ主機網路接頭的DNS伺服器位址是ISA Server 2004防火牆DMZ接頭的IP位址。因為我們將在DMZ網段和內部網路之間配置NAT關係並且一個伺服器發佈原則將把DNS伺服器發佈到DMZ接頭的IP位址上。

內部網路DNS伺服器已經為解析Internet主機名做好了配置。這個在你想使用DMZ網段的SMTP服務作為SMTP中繼時很有效。SMTP中繼需要為每個出去的郵件解析域名的MX記錄並且這樣它可以使用內部網路的DNS伺服器完成這一點。

 

 

建立DMZ網路

 

當位於DMZ的伺服器配置以後,我們現在可以進入ISA Server 2004管理控制台來建立DMZ區域。首先是建立DMZ網路,ISA Server 2004防火牆需要指導這個網路中使用的IP位址和它連線到其他網路時的路由關係。在我們當前的例子中,DMZ網路將會命名為DMZ,並且我們將分配給它所屬網路ID的整個IP位址範圍。在生產環境中,你需要包含你為DMZ網段建立的子網塊的所有IP位址。

重要提示:

你或許會注意到ISA Server 2004原有的的網路範本可以簡化多網路(DMZ)環境下的配置。但是,我不推薦你使用這些範本,因為它們假設在你的網路之間具有路由關係,而且要求你非正式的配置防火牆訪問原則。這個不能被ISA Server 2004的初學者很好的理解。我已經看到了許多因為使用網路範本導致的網路配置問題。它們這些問題可以通過使用手動設定防火牆來避免。通過避免使用這些網路範本,你可以確定你擁有一個安全的配置而且你的防火牆配置和訪問原則正好符合你的需求。

 

執行以下步驟來建立DMZ網路:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展開伺服器,然後展開 Configuration ,點擊 the Networks 。

2. 在 Networks ,在細節面板中點擊 Networks 標籤,在 Tasks 標籤,點擊 Create a New Network 。

3. 在 Welcome to the New Network Wizard 頁,在Network name文本框中輸入一個名字,此例中我們命名為DMZ,點擊 Next。

4. 在 Network Type 頁,選項 Perimeter Network ,點擊 Next。

http://www.isaservercn.org/pic/pubdmz/image005.gif

5. 在 Network Addresses 頁,點擊 Add Adapter 按鈕。

6. 在 Select Network Adapters 對話視窗,勾選DMZ 網路接頭。注意你可以直接勾選而不需要選項網路橋接器先。但是,如果你不選項網路橋接器,你不能在Network Interface Information看見正確的資訊。點擊 OK。

http://www.isaservercn.org/pic/pubdmz/image006.gif

7. 在Network Addresses 頁點擊 Next 。

8. 在Completing the New Network Wizard頁回顧你的設定,然後點擊 Finish。

在DMZ和外部網路之間、DMZ和內部網路之間建立網路規則

現在DMZ網路已經定義好了,下一步是配置DMZ網路和內部網路、Internet(外部網路,除了已定義網路的任何網路)之間的路由關係。

在我們的例子中,我們想在DMZ網路和Internet網路之間是路由關係,在DMZ網路和內部網路之間是NAT關係。這允許我們使用訪問原則來允許外部主機訪問DMZ網段和一個伺服器發佈原則來隱藏內部網路的DNS伺服器的IP位址。注意就算是我們在DMZ和內部網路之間使用路由關係,我們也可以建立一個伺服器發佈原則來允許DMZ主機訪問內部網路的DNS伺服器。至關重要的是我們使用伺服器發佈原則來替代訪問原則,這樣我們可以讓DNS過濾器保護內部網路的DNS伺服器。

執行以下步驟來建立網路規則控制DMZ網路和Internet之間的路由關係:

1. 在左面板的Networks 節點,點擊細節面板的Network Rules標籤。點擊工作面板Tasks標籤中的 Create a New Network Rule 連接。

2. 在 Welcome to the New Network Rule Wizard 頁,在Network rule name文本框中輸入名字,在此例中我們輸入DMZvsExternal,點擊 Next。

3. 在Network Traffic Sources 頁,點擊 Add 按鈕。

4. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後點擊 DMZ 網路,然後點擊 Close。

5. 在 Network Traffic Sources頁上點擊 Next 。

6. 在 Network Traffic Destinations 頁,點擊 Add 按鈕。

7. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後雙按 External,然後點擊 Close。

http://www.isaservercn.org/pic/pubdmz/image007.gif

8. 在Network Traffic Destinations 頁上點擊Next 。

9. 在Network Relationship 頁,選項Route 然後點擊 Next。

http://www.isaservercn.org/pic/pubdmz/image008.gif

10. 在Completing the New Network Wizard頁,回顧你的設定,然後點擊Finish。

下一步是建立DMZ和內部網路之間的路由關係,在這個例子中,我們選項NAT。執行步驟和上面的一樣,其中名字設定為DMZvsInternal,網路通信源選項為Internal,網路通信的目的地選項為DMZ,網路關係選項為NAT。


http://www.isaservercn.org/pic/pubdmz/image009.gif

建立一個伺服器發佈原則以允許DMZ傳送DNS請求到局內網

DMZ主機需要解析Internet主機名字。例如在DMZ主機需要通過名字和Internet的主機建立連接的時候,如SMTP中繼服務。

我們在這個例子中使用伺服器發佈原則所以DNS過濾器可以套用到從DMZ主機到內部網路中DNS伺服器的訪問。

執行以下步驟以建立伺服器發佈原則:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,點擊 Firewall Policy ,在工作面板,點擊Tasks 標籤,然後點擊 Create a New Server Publishing Rule 連接。

2. 在 Welcome to the New Server Publishing Rule Wizard 頁,在Server publishing rule name 文本框中輸入名字,在此例中,我們命名為 Publish Internal DNS Server,點擊 Next。

3. 在 Select Server 頁,輸入內部網路DNS伺服器的IP位址,在這個例子中是10.0.0.2,輸入後點擊 Next。

4. 在 Select Protocol 頁,在Selected protocol 列表中選項 DNS Server 傳輸協定,點擊 Next。



5. 在 IP Addresses 頁,勾選 DMZ ,這指出伺服器發佈規則將在哪個接頭上偵聽通往內部DNS伺服器的連接請求。點擊 Next。



6. 在Completing the New Server Publishing Rule 頁回顧設定,然後點擊Finish。

 

 

建立一個訪問原則以允許局內網向外網傳送DNS請求

內部DNS伺服器需要通過查詢Internet的DNS伺服器來解析Internet主機名。我們可以建立一個DNS訪問原則將允許內部網路的DNS伺服器使用DNS傳輸協定訪問Internet DNS伺服器。執行以下步驟:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,點擊左面板的 Firewall Policy 。

2. 在工作面板中點擊 Tasks 標籤,然後點擊 Create New Access Rule 連接。

3. 在 Welcome to the New Access Rule Wizard 頁,在 Access Rule name 文本框中輸入一個名字,在此例中,我們命名為Outbound DNS Internal DNS Server,點擊Next。

4. 在 Rule Action 頁,選項 Allow 然後點擊,Next。


http://www.isaservercn.org/pic/pubdmz/image010.gif
5. 在 Protocols 頁,從This rule applies to 列表中選項 Selected protocols 項,點擊Add 按鈕。


http://www.isaservercn.org/pic/pubdmz/image011.gif
6. 在 Add Protocols 對話視窗,點擊Common Protocols 目錄,然後雙按 DNS 項,點擊 Close。

7. 在Protocols 頁上點擊 Next 。

8. 在 Access Rule Sources 頁,點擊 Add 按鈕。

9. 在 Add Network Entities 對話視窗,點擊 New 按鈕,點擊 Computer 項。

10.在 New Computer Rule Element 對話視窗,在Name 文本框中輸入電腦的名字,在此例中,我們輸入 Internal DNS Server,在 Computer IP Address 文本框中,輸入內部網路DNS伺服器的IP,此例中是10.0.0.2,點擊OK。

11. 在 Computers 目錄下雙按 Internal DNS Server 項,點擊 Close。

12. 在 Access Rule Sources 頁,點擊 Next。

13. 在 Access Rule Destinations 頁,點擊 Add 按鈕。

14. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後雙按 External 項,點擊 Close。

15. 在Access Rule Destinations 頁點擊 Next 。

16. 在 User Sets 頁,接受預設設定點擊Next。

17. 在Completing the New Access Rule Wizard 頁回顧設定,然後點擊Finish。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:45 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

建立一個訪問原則以允許外網向DMZ傳送HTTP請求

下一步是建立一個訪問原則來允許外網向DMZ主機傳送HTTP請求。當你沒有從Web發佈原則提供的完全的防火牆特性集中受益,這個選項允許你把Web伺服器的實際IP保留在Internet之上,而且HTTP安全過濾器仍然套用到了這個訪問原則上。HTTP安全過濾器的基本配置提供了一個很好級別的保護,你可以自訂HTTP安全過濾器來對你使用訪問原則發佈的為Web伺服器提供增強級別的保護。

執行步驟和上面的一樣,不同的地方:

規則命名為Inbound to DMZ Web Server,傳輸協定只選項HTTP,

http://www.isaservercn.org/pic/pubdmz/image012.gif

源網路選項為External ,目的地為新增一個Computer 項,命名為DMZ Web Server,IP為發佈的DMZ Web伺服器的電腦IP位址(在這個例子中,是172.16.0.2)。

 



 
http://www.isaservercn.org/pic/pubdmz/image013.gif
 

 

建立一個訪問原則以允許外網向DMZ傳送SMTP請求

現在Web伺服器已經發佈了,我們將建立一個訪問原則以發佈位於DMZ網路的SMTP伺服器。執行步驟如上,不同的地方:

原則命名為Inbound to DMZ SMTP Server,傳輸協定選項為SMTP,源網路為External ,目的地為DMZ Web Server(此例中SMTP和Web服務位於同一台伺服器上)。

http://www.isaservercn.org/pic/pubdmz/image014.gif

 

點擊Apply儲存修改並且更新防火牆原則,在Apply New Configuration 對話視窗上點擊OK 。


http://www.isaservercn.org/pic/pubdmz/image015.gif
 

你的防火牆原則應該如下圖所顯示,

http://www.isaservercn.org/pic/pubdmz/image016.gif




測試從外網到DMZ的訪問原則

現在我們來測試訪問原則,執行以下步驟來完成測試:

1. 在外部主機上開啟Web瀏覽器,然後輸入DMZ Web伺服器的IP位址。在這個例子中,DMZ Web伺服器的IP位址是172.16.0.2,所以我們在Web瀏覽器的位址欄中輸入http://172.16.0.2然後Enter鍵。

2. IIS Web站點的預設頁面將會顯示。在這個例子中,我們沒有指定一個特性的預設頁,所以我們看見Under Construction 頁(註:正在建設中),這個表明允許訪問DMZ 站點的訪問原則工作正常。

3. 現在,讓我們看看Web站點的log文件。開啟對應的日誌文件(C:\WINDOWS\system32\LogFiles\W3SVC1目錄下),你可以看見如下圖顯示的資訊。注意高亮的項,它指出在Web伺服器日誌中記錄下了源IP位址。在這個例子中,源IP是ISA Server 2004防火牆的DMZ接頭的IP位址。這不是讓我們可疑的,原因是Web Proxy過濾器自動和HTTP傳輸協定聯繫到了一起。我們可以後文章的後面看到如何禁止Web Proxy過濾器。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 05:47:14

2004-06-18 05:56:21 172.16.0.2 GET /iisstart.htm - 80 - 172.16.0.1 Mozilla/4.0+ (compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

2004-06-18 05:56:25 172.16.0.2 GET /pagerror.gif - 80 - 172.16.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

4. 接下來,到位於DMZ的Web Server上,開啟Internet Information Services (IIS) Manager 控制台。

5. 在 Internet Information Services (IIS) Manager 控制台,右擊 Default Virtual SMTP Server 然後點擊 Properties。在 General 勾選 Enable Logging ,點擊 Apply 然後點擊 OK。

6. 在外部電腦上,開啟一個命令提示字元,輸入 telnet 172.16.0.2 25 然後Enter鍵;

7. 你可以看見SMTP服務的資訊,輸入 help 然後Enter鍵,你可以看見伺服器支持的一些指令,然後輸入quit 中斷連線。

http://www.isaservercn.org/pic/pubdmz/image017.gif

8. 進入到DMZ主機的 C:\WINDOWS\system32\LogFiles\SMTPSVC1 目錄,開啟對應的日誌文件。你可以看到如下的一些資訊。這是訪問DMZ SMTP服務的外部主機IP。在這個例子中顯示的是原始的客戶IP資訊,因為沒有應用程式過濾器處理了這個連接和使用ISA Server 2004防火牆的IP位址替換了原始的IP位址。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 06:07:22

#Fields: time c-ip cs-method cs-uri-stem sc-status

06:07:22 192.168.1.187 QUIT - 240

 

測試DMZ到內部網路的DNS規則

在前面一節中,我們證明了從Internet到DMZ主機的訪問原則控制工作正常。下一步我們驗證伺服器發佈原則允許DMZ主機正常的訪問內部網路的DNS伺服器。

執行以下步驟測試DNS伺服器發佈原則:

1. 在DMZ主機上開啟一個命令提示字元,輸入nslookup www.hotmail.com 然後敲Enter鍵。

2. 你將會看到下圖的結果。注意我們先觸發了Publish Internal DNS Server 原則,然後觸發了Outbound DNS Internal DNS Server 原則。這樣顯示了DMZ查詢了網路的DNS伺服器,並且局內網的DNS伺服器查詢了Internet的DNS伺服器來解析這個名字。

http://www.isaservercn.org/pic/pubdmz/image018.gif[/imgl]<br />
<br />
3. 你可以在既時監控中看到如下圖顯示的內容<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image019.gif[/imgl]<br />
通過修改訪問原則禁止Web Proxy filter來允許外網向DMZ傳送資料<br />
<br />
你可能希望在你使用訪問原則發佈的Web伺服器中看見原始的IP位址資訊,而不是看見ISA Server 2004的外部接頭的IP位址。當你使用訪問原則,你可以通過禁止Web Proxy filter來達到這一目的,這個可以通過修改你在前面建立的HTTP訪問原則來實現。<br />
<br />
執行以下步驟:<br />
<br />
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,右擊 Inbound to Web Server 原則,然後點擊 Properties。<br />
<br />
2. 在 Inbound to Web Server Properties 對話視窗,點擊 Protocols 標籤。<br />
<br />
3. 在 Protocols 標籤,點擊Protocols 列表中的HTTP項,然後點擊 Edit 按鈕。<br />
<br />
<br />
<br />
4. 在 HTTP Properties 對話視窗,點擊 Parameters 標籤,在 Parameters 標籤,不要勾選Application Filters 框中的Web Proxy Filter ,然後點擊 Apply 再點擊 OK。<br />
<br />
5. 在Inbound to Web Server Properties 對話視窗中點擊 OK 。<br />
<br />
6. 點擊Apply 儲存修改並更新防火牆原則。<br />
<br />
7. 在Apply New Configuration 對話視窗中點擊OK 。<br />
<br />
現在我們再重新連接一下Web站點:<br />
<br />
1. 在外部客戶電腦上開啟Web瀏覽器,然後在位址欄中輸入http://172.16.0.2 ,然後敲Enter鍵。<br />
<br />
2. 顯示出了 Under Construction (正在建設中)頁。按住 CTRL 鍵,然後點擊Refresh 按鈕。<br />
<br />
3. 回到DMZ的Web伺服器,然後開啟對應的日誌文件,你可以看見如下面所顯示的一些資訊,注意,顯示的是實際的客戶IP資訊。<br />
<br />
[img]http://www.isaservercn.org/pic/pubdmz/image020.gif


#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 07:42:37

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

2004-06-18 07:42:37 172.16.0.2 GET /iisstart.htm - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

2004-06-18 07:42:37 172.16.0.2 GET /pagerror.gif - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

當通過禁止Web Proxy過濾器來解決了使用訪問原則發佈Web伺服器的源IP位址問題後,你也對所有的不是通過Web Proxy產生的Web通信失去了安全過濾特性。它的意思是如果SecureNAT 和 Firewall clients發起的HTTP通信不會經過Web Proxy filter 的處理,它們將不能從Web Proxy快取和其他特性中受益。此外,可能還對Web發佈原則有一些意料不到的影響。也許是我在此胡說,因為我還沒有完全的測試完禁止Web Proxy filter後對於HTTP傳輸協定的影響。:-)

另外一個可以選項的方法是建立你自己的傳輸協定定義,定義出去的TCP 80。你可以通過訪問原則來使用自訂傳輸協定來發佈DMZ HTTP伺服器。但是這樣的大問題是你沒有受到HTTP安全過濾和Web Proxy filter的保護。在這種情況下,你手中真正的需要一個PIX防火牆。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2004-07-16, 11:54 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

[新方法]用ISA server 2004發佈局內網非標準連接阜的FTP服務
大家都知道在ISA Server 2000上要發佈局內網非標準連接阜的FTP服務是很麻煩的,那ISA SERVER 2004又如何呢?ISA SERVER 2004會帶給你不斷的驚喜,它只需要簡單幾步就可以了。下面來看看怎樣在ISA SERVER 2004上發佈非標準連接阜的FTP服務。假設要發佈的FTP服務位於Internal網路中(局內網),它的IP是150.0.1.42,服務連接阜是2121,發佈步驟如下:

第一步:在ISA2004管理視窗中,右擊firewall policy,選項新增Server publishing rule,給此發佈規則取個名字比如FTP SERVER 2121,在下一步select server視窗中填入FTP伺服器的IP,這裡是150.0.1.42,如圖1:

http://www.isaservercn.org/pic/newpub21/image001.jpg

第二步:然後在「select protocol」視窗選項「FTP SERVER」傳輸協定,如圖2,

http://www.isaservercn.org/pic/newpub21/image002.jpg

這一步還沒有完,最重要的在後面,點擊圖2中的Ports按鈕,在彈出的視窗中按圖3設定,

http://www.isaservercn.org/pic/newpub21/image003.jpg<br />
<br />
即firewall ports下選項「publish on this port instead of the default port」,在「port」中填入ISA要監聽的連接阜,這裡是2121,當然也可以填其他連接阜,比如21,只是當FTP客戶端要訪問時連接這裡的連接阜就行了;然後在published server ports下的「send requests to this port on the published server」欄填入局內網FTP伺服器使用的連接阜,這裡是2121。<br />
<br />
第三步:在「IP Address」視窗選項ISA將在什麼網路的什麼IP上監聽傳入的FTP請求,通常都是在外部接頭上進行監聽,勾選第一項「External」項,然後點擊右邊的ADDRESS按鈕,進入新視窗可以選項監聽的IP(我這裡保持預設),如圖4,5。大家注意到沒有,在圖5里我們不必再像ISA2K的server publishing必須指定一個特定的外部接頭IP位址,而可以籠統的選項所有的外部接頭位址,這樣那些使用ADSL等動態接入英特網的朋友就方便了,再也用不著每撥一次號就要修改一次發佈規則。<br />
<br />
<br />
[img]http://www.isaservercn.org/pic/newpub21/image004.jpg

http://www.isaservercn.org/pic/newpub21/image005.jpg

第四步:右擊此發佈規則,然後選項configure FTP,取消「Read Only」項,只有取消這個選項,FTP客戶端才可以上傳,如果你只想發佈一個download only的FTP伺服器,那就選「Read Only」項。

另外你還可以右擊此發佈規則進入其內容視窗設定FTP服務的開放時段。

通過上面的方法發佈後,FTP客戶端可以任意使用PORT或PASV模式進行上傳下載。如果FTP客戶端在防火牆後,你需要進行相關配置讓能夠外出訪問非標準連接阜的FTP服務,比如在ISA 2K後,在這裡應該開放TCP 2121連接阜及相應PASV使用的連接阜範圍,並使用FWC。在防火牆後PORT模式可能不能使用,這是客戶端防火牆的事,不關發佈方的ISA 2004。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
Windows server 2003設置使用必備技巧 sgpsdavid 作業系統操作技術文件 5 2004-09-02 05:41 PM
ISA Server安裝和佈署FAQ psac 網路軟硬體架設技術文件 0 2004-06-01 03:04 PM
ISA SERVER2000 學習筆記 psac 網路軟硬體架設技術文件 2 2003-11-25 08:56 AM
如何架設CS伺服器  psac 網路軟硬體架設技術文件 0 2003-07-24 01:13 AM
ISA SERVER2000 學習筆記 psac 作業系統操作技術文件 0 2003-05-18 04:33 AM


所有時間均為台北時間。現在的時間是 05:18 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1