ISA FAQ之一：如何利用ISA Server進行內部web伺服器的發佈

psac · 2004-02-26, 04:20 AM

如何利用ISA Server進行內部web的發佈
由於是春節期間，我沒有太多的時間進行比較直接的設定，我只是在這裡給大家來講一個比較清楚的思路程序。就當是我送給大家新年禮物吧。

1.ISA中關於DNS的解析程序比較複雜，考慮大家一般都是使用ip位址進行內部web server訪問的，所以我下面講的都是關於ip位址的配置。

2.首先ISA 對內部lan中訪問internet的訪問都認為是Outgoing Requests；對外部訪問內部web or ftp server的訪問都認為是Incoming Requests。因此我們需要察看isa 中Incoming Requests的連接埠是多少。這裡假設是8088。

3.找到連接埠號以後，就要在protocol definition中增加一個新的傳輸協定。這裡我主要是訪問內部web，所以我命名為「Lan web server」，port number就填寫剛才找到的Incoming Requests連接埠號，傳輸協定選項TCP。

Direction選項「Inbound」。當詢問你是否要使用第2個連接時。選NO。然後就ok了。

4.再回到Publishing下，先來配置server publishing rules。新增立一個rule。

名字起為「test inbound server」當要求你填寫ip address of internal server時，填寫你需要別人訪問的內部web server的ip位址（假設為192.168.0.200）；External IP address on ISA server就填寫你在internet上或電信局分配給你的ip位址，（假設為202.100.111.111），注意這個外部的ip位址一定要是可以用的，因為internet上的用戶就是通過這個位址來訪問你的內部web server。

接下來會出現一個下拉框，要你選項Apply the rule to this protocol。我們這時候就選項步驟3中剛剛建立的「Lan web server」；當詢問你apply the rule to requests from的時候，選項「any request」，這樣server publishing rules就配置好了。

5.接下來，就需要配置web publishing rules了。同樣isa server會問你如下的問題。

Q: apply this rule to

A: all destinations

Q:Apply the rule to requests from

A:any request

Q:Response to client requests：

A:Redirect the request to this internal web server （也就是剛才設定的192.168.0.200那台機器）

好了，所有的設定都完畢了，接下來你就可以用外部的ip位址來訪問內部web server了。也就是我們剛才設定的這個位址：「http://202.100.111.111：8088」

psac · 2004-02-26, 04:26 AM

Q:
ISA SERVER裡面QQ的Protocol Definitions設定
和QQ通信網站上MS PROXY 2.0的設定不一樣了....

A:
Protocol Definitions中定義一個傳輸協定，譬如說就QQ吧！
然後在Primary Connection的參數中如下：Port Number:8000
Portocol Type:UDP
Direction:SEND
Secondary Connection的參數：

Port Range:4000~7999
Protocol Type:UDP
Direction:RECEIVE

這裡通過，300用戶級別的，很穩定！

psac · 2004-02-26, 04:43 AM

配置isa2000+rras的vpn同時支持局內網和外網...

說到配置isa2000+rras作為單獨的vpn撥入服務器來使用.效果不錯.但是有個問題..

就是播到isa2000+rras的vpn後,網際網路就不能ok了...原因是預設網關的問題...通過下面的方法來解決..一次性的解決..

isa2000上的設定...
comm(comm)內容>internet 傳輸協定 (tcp/ip)>允許遠方的呼叫區域網路連接
tcp/ip位址分配
指定tcp/ip位址
192.168.254.0
192.168.254.253
總計254
允許呼叫的電腦指定位址(打句)

=================================
客戶端的處理方法...(www)

www 內容>一般>使用下面IP位址>192.168.254.12>高階>一般
在遠方網路預設的網關(U)(不句取)
然後手動在客戶端加靜態路由..

我有兩個網段,所以我加兩個靜態路由..

C:\>route -p add 192.168.1.0 mask 255.255.255.0 192.168.254.12

C:\>route -p add 192.168.5.0 mask 255.255.255.0 192.168.254.12

ok搞定..vpn+上網兩不誤..

不過這樣對安全不利..

因為萬一你的client被黑..那麼你的公司的內部資料就可以通過vpn外流了...

所以慎重考慮是否實施這個方法.

psac · 2004-02-26, 04:50 AM

Q:
為什麼我的ISA不能用secure NAT client上網？
A:
設定錯誤唄，還能為什麼？
1。網關指向代理伺服器，這個應該不用再提了；

2。DNS位址，通常填代理伺服器的位址，這裡有些人會發生問題，因為許多人通常會在ISA伺服器上安裝DNS伺服器，由於DNS伺服器會在ISA的DNS轉發器之前截取UDP53連接埠的通訊，因此，需要在DNS伺服器上啟用轉發器。
當然，工作站的DNS位址也可以設ISP的DNS伺服器，但當工作站需要登入伺服器的時候，會造成登入時間延長的問題。這是因為windows的名稱解析順序是先DNS後WINS，工作站登入的時候會根據DNS位址的設定在ISP的伺服器中搜尋你的伺服器的名稱，當然是找不到的，就是多耗了這段時間。
因此，DNS位址還是指向代理伺服器好一點。

3。雖然ISA在protocol definitions中預定義了許多傳輸協定，但它不可能把所有軟體的傳輸協定和連接埠都包含進去，對於沒有進行預定義的應用程式，需要手工在protocol definition中增加，增加後注意要讓該傳輸協定在protocol rules中是allow的。
如何尋找這些應用程式的傳輸協定和連接埠呢，可以使用netstat指令和個人防火牆譬如天網來搜尋。

4。ISA的NAT客戶是不能自動撥號的，需要等待其它兩種客戶端觸發撥號後才能上網。這是因為自動撥號的設定在network configuration->routing->default rule的action標籤中，只有web proxy client和firewall client才能觸發撥號。
Q:

我的DNS伺服器和ISA伺服器裝在一台伺服器上，是否是設定DNS轉發器為轉發到本機IP？

A:
轉發器填的是ISP的DNS伺服器位址。

psac · 2004-02-26, 05:11 AM

如何利用ISA限制檔案類型訪問

不要用ISA預設的content group原則,這個原則有問題.使用後會把其他允許通過的ip包block掉.

1.你首先安裝一個分析ip包的工具,如IRIS or Sniffer pro.
2.如果你要限制客戶端機下載.exe的文件,你就用ip包分析工具,分析下載的exe的文件的包頭信息,找到資料包類型後,記下來.
3.在ISA中新增加一個content group,把你用ip分析工具得到的ip包信息輸入到要填寫的地方.
4.然後再用ISA的原則套用到你新增立的content group上,block掉該exe檔案類型的ip訪問.
5.如果要限制其他的類型,重複步驟1,2,3.

按照上面的操作你就可以實現控制流量的目的.其實,ISA的流量控制的確很好,但是並不適合我們的國情---因為我們這裡上internet的速度並不高,一般情況都在2mb左右;而國外的大公司的速度至少都是10MB.所以這個原則起的作用並不明顯.在國內,控制文件的類型訪問就可以,你想想,如果你只能訪問.html的資料,那你流量等大到哪裡去?

ps:這個是幾個常用的content group.
.exe : application/octet-stream
.zip : application/x-zip-compressed
.rm .ram : application/vnd.rn-realmedia

File Name Extension MIME Type
.hta application/hta
.isp application/x-internet-signup
.crd application/x-mscardfile
.pmc application/x-perfmon
.spc application/x-pkcs7-certificates
.sv4crc application/x-sv4crc
.bin application/octet-stream
.clp application/x-msclip
.mny application/x-msmoney
.p7r application/x-pkcs7-certreqresp
.evy application/envoy
.p7s application/pkcs7-signature
.eps application/postscript
.setreg application/set-registration-initiation
.xlm application/vnd.ms-excel
.cpio application/x-cpio
.dvi application/x-dvi
.p7b application/x-pkcs7-certificates
.doc application/msword
.dot application/msword
.p7c application/pkcs7-mime
.ps application/postscript
.wps application/vnd.ms-works
.csh application/x-csh
.iii application/x-iphone
.pmw application/x-perfmon
.man application/x-troff-man
.hdf application/x-hdf
.mvb application/x-msmediaview
.texi application/x-texinfo
.setpay application/set-payment-initiation
.stl application/vndms-pkistl
.mdb application/x-msaccess
.oda application/oda
.hlp application/winhlp
.nc application/x-netcdf
.sh application/x-sh
.shar application/x-shar
.tcl application/x-tcl
.ms application/x-troff-ms
.ods application/oleobject
.axs application/olescript
.xla application/vnd.ms-excel
.mpp application/vnd.ms-project
.dir application/x-director
.sit application/x-stuffit
.* application/octet-stream
.crl application/pkix-crl
.ai application/postscript
.xls application/vnd.ms-excel
.wks application/vnd.ms-works
.ins application/x-internet-signup
.pub application/x-mspublisher
.wri application/x-mswrite
.spl application/futuresplash
.hqx application/mac-binhex40
.p10 application/pkcs10
.xlc application/vnd.ms-excel
.xlt application/vnd.ms-excel
.dxr application/x-director
.js application/x-javascript
.m13 application/x-msmediaview
.trm application/x-msterminal
.pml application/x-perfmon
.me application/x-troff-me
.wcm application/vnd.ms-works
.latex application/x-latex
.m14 application/x-msmediaview
.wmf application/x-msmetafile
.cer application/x-x509-ca-cert
.zip application/x-zip-compressed
.p12 application/x-pkcs12
.pfx application/x-pkcs12
.der application/x-x509-ca-cert
.pdf application/pdf
.xlw application/vnd.ms-excel
.texinfo application/x-texinfo
.p7m application/pkcs7-mime
.pps application/vnd.ms-powerpoint
.dcr application/x-director
.gtar application/x-gtar
.sct text/scriptlet
.fif application/fractals
.exe application/octet-stream
.ppt application/vnd.ms-powerpoint
.sst application/vndms-pkicertstore
.pko application/vndms-pkipko
.scd application/x-msschedule
.tar application/x-tar
.roff application/x-troff
.t application/x-troff
.prf application/pics-rules
.rtf application/rtf
.pot application/vnd.ms-powerpoint
.wdb application/vnd.ms-works
.bcpio application/x-bcpio
.dll application/x-msdownload
.pma application/x-perfmon
.pmr application/x-perfmon
.tr application/x-troff
.src application/x-wais-source
.acx application/internet-property-stream
.cat application/vndms-pkiseccat
.cdf application/x-cdf
.tgz application/x-compressed
.sv4cpio application/x-sv4cpio
.tex application/x-tex
.ustar application/x-ustar
.crt application/x-x509-ca-cert
.ra audio/x-pn-realaudio
.mid audio/mid
.au audio/basic
.snd audio/basic
.wav audio/wav
.aifc audio/aiff
.m3u audio/x-mpegurl
.ram audio/x-pn-realaudio
.aiff audio/aiff
.rmi audio/mid
.aif audio/x-aiff
.mp3 audio/mpeg
.gz application/x-gzip
.z application/x-compress
.tsv text/tab-separated-values
.xml text/xml
.323 text/h323
.htt text/webviewhtml
.stm text/html
.html text/html
.xsl text/xml
.htm text/html
.cod image/cis-cod
.ief image/ief
.pbm image/x-portable-bitmap
.tiff image/tiff
.ppm image/x-portable-pixmap
.rgb image/x-rgb
.dib image/bmp
.jpeg image/jpeg
.cmx image/x-cmx
.pnm image/x-portable-anymap
.jpe image/jpeg
.jfif image/pjpeg
.tif image/tiff
.jpg image/jpeg
.xbm image/x-xbitmap
.ras image/x-cmu-raster
.gif image/gif

這也是一個比較簡單容易的方法,但是有些資料包並不是一般的格式,而且flashget也並不能識別所有的檔案類型,因此,ip包分析工具是最保險的方式...呵呵.
Q:
我也是用sniffor 分析的！　這個很好用也準確！　不過我一直有一個問題，如何禁止客戶端上傳文件到一些ftp上呢？

A:
同時結合多種原則的定制。如content group+ clients set + protocol def

psac · 2004-02-26, 05:12 AM

一個匯入/匯出 ISA 配置的指令碼，很有用阿，把它存為vbs 就可以了
--------------------------------------------------------------------------------

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Copyright (c) 2001 Microsoft Corporation. All rights reserved.
'
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
'
' Notwithstanding the terms of the license accompanying this Product,
' this script is provided "as is" and Microsoft does not make any assurances
' with regard to the accuracy of this script or to the accuracy of any results
' which derive from the use of this script.
'
' Ernest Chen - MCS Socal
' Ver 1.0.24
'
' Jim Harrison - ISA QFE
' Ver 1.0.3
'
' History:
' 5/17/2003 - added Routing rules to the mix
'
' This script only functions with Standalone ISA Servers
'
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Dim ISA
Dim fso, f
Dim SourceName, TargetName
Dim Arrays
Dim Arr
Dim Elements
Dim NumCmdLineArguments

Const ForReading = 1, ForWriting = 2
Const DestinationTypeDomain = 0, DestinationTypeSingleIp = 1, DestinationTypeIpRange = 2
Const TCP = 0, UDP = 1
Const ERROR_ALREADY_EXISTS = 183

Function InputBoxAnswer(message,messagetitle,answerdefault)
IBAnswer = InputBox(message,messagetitle,answerdefault)
If IBAnswer = "y" Then
InputBoxAnswer = TRUE
Else
InputBoxAnswer = FALSE
End If
End Function

Function InitScriptFile()
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.CreateTextFile("ImportISASettings.vbs", True, True)
f.WriteLine "''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''"
f.WriteLine "'"
f.WriteLine "' Copyright (c) 2001 Microsoft Corporation. All rights reserved."
f.WriteLine "'"
f.WriteLine "' Notwithstanding the terms of the license accompanying this Product,"
f.WriteLine "' this script is provided ""as is"" and Microsoft does not make any assurances"
f.WriteLine "' with regard to the accuracy of this script or to the accuracy of any results"
f.WriteLine "' which derive from the use of this script."
f.WriteLine "'"
f.WriteLine "' Ernest Chen - MCS Socal"
f.WriteLine "' Ver 1.0.24"
f.WriteLine "'"
f.WriteLine "' Jim Harrison - ISA QFE"
f.WriteLine "' Ver 1.0.3"
f.WriteLine "'"
f.WriteLine "' History:"
f.WriteLine "' 5/17/2003 - added Routing rules to the mix"
f.WriteLine "'"
f.WriteLine "' This script only functions with Standalone ISA Servers"
f.WriteLine "'"
f.WriteLine "''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''"
f.WriteLine

Set ISA = CreateObject("FPC.Root")
ISA.Refresh

' Get inputs from user (if not in quiet mode, otherwise use command line argument)

' Source array name
Set Arr = ISA.Arrays.GetContainingArray

f.WriteLine "' This script imports policy elements, access policies, publishing and routing rules of source " & """" & Arr.Name & """" & " to the target array."
f.WriteLine
f.WriteLine "Const ERROR_ALREADY_EXISTS = 183"
f.WriteLine "Sub CheckError()"
f.WriteLine " On Error Resume Next"
f.WriteLine " If (Err.Number <> 0) And (Err.Number <> ERROR_ALREADY_EXISTS) Then"
f.WriteLine " MsgBox " & """" & "An error has occured:" & """" & " & vbCrLf & Err.Description & Err.Number"
f.WriteLine " WScript.Quit Err.Number"
f.WriteLine " End If"
f.WriteLine "End Sub"
f.WriteLine

f.WriteLine "On Error Resume Next"
f.WriteLine "Set ISA = CreateObject(" & """" & "FPC.Root" & """" & ")"
f.WriteLine "ISA.Refresh"
f.WriteLine "Set ISAArray = ISA.Arrays.GetContainingArray"
f.WriteLine "Set Elements = ISAArray.PolicyElements"
f.writeLine "Set APolicy = ISAArray.ArrayPolicy"
f.writeline "Set Publishing = ISAArray.Publishing"
f.writeline "Set RoutingRules = ISAArray.NetworkConfiguration.RoutingRules"
f.WriteLine

InitScriptFile = True
End Function

' ------------------------------------------------------------------------------------------------------------------

Sub CloseScriptFile()
f.Close
End Sub

' ------------------------------------------------------------------------------------------------------------------

Sub AddImportProtocolDefinitionsToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set Protocols = Elements.Protocoldefinitions"
Set Protocols = Arr.policyElements.Protocoldefinitions
For Each Protocol In Protocols
If Protocol.IsISAProtocol = FALSE Then
If Protocol.InitialConnectionProtocol = TCP Then
f.Write "Set NewDefinition = Protocols.AddTCP ("
Else
f.Write "Set NewDefinition = Protocols.AddUDP ("
End If

f.Write """" & Protocol.Name & """" & ","

If Protocol.InitialConnectionProtocol = TCP Then
f.Write Protocol.TCPInitialConnectionDirection & ","
Else
f.Write Protocol.UDPInitialConnectionDirection & ","
End If

f.Write Protocol.InitialConnectionPort & ")" & vbCrLf
f.WriteLine "CheckError"

f.WriteLine "NewDefinition.Description = " & """" & Protocol.Description & """"

' Secondary connections
Set SecConns = Protocol.SecondaryConnections
For Each secconn In SecConns

If secconn.Protocol = TCP Then
f.WriteLine "NewDefinition.SecondaryConnections.AddTCP " & secconn.TCPDirection & "," & secconn.PortLow & "," & secconn.PortHigh
Else
f.WriteLine "NewDefinition.SecondaryConnections.AddUDP " & secconn.UDPDirection & "," & secconn.PortLow & "," & secconn.PortHigh
End If

f.WriteLine "CheckError"
Next
f.WriteLine
End If
Next
f.WriteLine "Protocols.Save"
f.WriteLine "CheckError"
End Sub

' ------------------------------------------------------------------------------------------------------------------

Sub AddImportClientSetsToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set ClientSets = Elements.ClientAddressSets"
Set clientsets = Arr.policyElements.ClientAddressSets
For Each ClientSet In ClientSets
f.WriteLine "Set NewDefinition = ClientSets.Add (" & """" & ClientSet.Name & """" & ")"
f.WriteLine "CheckError"

f.WriteLine "NewDefinition.Description = " & """" & ClientSet.Description & """"

' Set IP ranges
For Each IPRange In ClientSet
f.WriteLine "NewDefinition.Add " & """" & IPRange.IP_From & """" & "," & """" & IPRange.IP_To & """"
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "ClientSets.Save"
f.WriteLine "CheckError"
End Sub

' ------------------------------------------------------------------------------------------------------------------

Sub AddImportDestinationSetsToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set DestinationSets = Elements.DestinationSets"
Set DestinationSets = Arr.policyElements.DestinationSets
For Each DestinationSet In DestinationSets
f.WriteLine "Set NewDefinition = DestinationSets.Add (" & """" & DestinationSet.Name & """" & ")"
f.WriteLine "CheckError"

f.WriteLine "NewDefinition.Description = " & """" & DestinationSet.Description & """"

' Add destination items
For Each Destination In DestinationSet
If Destination.Type = DestinationTypeDomain Then
f.WriteLine "NewDefinition.Add " & """" & destination.DomainName & """" & "," & """" & """" & "," & """" & Destination.Path & """"
ElseIf Destination.Type = DestinationTypeSingleIp Then
f.WriteLine "NewDefinition.Add " & """" & Destination.IP_From & """" & "," & """" & """" & "," & """" & destination.path & """"
Else
f.WriteLine "NewDefinition.Add " & """" & Destination.IP_From & """" & "," & """" & destination.IP_To & """" & "," & """" & destination.path & """"
End If
f.WriteLine "CheckError"

f.WriteLine "NewDefinition.Save"
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "DestinationSets.Save"
f.WriteLine "CheckError"
End Sub

' ------------------------------------------------------------------------------------------------------------------

Sub AddImportProtocolRulesToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set ProtocolRules = APolicy.ProtocolRules"
Set ProtocolRules = Arr.ArrayPolicy.ProtocolRules
For Each ProtocolRule In ProtocolRules
f.WriteLine "Set NewRule = ProtocolRules.Add (" & """" & ProtocolRule.Name & """" & ")"
f.WriteLine "CheckError"
f.WriteLine "NewRule.Description = " & """" & ProtocolRule.Description & """"
f.WriteLine "NewRule.Enabled = " & ProtocolRule.Enabled
f.WriteLine "NewRule.Action = " & ProtocolRule.Action

If ProtocolRule.ScheduleUsed.Name = "" Then
f.WriteLine "NewRule.SetSchedule (" & """" & " " & """" & ")"
Else
f.WriteLine "NewRule.SetSchedule (" & """" & ProtocolRule.ScheduleUsed.Name & """" & ")"
End If

f.WriteLine "NewRule.ProtocolSelectionMethod = " & ProtocolRule.ProtocolSelectionMethod

' SpecifiedProtocols
Set PRProtocols = ProtocolRule.SpecifiedProtocols
For Each PRProtocol In PRProtocols
f.WriteLine "NewRule.SpecifiedProtocols.Add " & """" & PRProtocol.Name & """" & ", " & """" & PRProtocol.ApplicationFilterGuid & """" & ", " & PRProtocol.Scope
f.WriteLine "CheckError"
Next

f.WriteLine "NewRule.AppliesToMethod = " & ProtocolRule.AppliesToMethod
' ClientSetsUsed
Set PRClientSets = ProtocolRule.ClientAddressSetsUsed
For Each PRClientSet In PRClientSets
f.WriteLine "NewRule.ClientAddressSetsUsed.Add " & """" & PRClientSet.Name & """" & ", " & """" & PRClientSet.ApplicationFilterGuid & """" & ", " & PRClientSet.Scope
f.WriteLine "CheckError"
Next
' ClientSetsExcluded
Set PRClientSetsEx = ProtocolRule.ClientAddressSetsExcluded
For Each PRClientSetEx In PRClientSetsEx
f.WriteLine "NewRule.ClientAddressSetsExcluded.Add " & """" & PRClientSetEx.Name & """" & ", " & """" & PRClientSetEx.ApplicationFilterGuid & """" & ", " & PRClientSetEx.Scope
f.WriteLine "CheckError"
Next
' AppliesToAccounts
Set PRAccounts = ProtocolRule.AppliesToAccounts
For Each PRAccount In PRAccounts
f.WriteLine "NewRule.AppliesToAccounts.Add " & """" & PRAccount.Account & """" & ", " & PrAccount.AccountStatus
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "ProtocolRules.Save"
f.WriteLine "CheckError"
End Sub

' ------------------------------------------------------------------------------------------------------------------

Sub AddImportPacketFiltersToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set PacketFilters = APolicy.IpPacketFilters"
Set PacketFilters = Arr.ArrayPolicy.IpPacketFilters
For Each PacketFilter In PacketFilters
f.WriteLine "Set NewPFilter = PacketFilters.Add (" & """" & PacketFilter.Name & """" & ", " & PacketFilter.FilterMode & ")"
f.WriteLine "CheckError"
f.WriteLine "NewPFilter.Description = " & """" & PacketFilter.Description & """"
f.WriteLine "NewPFilter.Enabled = " & PacketFilter.Enabled
f.WriteLine "NewPFilter.FilterType = " & PacketFilter.FilterType
f.WriteLine "NewPFilter.AllServers = " & PacketFilter.AllServers
f.WriteLine "NewPFilter.ServerName = " & """" & PacketFilter.ServerName & """"
f.WriteLine "NewPFilter.ICMPCodeNumber = " & PacketFilter.ICMPCodeNumber
f.WriteLine "NewPFilter.ICMPCodeOption = " & PacketFilter.ICMPCodeOption
f.WriteLine "NewPFilter.ICMPTypeNumber = " & PacketFilter.ICMPTypeNumber
f.WriteLine "NewPFilter.ICMPTypeOption = " & PacketFilter.ICMPTypeOption
f.WriteLine "NewPFilter.LocalPortNumber = " & PacketFilter.LocalPortNumber
f.WriteLine "NewPFilter.LocalPortType = " & PacketFilter.LocalPortType
f.WriteLine "NewPFilter.LogMatchingPackets = " & PacketFilter.LogMatchingPackets
f.WriteLine "NewPFilter.PacketDirection = " & PacketFilter.PacketDirection
f.WriteLine "NewPFilter.ProtocolNumber = " & PacketFilter.ProtocolNumber
f.WriteLine "NewPFilter.RemotePortNumber = " & PacketFilter.RemotePortNumber
f.WriteLine "NewPFilter.RemotePortType = " & PacketFilter.RemotePortType
f.WriteLine "NewPFilter.UDPPacketDirection = " & PacketFilter.UDPPacketDirection
f.WriteLine "NewPFilter.SetLocalHost " & PacketFilter.LocalHostType & ", " & """" & PacketFilter.LocalHostIpAddress & """" & ", " & """" & PacketFilter.LocalHostIpMask & """"
f.WriteLine "NewPFilter.SetRemoteHost " & PacketFilter.RemoteHostType & ", " & """" & PacketFilter.RemoteHostIpAddress & """" & ", " & """" & PacketFilter.RemoteHostIpMask & """"
f.WriteLine
Next
f.WriteLine "PacketFilters.Save"
f.WriteLine "CheckError"
End Sub

' -------------------------------------------------------

Sub AddImportRoutingRulesToScript()

' On Error Resume Next

Dim RoutingRules
Dim RoutingRule
Dim AppliesTo
Dim ClientCert
Dim PrimaryRoute

Const fpcSpecifiedDestinationSet = 3
Const fpcAllExceptDestinationSet = 4
Const fpcPrimaryRouteDirect = 0
Const fpcPrimaryRouteUpstream = 1
Const fpcPrimaryRouteAlternate = 2
Const fpcBackupRouteNone = 0
Const fpcBackupRouteDirect = 1
Const fpcBackupRouteUpstream = 2
Const FWMode = 59

f.WriteLine "'-------------------------------------------------------"

Set RoutingRules = Arr.NetworkConfiguration.RoutingRules
For Each RoutingRule In RoutingRules
If RoutingRule.IsDefault Then
f.WriteLine "Set NewRoutingRule = RoutingRules(""" & RoutingRule.Name & """)"
Else
f.WriteLine "Set NewRoutingRule = RoutingRules.Add(" & """" & RoutingRule.Name & """" & ")"
AppliesTo = RoutingRule.AppliesToDestination
If ( AppliesTo = fpcSpecifiedDestinationSet ) Or ( AppliesTo = fpcAllExceptDestinationSet ) Then
f.WriteLine "NewRoutingRule.SetDestination " & AppliesTo & ", " & """" & RoutingRule.DestinationSetUsed & """"
Else
f.WriteLine "NewRoutingRule.SetDestination " & AppliesTo
End If
If ( Arr.Components <> FWMode ) Then
f.WriteLine "NewRoutingRule.CacheResponseCondition = " & RoutingRule.CacheResponseCondition 'Gets or sets the conditions under which a response is cached.
f.WriteLine "NewRoutingRule.UseCacheCondition = " & RoutingRule.UseCacheCondition 'Gets or sets the situation in which a cache should be used instead of the routing action specified.
End If
f.WriteLine "NewRoutingRule.Enabled = " & RoutingRule.Enabled
f.WriteLine "NewRoutingRule.Description = " & """" & RoutingRule.Description & """"
End If

f.WriteLine "NewRoutingRule.NonSecureProtocolRedirection = " & RoutingRule.NonSecureProtocolRedirection 'Gets or sets the protocol used when delegating a request that came on a nonsecure channel.
f.WriteLine "NewRoutingRule.SecureProtocolRedirection = " & RoutingRule.SecureProtocolRedirection 'Gets or sets the protocol used when delegating a request that came on a secure channel.
f.WriteLine "NewRoutingRule.SSLRequireSecureChannel = " & RoutingRule.SSLRequireSecureChannel 'Gets or sets whether or not a secure channel is required.

Set ClientCert = RoutingRule.SSLClientCertificate
If ( Err.Number = 0 ) And Not ( ClientCert Is Nothing ) Then
f.WriteLine "Set NewClientCert = NewRoutingRule.SSLClientCertificate"
f.WriteLine "NewClientCert.ExpirationDate = " & """" & ClientCert.ExpirationDate & """"
f.WriteLine "NewClientCert.FriendlyName = " & """" & ClientCert.FriendlyName & """"
f.WriteLine "NewClientCert.Hash = " & """" & ClientCert.Hash & """"
f.WriteLine "NewClientCert.IssuedBy = " & """" & ClientCert.IssuedBy & """"
f.WriteLine "NewClientCert.IssuedTo = " & """" & ClientCert.IssuedTo & """"
Else
Err.Clear
End If

Set PrimaryRoute = RoutingRule.PrimaryRoute
If ( Err.Number = 0 ) And Not ( PrimaryRoute Is Nothing ) Then
f.WriteLine "Set NewPrimaryRoute = NewRoutingRule.PrimaryRoute" 'Gets a reference to an object that represents the specific proxy or array of the main (primary) route.
f.WriteLine "NewPrimaryRoute.RouteType = " & PrimaryRoute.RouteType

Select Case PrimaryRoute.RouteType

Case fpcPrimaryRouteDirect
'do nothing else - direct connection

Case fpcPrimaryRouteUpstream
If PrimaryRoute.AutomaticPollConfig Then
f.WriteLine "NewPrimaryRoute.SetAutoPollConfig " & PrimaryRoute.AutomaticPollConfig & ", """ & PrimaryRoute.PollAtUrl & """" 'Gets whether proxy polling of the upstream proxy or array for membership information is enabled.
End If
If PrimaryRoute.RouteServerName <> "" Then
f.WriteLine "NewPrimaryRoute.SetServerAndPort " & """" & PrimaryRoute.RouteServerName & """, " & PrimaryRoute.RouteServerPort & ", " & PrimaryRoute.RouteServerSSLPort
End If
If PrimaryRoute.AuthenticationEnabled Then
f.WriteLine "NewPrimaryRoute.AuthenticationEnabled = " & PrimaryRoute.AuthenticationEnabled 'Gets or sets whether use of authentication in upstream routing is enabled.
f.WriteLine "NewPrimaryRoute.AuthenticationType = " & PrimaryRoute.AuthenticationType 'Gets or sets the type of authentication that the primary route server or array uses.
Set Credentials = PrimaryRoute.Credentials
f.WriteLine "Set NewCredentials = NewPrimaryRoute.Credentials"
f.WriteLine "NewCredentials.UserName = " & """" & Credentials.UserName & """"
End If

Set BackupRoute = PrimaryRoute.BackupRoute
If ( Err.Number = 0 ) And Not ( BackupRoute Is Nothing ) Then
f.WriteLine "Set NewBackupRoute = NewPrimaryRoute.BackupRoute"
f.WriteLine "NewBackupRoute.BackupRouteType = " & BackupRoute.BackupRouteType
If BackupRoute.BackupRouteType = fpcBackupRouteUpstream Then
If BackupRoute.AutomaticPollConfig Then
f.WriteLine "NewBackupRoute.SetAutoPollConfig " & BackupRoute.AutomaticPollConfig & ", """ & BackupRoute.PollAtUrl & """" 'Gets whether proxy polling of the upstream proxy or array for membership information is enabled.
End If
If BackupRoute.RouteServerName <> "" Then
f.WriteLine "NewBackupRoute.SetServerAndPort " & """" & BackupRoute.RouteServerName & """, " & BackupRoute.RouteServerPort & ", " & BackupRoute.RouteServerSSLPort
End If
End If
If BackupRoute.AuthenticationEnabled Then
f.WriteLine "NewBackupRoute.AuthenticationEnabled = " & BackupRoute.AuthenticationEnabled 'Gets or sets whether use of authentication in upstream routing is enabled.
f.WriteLine "NewBackupRoute.AuthenticationType = " & BackupRoute.AuthenticationType 'Gets or sets the type of authentication that the primary route server or array uses.
Set Credentials = BackupRoute.Credentials
f.WriteLine "Set NewCredentials = NewBackupRoute.Credentials"
f.WriteLine "NewCredentials.UserName = " & """" & Credentials.UserName & """"
End If
Else
msgbox "Error 0x" & Hex( Err.Number ) & "; " & Error.Description & "; " & "While creating the BackupRoute Object."
End If

Case fpcPrimaryRouteAlternate
f.WriteLine "NewPrimaryRoute.SetRedirectHostAndPorts & " & """" & PrimaryRoute.RedirectHost & """, " & PrimaryRoute.RedirectHostPort & ", " & PrimaryRoute.RedirectHostSSLPort

End Select

Else
Err.Clear
End If

f.WriteLine "NewRoutingRule.Save" & vbCrLf

Next

End Sub

' -------------------------------------------------------

Sub AddImportSiteContentRulesToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set SiteContentRules = APolicy.SiteAndContentRules"
Set SiteContentRules = Arr.ArrayPolicy.SiteAndContentRules
For Each SiteContentRule In SiteContentRules
f.WriteLine "Set NewSCRule = SiteContentRules.Add (" & """" & SiteContentRule.Name & """" & ")"
f.WriteLine "CheckError"
f.WriteLine "NewSCRule.Description = " & """" & SiteContentRule.Description & """"
f.WriteLine "NewSCRule.Enabled = " & SiteContentRule.Enabled
f.WriteLine "NewSCRule.Action = " & SiteContentRule.Action
f.WriteLine "NewSCRule.AppliesToContentMethod = " & SiteContentRule.AppliesToContentMethod
f.WriteLine "NewSCRule.RedirectURL = " & """" & SiteContentRule.RedirectURL & """"
f.WriteLine "NewSCRule.Action = " & SiteContentRule.Action
f.WriteLine "NewSCRule.SetDestination " & SiteContentRule.AppliesToDestination & ", " & """" & SiteContentRule.DestinationSetUsed & """"

If SiteContentRule.ScheduleUsed.Name = "" Then
f.WriteLine "NewSCRule.SetSchedule (" & """" & " " & """" & ")"
Else
f.WriteLine "NewSCRule.SetSchedule (" & """" & SiteContentRule.ScheduleUsed.Name & """" & ")"
End If

f.WriteLine "NewSCRule.AppliesToMethod = " & SiteContentRule.AppliesToMethod
' ClientSetsUsed
Set SCRClientSets = SiteContentRule.ClientAddressSetsUsed
For Each SCRClientSet In SCRClientSets
f.WriteLine "NewSCRule.ClientAddressSetsUsed.Add " & """" & SCRClientSet.Name & """" & ", " & """" & SCRClientSet.ApplicationFilterGuid & """" & ", " & SCRClientSet.Scope
f.WriteLine "CheckError"
Next
' ClientSetsExcluded
Set SCRClientSetsEx = SiteContentRule.ClientAddressSetsExcluded
For Each SCRClientSetEx In SCRClientSetsEx
f.WriteLine "NewSCRule.ClientAddressSetsExcluded.Add " & """" & SCRClientSetEx.Name & """" & ", " & """" & SCRClientSetEx.ApplicationFilterGuid & """" & ", " & SCRClientSetEx.Scope
f.WriteLine "CheckError"
Next
' AppliesToAccounts
Set SCRAccounts = SiteContentRule.AppliesToAccounts
For Each SCRAccount In SCRAccounts
f.WriteLine "NewSCRule.AppliesToAccounts.Add " & """" & SCRAccount.Account & """" & ", " & SCRAccount.AccountStatus
f.WriteLine "CheckError"
Next

' Not sure about multiple Content Groups?
' SpecifiedContentGroups
Set SCRContentGroups = SiteContentRule.ContentGroupsUsed
For Each SCRContentGroup In SCRContentGroups
f.WriteLine "NewSCRule.ContentGroupsUsed.Add " & """" & SCRContentGroup.Name & """" & ", " & """" & SCRContentGroup.ApplicationFilterGuid & """" & ", " & SCRContentGroup.Scope
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "SiteContentRules.Save"
f.WriteLine "CheckError"
End Sub

' ----------------------------------------------

Sub AddImportServerPublishingRulesToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set ServerPubRules = Publishing.ServerPublishingRules"
Set ServerPubRules = Arr.Publishing.ServerPublishingRules
f.WriteLine "CheckError"
For Each ServerPubRule In ServerPubRules
f.WriteLine "Set NewPubRule = ServerPubRules.Add (" & """" & ServerPubRule.Name & """" & ")"
f.WriteLine "CheckError"
f.WriteLine "NewPubRule.Description = " & """" & ServerPubRule.Description & """"
f.WriteLine "NewPubRule.Enabled = " & ServerPubRule.Enabled
f.WriteLine "NewPubRule.InternalIp = " & """" & ServerPubRule.InternalIp & """"
f.WriteLine "NewPubRule.ExternalIp = " & """" & ServerPubRule.ExternalIp & """"
f.WriteLine "NewPubRule.SetProtocol " & """" & ServerPubRule.ProtocolUsed.Name & """" & ", " & """" & ServerPubRule.ProtocolUsed.ApplicationFilterGuid & """"
f.WriteLine "NewPubRule.AppliesToMethod = " & ServerPubRule.AppliesToMethod
' ClientSetsUsed
Set SPRClientSets = ServerPubRule.ClientAddressSetsUsed
For Each SPRClientSet In SPRClientSets
f.WriteLine "NewPubRule.ClientAddressSetsUsed.Add " & """" & SPRClientSet.Name & """" & ", " & """" & SPRClientSet.ApplicationFilterGuid & """" & ", " & SPRClientSet.Scope
f.WriteLine "CheckError"
Next
' ClientSetsExcluded
Set SPRClientSetsEx = ServerPubRule.ClientAddressSetsExcluded
For Each SPRClientSetEx In SPRClientSetsEx
f.WriteLine "NewPubRule.ClientAddressSetsExcluded.Add " & """" & SPRClientSetEx.Name & """" & ", " & """" & SPRClientSetEx.ApplicationFilterGuid & """" & ", " & SPRClientSetEx.Scope
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "ServerPubRules.Save"
f.WriteLine "CheckError"
End Sub
' ------------------------------------------------------------------------------------------------------------------

Sub AddImportWebPublishingRulesToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set WebPubRules = Publishing.WebPublishingRules"
Set WebPubRules = Arr.Publishing.WebPublishingRules
f.WriteLine "CheckError"
For Each WebPubRule In WebPubRules
f.WriteLine "Set NewWebPubRule = WebPubRules.Add (" & """" & WebPubRule.Name & """" & ")"
f.WriteLine "CheckError"
f.WriteLine "NewWebPubRule.Description = " & """" & WebPubRule.Description & """"
f.WriteLine "NewWebPubRule.Enabled = " & WebPubRule.Enabled
f.WriteLine "NewWebPubRule.SetDestination " & WebPubRule.AppliesToDestination & ", " & """" & WebPubRule.DestinationSetUsed & """"
f.WriteLine "NewWebPubRule.SetWebSiteAndPorts " & WebPubRule.Action & ", " & """" & WebPubRule.WebSite & """" & ", " & WebPubRule.HTTPRedirectPort & ", " & """" & WebPubRule.FTPRedirectPort & """" & ", " & WebPubRule.SSLRedirectPort
f.WriteLine "NewWebPubRule.SendOriginalHostHeader = " & WebPubRule.SendOriginalHostHeader
f.WriteLine "NewWebPubRule.NonSecureProtocolRedirection = " & WebPubRule.NonSecureProtocolRedirection
f.WriteLine "NewWebPubRule.SecureProtocolRedirection = " & WebPubRule.SecureProtocolRedirection
f.WriteLine "NewWebPubRule.SSLRequireSecureChannel = " & WebPubRule.SSLRequireSecureChannel
f.WriteLine "NewWebPubRule.AppliesToMethod = " & WebPubRule.AppliesToMethod
' ClientSetsUsed
Set WPRClientSets = WebPubRule.ClientAddressSetsUsed
For Each WPRClientSet In WPRClientSets
f.WriteLine "NewWebPubRule.ClientAddressSetsUsed.Add " & """" & WPRClientSet.Name & """" & ", " & """" & WPRClientSet.ApplicationFilterGuid & """" & ", " & WPRClientSet.Scope
f.WriteLine "CheckError"
Next
' ClientSetsExcluded
Set WPRClientSetsEx = WebPubRule.ClientAddressSetsExcluded
For Each WPRClientSetEx In WPRClientSetsEx
f.WriteLine "NewWebPubRule.ClientAddressSetsExcluded.Add " & """" & WPRClientSetEx.Name & """" & ", " & """" & WPRClientSetEx.ApplicationFilterGuid & """" & ", " & WPRClientSetEx.Scope
f.WriteLine "CheckError"
Next
' AppliesToAccounts
Set WPRAccounts = WebPubRule.AppliesToAccounts
For Each WPRAccount In WPRAccounts
f.WriteLine "NewWebPubRule.AppliesToAccounts.Add " & """" & WPRAccount.Account & """" & ", " & WPRAccount.AccountStatus
f.WriteLine "CheckError"
Next
f.WriteLine
Next
f.WriteLine "WebPubRules.Save"
f.WriteLine "CheckError"
End Sub

' ---------------------------------------------------------------------------------------------------------

Sub AddImportWebProxyToScript()
f.WriteLine "'-------------------------------------------------------"
f.WriteLine "Set WebProxys = APolicy.WebProxy"
Set WebProxySet = Arr.ArrayPolicy.WebProxy
f.WriteLine "CheckError"
f.WriteLine "WebProxys.EnableAutoDiscovery = " & WebProxySet.EnableAutoDiscovery
f.WriteLine "WebProxys.AutoDiscoveryPort = " & WebProxySet.AutoDiscoveryPort
f.WriteLine "WebProxys.LoadSize = " & WebProxySet.LoadSize
f.WriteLine "WebProxys.UpstreamResolveSystem = " & WebProxySet.UpstreamResolveSystem
f.WriteLine "WebProxys.IncomingWebRequests.AllInterfaces = " & WebProxySet.IncomingWebRequests.AllInterfaces
f.WriteLine "WebProxys.IncomingWebRequests.AlwaysAuthenticate = " & WebProxySet.IncomingWebRequests.AlwaysAuthenticate
f.WriteLine "WebProxys.IncomingWebRequests.CacheSSLResponses = " & WebProxySet.IncomingWebRequests.CacheSSLResponses
f.WriteLine "WebProxys.IncomingWebRequests.ConnectionTimeout = " & WebProxySet.IncomingWebRequests.ConnectionTimeout
f.WriteLine "WebProxys.IncomingWebRequests.NumberOfConnections = " & WebProxySet.IncomingWebRequests.NumberOfConnections
f.WriteLine "WebProxys.IncomingWebRequests.ResolveInArray = " & WebProxySet.IncomingWebRequests.ResolveInArray
f.WriteLine "WebProxys.IncomingWebRequests.SSLPort = " & WebProxySet.IncomingWebRequests.SSLPort
f.WriteLine "WebProxys.IncomingWebRequests.TCPPort = " & WebProxySet.IncomingWebRequests.TCPPort
f.WriteLine "WebProxys.IncomingWebRequests.UnlimitedNumberOfConnections = " & WebProxySet.IncomingWebRequests.UnlimitedNumberOfConnections
f.WriteLine "WebProxys.OutgoingWebRequests.AllInterfaces = " & WebProxySet.OutgoingWebRequests.AllInterfaces
f.WriteLine "WebProxys.OutgoingWebRequests.AlwaysAuthenticate = " & WebProxySet.OutgoingWebRequests.AlwaysAuthenticate
f.WriteLine "WebProxys.OutgoingWebRequests.CacheSSLResponses = " & WebProxySet.OutgoingWebRequests.CacheSSLResponses
f.WriteLine "WebProxys.OutgoingWebRequests.ConnectionTimeout = " & WebProxySet.OutgoingWebRequests.ConnectionTimeout
f.WriteLine "WebProxys.OutgoingWebRequests.NumberOfConnections = " & WebProxySet.OutgoingWebRequests.NumberOfConnections
f.WriteLine "WebProxys.OutgoingWebRequests.ResolveInArray = " & WebProxySet.OutgoingWebRequests.ResolveInArray
f.WriteLine "WebProxys.OutgoingWebRequests.SSLPort = " & WebProxySet.OutgoingWebRequests.SSLPort
f.WriteLine "WebProxys.OutgoingWebRequests.TCPPort = " & WebProxySet.OutgoingWebRequests.TCPPort
f.WriteLine "WebProxys.OutgoingWebRequests.UnlimitedNumberOfConnections = " & WebProxySet.OutgoingWebRequests.UnlimitedNumberOfConnections
f.WriteLine
f.WriteLine "WebProxys.Save"
f.WriteLine "CheckError"
End Sub

' -----------------------------------------------------------------------

''''''''''''''''''''
''' Main Program '''
''''''''''''''''''''

If Not InitScriptFile Then Wscript.Quit

Set args = Wscript.Arguments
If args.Count > 0 Then
AddImportProtocolDefinitionsToScript
AddImportClientSetsToScript
AddImportDestinationSetsToScript
AddImportProtocolRulesToScript
AddImportRoutingRulesToScript
AddImportPacketFiltersToScript
AddImportSiteContentRulesToScript
AddImportWebProxyToScript
AddImportWebPublishingRulesToScript
AddImportServerPublishingRulesToScript
Else
If InputBoxAnswer("Do you want to export Protocol Definitions? (y/n)", "Export Protocol Definitions", "y") = True Then
AddImportProtocolDefinitionsToScript
End If
If InputBoxAnswer("Do you want to export Client Sets? (y/n)", "Export Client Sets", "y") = True Then
AddImportClientSetsToScript
End If
If InputBoxAnswer("Do you want to export Destination Sets? (y/n)", "Export Destination Sets", "y") = True Then
AddImportDestinationSetsToScript
End If
If InputBoxAnswer("Do you want to export Protocol Rules? (y/n)", "Export Protocol Rules", "y") = True Then
AddImportProtocolRulesToScript
End If
If InputBoxAnswer("Do you want to export Routing Rules? (y/n)", "Export Routing Rules", "y") = True Then
AddImportRoutingRulesToScript
End If
If InputBoxAnswer("Do you want to export Packet Filters? (y/n)", "Export Packet Filters", "y") = True Then
AddImportPacketFiltersToScript
End If
If InputBoxAnswer("Do you want to export Site and Content Rules? (y/n)", "Export Site and Content Rules", "y") = True Then
AddImportSiteContentRulesToScript
End If
If InputBoxAnswer("Do you want to export Web Proxy Settings? (y/n)", "Export Web Proxy Settings", "y") = True Then
AddImportWebProxyToScript
End If
If InputBoxAnswer("Do you want to export Web Publishing Rules? (y/n)", "Export Web Publishing Rules", "y") = True Then
AddImportWebPublishingRulesToScript
End If
If InputBoxAnswer("Do you want to export Server Publishing Rules? (y/n)", "Export Server Publishing Rules", "y") = True Then
AddImportServerPublishingRulesToScript
End If
End If

f.WriteLine "MsgBox ""ImportISASettings finished succesfully. You should restart your ISA services."""
MsgBox "Resulting import script ImportISASettings.vbs has been created. Run script on destination ISA server."
CloseScriptFile

psac · 2004-02-26, 05:21 AM

ISA實戰
ISA幾大特點

一、提供安全的Internet連接
1．多層次的防火牆保護
2．智能的應用程式過濾
3．安全的伺服器發佈
4．完整的VPN
二、快速的Web訪問
1．高效能的Web 快取
2．可昇級的分佈式快取
3．自動或者計劃工作的快取
三、統一的管理
1．細微的訪問控制
2．豐富的系統管理工具
3．企業級的安全標準管理
四、可擴展、開放的平台

ISA實際操作

一、包過濾和入侵檢測
在Access Policy中選項IP Packet Filters--Configure Packet Filtering and Intrusion Detection
可以設定防止Ping of death、UDP bomb等攻擊類型。
二、可以按照用戶/組、應用程式、目標、連接類型、計劃工作等定制訪問控制
例子：限制上班時間不允許訪問足球網站
1、 Policy Elements—Schedules—Work Hours—Schedule—定義不能訪問的時間
2、目標設定：Create a Destination Set—Sports—Add—目標—Football.com
3、 Site and content rules—Create a Site and Content Rule—Deny Football—Deny—Specified Destination Set—Name—Sports—Work Hours—Any Request—完成
例子：限制上班時間ICQ佔用的帶寬
1、Bandwidth Priorities—Low—OutBound(20)—InBound(20)
2、Bandwidth Rules—ICQ—Selected Protocol—Work Hours-- Any Request—All Destinations—All content –Custom—Low—完成
例子：不讓員工在上班時間訪問含MP3站點：
1、 Internet Groups—新增Content Group—名字--Mp3—Types—Mp3
2、 Site and content rules-- Create a Site and Content Rule—Deny Mp3—Deny—All Destinations—Always—Any Request
3、 Site and content rules—configure a site and content rule—選定Inactive時間範圍—Type—Mp3
三、充分利用緩衝減輕壓力
例子：每天早上上班以前Down新浪的新聞
快取 Configuration—Scheduled content download—sina—確定日期和時間—daily—dailynews.sina.com.cn—完成
四、使用報警功能：
例子：系統日誌錯誤時報警
Monitoring Configuration—Alert—Event log failure—輸入Email 位址—選項要進行的操作

其實大家可以自由發揮很多，這就要看自己的實際需要了。譬如想封OICQ，傳輸協定列表裡面沒有，可以在Protocol Definitions裡面定義一條傳輸協定，然後。。。不多說了，估計有的人該罵我了，我還告訴別人怎麼繞過去的方法呢。
另外，操作的步驟中可能寫的不是很詳細，參見我的另一篇文章ISA操作手冊。還要感謝網友Samsong對寫文章程序中的大力支持。

ISA實戰Ⅱ--進階篇

一、使用ISA防止病毒
目前病毒右鍵很多，主要特徵有特定的標題，附帶有「.exe」、「vbs」的附件等等，下面就介紹一下針對病毒郵件在ISA裡面進行配置：Extensions--Application Filters--SMTP filters--內容
譬如右鍵內容包含「I Love You」的，在Keywords--Add--I Love you--Message Header or Body--Action--Forward message to--momo@371.net（有點過分啊，或者直接Delete meaasge也可以啊。）
又譬如附件帶Readme.exe的，最近的Nimda病毒就是這樣，Attachment--Add-Attachment Name--readme.exe--Action--Delete meassage

二、入侵檢測
ISA已經支持一些一般的攻擊手段，還支持自訂的套用過濾器。
譬如如果有人掃瞄10次以上連接埠就報警：IP Packet Filters--Configure Packet Filtering and Intrusion Detection--Enabled Intrusion Detection-- Intrusion Detection--Port Scan--Detect after attacks on 10 well-known ports--確定

三、多台伺服器的發佈
譬如要發佈局內網IP為172.16.1.100，主機頭名稱www.momo.com的一台伺服器,ISA伺服器IP為172.16.1.1，機器名為momo
ISA上面的設定：
Policy Elements--Destination sets--Create a Destination Set--Name:momo--Add--Destination -www.momo.com--OK
Web Publishing--create a web publishing rule--Rule name:momo--Specified destination set --Name:momo--Any request--Redirect the request to this internal Web server(name or IP address)--172.16.1.100--選Send the original host header to the publishing server instead of the actual one(specified above)--連接埠不需更改
重複上面的步驟，可以建立多個站點對外發佈，但是ISA的只能同時監聽一個Web連接埠，也就是說可以內部多個站點對外發佈，但是外面都要使用80連接埠進行訪問。
最後一步：點中ISA管理界面的機器名
momo--右鍵--內容--Incoming Web request--Configure listeners individually per IP address--Add--Server:momo--IP address:172.16.1.1

四、 ISA的Client的幾種方式
1、 Web Proxy Clients:
最簡單，不用修改客戶的網路配置，只需要把客戶的IP代理設成提供ISA服務的機器就可以了。
2、 Secure NAT Client:
把客戶的default gateway改成ISA伺服器的內部網路卡的位址，可以提供除Web以外的服務，工作量相對Firewall要小，但是不能夠提供任何認證。
3、 Firewall Client:
需要安裝ISA客戶端，工作量相對比較大，但是可以提供全方面的服務，並且利於統計各種資料。

五、 ISA的報表功能：
Proxy沒有提供報表功能，在ISA裡面可以提供豐富的報表，並且提供SDK軟體包，支持自訂的Web filters和可擴展的UI(女朋友C)。由於報表功能比較簡單，這裡就不詳細講述了。

psac · 2004-02-26, 05:23 AM

ISA2000限制用戶下載的配置方法
在這裡，假定貴公司所有機器使用的是靜態IP位址，你要限制所有員工在上班時間不允許下載，但某些機器可以下載（譬如你自己的機器，或是某台服務器）那麼我們開始吧：
　　一、首先保證你的ISA已經配置好，客戶端機都能通過ISA 2000 Server上網，並且配置不允許用戶使用網關方式，只能安裝ISA客戶端程序才可上網。
　　二、在「Schedules」中設定好公司的上班時間Work hours。
　　三、在「Clent Address Sets」中點擊「Create a Clent Set」，名稱取為Clent IP，點擊下面的Add，輸入客戶端機的IP段，譬如form：192.168.0.20 to：192.168.0.254，點兩次OK。重複剛才的操作配置好服務器IP或是不受下載限制的客戶端機IP，我們就取名叫Server IP吧。如果IP不連續，譬如唯一的一台服務器IP是192.168.0.100，那麼form和to中都填它即可。
　　四、在「Content Groups」中新增一「Content Group」，「Name」和「Description」自己填，自己知道是限制下載的即可。
　　五、在「Available types」中選項以下類型增加到右邊的「Selected types」框中，直接要限制那些內容自己可以靈活定制
application/cdf
application/envoy
application/fractals
application/futuresplash
application/hta
application/mac-binhex40
application/octet-stream
application/oda
application/pics-rules
application/pkcs10
application/pkix-cert
application/pkix-crl
application/rtf
application/sdp
application/smil
application/streamingmedia
application/vnd.fdf
application/vnd.ms-pki.certstore
application/vnd.rn-realmedia
application/vnd.rn-realplayer
application/winhlp
application/x-bcpio
application/x-cdf
application/x-compress
application/x-compressed
application/x-cpio
application/x-csh
application/x-director
application/x-dvi
application/x-gtar
application/x-gzip
application/x-hdf
application/x-latex
application/x-mix-transfer
application/x-mplayer2
application/x-mscardfile
application/x-msclip
application/x-msdownload
application/x-msmediaview
application/x-msmetafile
application/x-msmoney
application/x-msschedule
application/x-msterminal
application/x-mswrite
application/x-netcdf
application/x-zip-compressed
audio/aiff
audio/basic
audio/mpeg
audio/mpegurl
audio/mpg
audio/vnd.rn-realaudio
audio/wav
audio/x-mpeg
audio/x-megprul
audio/x-mpg
video/avi
video/mpeg
video/msvideo
video/x-la-asf
video/x-mpeg
video/x-mpeg2a
video/x-ms-asf
video/x-msvideo
點擊OK。
　　六、在「Site and Content Rules」中點擊「Create Site and Content Rule」新增一規則，名稱自己取，我們在這取名為「Denied Rule」，下一步，選項「Deny」，下一步選項Apply this rule to：All destinations，下一步選項Use this schedule:Work hours，下一步，選項「Specific computers(client address sets)」，下一步，點擊「Add」，在新視窗中選項我們建立的Client IP，點擊「Add>」，點OK，下一步，完成。
　　七、雙按我們剛才建立的Rules，點擊「HTTP Content」，選項「Selected content groups」，再選項我們建立的那個Content types，注意，只選項它即可，點擊OK。
　　八、再點擊「Applies To」，這裡我們只指定了客戶端機的IP，現在把不受下載限制的Server IP增加到Exceptions框中，點擊確定，大功告成。
　　註：一、限制FTP不在此討論範圍

psac · 2004-02-26, 05:25 AM

ISA和Outlook
現象
當你試突用Microsoft Outlook Express 5.0 連接一個 Hotmail e-mail 帳號時, 可能得到一個或多個以下錯誤信息:

Unable to poll for new mail messages on your HTTP server. Account 'Hotmail', Server 'http://services.msn.com/svcs/hotmail/httpmail.asp', Protocol HTTPMail, Server Response: 'Proxy Authentication Regquired', Port 0, Secure (SSL): No, Error Number: 0x800CCC37
-或者-
Outlook Express
Your proxy requires you to authenticate. Contact your network administrator for assistance.
-或者-
Outlook Express Clients using an ISA server as a Firewall and Web proxy server may see the following error:
Unable to poll for new messages on your HTTP server. Account: 'Hotmail', server : 'http://services.msn.com/svcs/hotmail/httpmail.asp',Protocol" HTTPMail, Server Response: 'Proxy Authentication Required (The ISA server requires authorization to fulfill the request. Access to the Web Proxy service is denied. )', Port: 0, Secure(SSL): No, Error Number: 0x800CCC37

原因

如果Outlook Expresst不能鑒別你正在使用的代理伺服器,而Web Proxy的"Access Control"又開啟了,將導致這一錯誤.

解決
使用以下方法之一:

關閉Web Proxy的"Access Control".

配置Internet Explorer 和 Outlook Express 不使用代理伺服器(Proxy server), 而使用Winsock代理客戶端(Winsock Proxy client).

psac · 2004-02-26, 05:26 AM

ISA安裝必讀
問題
Microsoft Internet Security and Acceleration Server 2000 是防火牆還是緩衝伺服器？

答案
ISA Server 可以配置為一個集成的防火牆和緩衝方案；也可以作為防火牆或專用的緩衝裝置分別佈署。期望得到一個牢固的防火牆方案的公司可以使用ISA Server 動態資料包過濾器、侵擾偵測、系統強化和"智能"應用程式過濾器來保障網路的安全；期望得到一個專用緩衝方案的公司可以用 ISA Server 先進的緩衝功能來提高網路效能。

--------------------------------------------------------------------------------
問題
把防火牆和緩衝方案集成在一起的優點有哪些？

答案
雖然公司也可以選項分別安裝防火牆和緩衝功能，但 ISA Server 對進出流量提供的是連續、單點訪問的原則和管理。這樣，系統和網路管理員可以在更短的時間瞭解狀況，而需要管理和維護的設備也更少。

--------------------------------------------------------------------------------
問題
安裝緩衝功能會影響 ISA Server 作為防火牆的安全性嗎？

答案
不會。緩衝基本上是一個智能的存儲引擎，它使網路管理員可以通過存儲經常被檢索的對象來提高網路訪問效能。Web 緩衝建立在 Web 代理引擎的上部，它提供 HTTP 連接和過濾功能，以及與安全有關的工作，如內容過濾，URL 攔截。

--------------------------------------------------------------------------------
問題
我可否只配置防火牆功能？

答案
可以。您可以只配置防火牆作為安全方案。作為安裝程序的一部分，您可以選項的 ISA Server 模式包括：防火牆，緩衝或二者集成。選項防火牆模式，您可以通過配置控制公司網路和 Internet 之間的通訊規則，來保障網路通信的安全。您也可以在內部伺服器上發佈信息，與 Internet 用戶安全地分享資料。

選項緩衝模式，您可以通過將常訪問的對象存儲在離客戶更近的地方，來提高網路效能，節省帶寬。您也可以在內部 Web 伺服器上發佈信息。

集成模式綜合了防火牆和緩衝的功能，保證安全性並提高效能。不論哪種模式，您都可以受益於 ISA Server 的企業原則管理、既時監測和報告功能。

--------------------------------------------------------------------------------
問題
緩衝功能如何影響帶寬要求和信息的可用性？

答案
緩衝功能通過使Web內容更接近用戶，降低了帶寬要求。通過緩衝客戶頻繁檢視的內容，對帶寬的需求可降低 40%。緩衝功能甚至可以在源內容離線或不可用的狀態下為客戶提供相關內容。

--------------------------------------------------------------------------------
問題
ISA Server 是否要求配備 Active Directory？

答案
要獲得 ISA Server 的安全性和增速優勢，並不要求必須有 Active Directory。但是，如果客戶期望在整個企業裡新增和佈署分層訪問原則，或新增一個用於負載平衡和容錯的陣列，則需要 Active Directory。

可以用 Active Directory 建立陣列，同時和當前域之間建立信任關係，以縮小更改需求。這種情況下，不需完全遷移至 Active Directory。

--------------------------------------------------------------------------------
問題
我能否從 Microsoft Proxy Server 2.0 遷移到 ISA Server？

答案
可以。對執行 Proxy Server 2.0 的用戶，有一個昇級路徑。ISA Server 強大的防火牆和緩衝功能將支持使用 Proxy Server 2.0 的方案。但是，ISA Server 是一個關於 Microsoft Windows 2000 操作系統安全和可靠性功能的新產品，它有一個專為企業安全和緩衝而設計的嶄新的體系結構。

psac · 2004-02-26, 05:27 AM

在ISA Server上啟用應用程式和服務的Internet訪問
問：我安裝了Internet Security and Acceleration (ISA) Server 2000 並啟用了針對HTTP和FTP的傳輸協定規則。但是，當我試突在執行 ISA Server 的電腦上使用指令行FTP客戶端和Web瀏覽器時，卻無法使用。如何從執行ISA Server的電腦允許FTP和HTTP訪問？

答：通常，如果您想在執行ISA Server 的電腦上啟用針對服務和應用程式的Internet訪問，就必須新增資料包過濾器。驗證電腦未被設定為SecureNAT或防火牆客戶端。在執行ISA Server的電腦上，設定資料包過濾器允許對外訪問服務和應用程式所需要的傳輸協定。

例如，如果需要從執行ISA Server的電腦對外訪問FTP伺服器，您可以新增兩個資料包過濾器：

FTP Client OUT（過濾器1）
傳輸協定= TCP
方向=對外
本機連接埠=動態
遠端連接埠= 21

FTP Client IN（過濾器2）
傳輸協定= TCP
方向=對內
本機連接埠=任意
遠端連接埠= 20

針對HTTP和HTTP隧道FTP的資料包過濾器存在一個例外情況。您可以將執行ISA Server的電腦上的Web瀏覽器配置為Web代理客戶端。當您這樣做時，請驗證在瀏覽器的Web代理客戶端配置對話視窗中使用了執行ISA Server的電腦的內部IP位址。如果您使用了一個電腦名稱稱或完全合格的域名（Fully Qualified Domain Name，FQDN），執行ISA Server的電腦可能無法解析電腦的名稱。

如果執行ISA Server 的電腦擁有一個撥號外部接頭，您可能需要設定瀏覽器使用該撥號接頭的Web代理客戶端配置。在Microsoft Internet Explorer中，執行下列步驟，將瀏覽器配置為Web代理客戶端：

在「工具」表單上，按下「Internet選項」。
在「Internet選項」對話視窗中，按下「連接」選擇項。
在「撥號和虛擬專用網路設定」中，按下撥號連接，然後按下「設定」。
在「代理伺服器」中，按下「僅對此連接使用代理伺服器（這些設定不會套用到其它連接）」複選框。
在「位址」文本框中，輸入執行ISA Server 的電腦的內部接頭位址。在「連接埠」文本框中，輸入「外出Web請求」偵聽程序所用的連接埠。
按下「確定」，然後再次按下「確定」關閉對話視窗。

psac · 2004-02-26, 05:28 AM

使用 ISA Server 安全地發佈多個 Web 站點
對於要在 Internet 上搜尋 Web 站點的人們來說，站點名稱必須與 ISA Server 電腦的外部網路橋接器的公用 IP 位址相關聯。

ISP 或網路管理員可以說明做到這一點。

DNS 通常會有一個用於將 www.您的域名.com 指向 ISA Server 電腦的外部橋接器的條列。

1. 發佈 Web 站點
若要將 http://www.example.com/site1 的請求路由到 SERVER1，將 http://www.example.com/site2 的請求路由到 SERVER2，必須先為每個內部伺服器新增目標集合。以後新增的 Web 發佈規則會將這些 URL 連接到相應的內部伺服器。

新增第一個目標集合
啟動 ISA Server 管理控制台：按下開始，指向程序，指向 Microsoft ISA Server，然後按下 ISA Management（ISA 管理）。

展開左視窗中的"Servers（伺服器）"資料夾，然後展開您的伺服器資料夾。

右鍵按下 Destination Sets（目標集合），指向新增，然後按下 Set（集合）。

命名該集合（例如 Site 1），然後按下 Add（增加），將一個伺服器增加到該集合中。

在 Destination（目標）框中，鍵入您通過 ISP 建立的站點名稱（在本例中為 [url]www.example.com︴/url]^。

在 Path（路徑）框中，鍵入 /site1/*。星號非常重要。

在接下來的對話視窗中都按下確定。

備註：重複這些步驟，新增名為 Site 2（第 6 步）的目標集合，路徑為"/site2/*"（第 9 步）。
新增 Web 發佈規則
Web 發佈規則將請求轉發IP到正確的伺服器。請按照下列步驟新增第一個規則：
在左視窗中，展開"Publishing（發佈）"資料夾。

右鍵按下 Web Publishing Rules（Web 發佈規則），指向新增，然後按下 Rule（規則）。

將規則命名為 Site 1。

按下 Specified destination set（指定的目標集合），然後按下 Site 1。

按下 Any request（任何請求）。

按下 Redirect the request to this internal Web server (name or IP address)（將請求重轉發IP到此內部 Web 伺服器（名稱或 IP 位址））。

按下 Browse（瀏覽），按下 SERVER1，然後按下完成。

備註：重複這些步驟，新增名為 Site 2（第 3 步）的規則，使用 Site 2 目標集合（第 4 步），重轉發IP到 SERVER2（第 7 步）。
2. 缺陷
當人們連線到站點時，看不到您發佈的伺服器。

人們連線到站點時，可能會看到"正在建設中"頁，或者什麼也看不到。這很可能是因為 IIS 正在 ISA Server 電腦上執行。於是，對站點的請求被轉發IP到 ISA Server 電腦上的 IIS。您應該將 IIS 從該 ISA Server 電腦卸載。ISA Server 電腦應該只執行 ISA Server，不應該執行其他服務。

您正嘗試發佈多個站點，但是它們都不能正確工作。

請確保您的目標集合和發佈規則的配置正確無誤。目標集合應該將您的 ISA Server 電腦的外部名稱連同一個路徑指定為目標，該路徑與您想讓用戶在訪問相應內部伺服器時在其瀏覽器中鍵入的路徑相匹配。Web 發佈規則應該包括正確的目標集合，並且應該引用正確的內部伺服器。返回去檢視第 1 節中的示例，特別注意一下依存關係。

psac · 2004-02-26, 05:29 AM

如何使DHCP與ISA結合實現客戶端零管理
大家都知道裝完ISA後，通過安裝Firewall 可以對IE的代理伺服器自動進行配置。那如果不安裝客戶端如何實現呢。可以通過DHCP和DNS。
在這裡我介紹一下DHCP實現的方法。
一、配置DHCP
1、在DHCP 的ACTION 中選項[設定預定義選項]（Predefined
Options）點[ADD]
2、出現選項類型表單。
名稱：任意寫。但我寫：WPAD
資料類型： String
程式碼： 252（切記）
3、返回第一步的表單，選則剛剛建好的條列。在值的框框裡添寫如
下： http://ISA_SERVER/WPAD.DAT
伺服器名稱是安裝ISA的機器名。
4、然後在伺服器選項中選項配置選項。找到剛才新見的條列打勾。

二、配置ISA
1、在ISA左邊的電腦圖示點右鍵，出現內容框，點之。
2、選項 [Auto Discovery] tab. 打勾勾。連接埠不用改。
3、從新啟動服務後，即可。

三、配置IE
1、選項自動搜尋就OK。

註：
其實通過DNS也能完成。但是卻有利有弊。
大家可以在探討探討。

psac · 2004-02-26, 05:31 AM

ISA和Exchange在同一電腦上的發佈
1. 先安裝好Exchange2K Server

2. 安裝ISA Server,安裝時要選項全部安裝（因為需要用到其中的
Message Screener)

3. 開啟Exchange System Manager---Server---你的Server--
Protocols---SMTP
右擊Default SMTP Virtual Server,選項Properties.
選項General標籤下的IP address---Advanced
在List中只保留內部的IP位址，其它的都要 Remove

4.開啟Internet Security and Acceleration Server---Servers and Arrays---你的Server---Extensions---Application Filters.
右擊SMTP Filter，選項Properties.
在General標籤下, 確定已選 Enable this filter。

6.做server-publishing rule，（記住這裡不能使用Mail Server Security Wizard來做）
開啟Server Publishing Rules--New---Rule
給這條rule起一個名，如'Exch Publishing',在Address Mapping設定中,IP address of internal server填上伺服器的內部IP Address
External IP address on ISA Server填上伺服器的外部IP Address
Protocol Settings中選項SMTP Server
Client Type中選項 Any Request

7.完成設定（完成後最好重新啟動一下伺服器）

psac · 2004-02-26, 05:33 AM

新手必讀
ISA完整的名字叫作Microsoft Internet Security and Acceleration Server（網際網路安全和加速伺服器），是Proxy2.0的下一代產品，能夠很好的2000系列產品配合使用，它和Proxy的主要差別就是在防火牆的功能方面有了很大的提升，所以才不用在叫proxy而叫Internet Security了，集成了目前防火牆的需多功能。

一、軟硬體配置：Windows2000+AD、256M記憶體、網路卡
二、安裝：
1．三種模式：
（1）防火牆模式：FireWall Mode
（2）高速緩衝模式：快取 Mode
（3）完整模式：Integrated Mode（增加了Web Hosting Functionality）
2．停止了IIS Publishing Service（W3SVC），安裝完成後Uninstall IIS或者重新配置IIS站點，不要使用80和8080連接埠。
3．填入IP範圍（必須包含本機的位址）
三、使用：
1． Monitoring：
（1） Alerts：報警
（2） Services：啟動和停止服務
（3） Sessions：會議
（4） Reports：報表
2． Computer：顯示電腦狀態
3． Access Policy：訪問原則
（1） Site and Content Rules：站點和目錄規則
（2） Protocol Rules：傳輸協定規則
（3） IP Packet Filters：IP包過濾
4． Publishing：發佈
（1） Web Publishing Rules：站點發佈規則
（2） Server Publishing Rules：伺服器發佈規則
5． Bandwidth Rules：帶寬限制規則
6． Policy Elements：
（1） Schedules：計劃工作
（2） Bandwidth Priorities：帶寬優先權
（3） Destination sets：目標位址設定
（4） Client Address sets：客戶位址設定
（5） Protocol Definitions：傳輸協定定義
（6） Content Groups：內容組
（7） Dial-up Entries：撥號連接
7．快取 Configuration：快取的設定
（1） Schedules content Download：計劃工作下載內容
（2） Drivers：磁牒大小設定
8． Monitoring Configuration：警告配置
（1） Alerts：報警
（2） Log：日至
（3） Report jobs：報表
9． Extensions：擴展功能：
（1） Application Filters：應用程式過濾
（2） Web Filters：Web過濾
10． Network Configuration：網路配置
（1） Routing：路由
（2） Local Address Table：近端網址列表
（3） Local Domain Table：本機域列表
11． Client Configuration：客戶配置
（1） Web Browser：Web瀏覽
（2） Firewall client：防火牆客戶
四、對應的服務：
1． Microsoft FireWall: fwsrv
2． Microsoft Server Control: isactrl
3． Microsoft Scheduled 快取 Content Download: w3schdwn
4． Microsoft Web Proxy: w3proxy
其中服務2依賴於1、3、4
五、配置原則：（舉幾個小例子）
1． Secure Your ISA Server Computer：自己定制一套方案
2．限制帶寬：Bandwidth-右鍵-內容
3．從我使用isa的情況來看，好像沒有直接設定每個用戶的帶寬，而是可以為先新增一些組，然後設定帶寬原則，然後讓這些擁護套用這些原則，其中限制是靠優先級別實現的，不過可以結合QOS來使用就比較挖完美了。
4．關閉Ping(ICMP)：IP Packet Filters—起名--block packet transmission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。

另外它還可以輕鬆的定義傳輸協定規則、包過濾規則、應用程式過濾、站點發佈規則、高速緩衝等等，總之功能還是很強大的，就不一一舉例了。
由於使用時間不長，所以很多功能還沒有開發出來，希望大家補充指正。

2004-02-26, 04:20 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA FAQ之一：如何利用ISA Server進行內部web伺服器的發佈如何利用ISA Server進行內部web的發佈由於是春節期間，我沒有太多的時間進行比較直接的設定，我只是在這裡給大家來講一個比較清楚的思路程序。就當是我送給大家新年禮物吧。 1.ISA中關於DNS的解析程序比較複雜，考慮大家一般都是使用ip位址進行內部web server訪問的，所以我下面講的都是關於ip位址的配置。 2.首先ISA 對內部lan中訪問internet的訪問都認為是Outgoing Requests；對外部訪問內部web or ftp server的訪問都認為是Incoming Requests。因此我們需要察看isa 中Incoming Requests的連接埠是多少。這裡假設是8088。 3.找到連接埠號以後，就要在protocol definition中增加一個新的傳輸協定。這裡我主要是訪問內部web，所以我命名為「Lan web server」，port number就填寫剛才找到的Incoming Requests連接埠號，傳輸協定選項TCP。 Direction選項「Inbound」。當詢問你是否要使用第2個連接時。選NO。然後就ok了。 4.再回到Publishing下，先來配置server publishing rules。新增立一個rule。名字起為「test inbound server」當要求你填寫ip address of internal server時，填寫你需要別人訪問的內部web server的ip位址（假設為192.168.0.200）；External IP address on ISA server就填寫你在internet上或電信局分配給你的ip位址，（假設為202.100.111.111），注意這個外部的ip位址一定要是可以用的，因為internet上的用戶就是通過這個位址來訪問你的內部web server。接下來會出現一個下拉框，要你選項Apply the rule to this protocol。我們這時候就選項步驟3中剛剛建立的「Lan web server」；當詢問你apply the rule to requests from的時候，選項「any request」，這樣server publishing rules就配置好了。 5.接下來，就需要配置web publishing rules了。同樣isa server會問你如下的問題。 Q: apply this rule to A: all destinations Q:Apply the rule to requests from A:any request Q:Response to client requests： A:Redirect the request to this internal web server （也就是剛才設定的192.168.0.200那台機器）好了，所有的設定都完畢了，接下來你就可以用外部的ip位址來訪問內部web server了。也就是我們剛才設定的這個位址：「http://202.100.111.111：8088」

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 04:26 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: ISA SERVER裡面QQ的Protocol Definitions設定和QQ通信網站上MS PROXY 2.0的設定不一樣了.... A: Protocol Definitions中定義一個傳輸協定，譬如說就QQ吧！然後在Primary Connection的參數中如下：Port Number:8000 Portocol Type:UDP Direction:SEND Secondary Connection的參數： Port Range:4000~7999 Protocol Type:UDP Direction:RECEIVE 這裡通過，300用戶級別的，很穩定！
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 04:43 AM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	配置isa2000+rras的vpn同時支持局內網和外網... 說到配置isa2000+rras作為單獨的vpn撥入服務器來使用.效果不錯.但是有個問題.. 就是播到isa2000+rras的vpn後,網際網路就不能ok了...原因是預設網關的問題...通過下面的方法來解決..一次性的解決.. isa2000上的設定... comm(comm)內容>internet 傳輸協定 (tcp/ip)>允許遠方的呼叫區域網路連接 tcp/ip位址分配指定tcp/ip位址 192.168.254.0 192.168.254.253 總計254 允許呼叫的電腦指定位址(打句) ================================= 客戶端的處理方法...(www) www 內容>一般>使用下面IP位址>192.168.254.12>高階>一般在遠方網路預設的網關(U)(不句取) 然後手動在客戶端加靜態路由.. 我有兩個網段,所以我加兩個靜態路由.. C:\>route -p add 192.168.1.0 mask 255.255.255.0 192.168.254.12 C:\>route -p add 192.168.5.0 mask 255.255.255.0 192.168.254.12 ok搞定..vpn+上網兩不誤.. 不過這樣對安全不利.. 因為萬一你的client被黑..那麼你的公司的內部資料就可以通過vpn外流了... 所以慎重考慮是否實施這個方法.

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 04:50 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Q: 為什麼我的ISA不能用secure NAT client上網？ A: 設定錯誤唄，還能為什麼？ 1。網關指向代理伺服器，這個應該不用再提了； 2。DNS位址，通常填代理伺服器的位址，這裡有些人會發生問題，因為許多人通常會在ISA伺服器上安裝DNS伺服器，由於DNS伺服器會在ISA的DNS轉發器之前截取UDP53連接埠的通訊，因此，需要在DNS伺服器上啟用轉發器。當然，工作站的DNS位址也可以設ISP的DNS伺服器，但當工作站需要登入伺服器的時候，會造成登入時間延長的問題。這是因為windows的名稱解析順序是先DNS後WINS，工作站登入的時候會根據DNS位址的設定在ISP的伺服器中搜尋你的伺服器的名稱，當然是找不到的，就是多耗了這段時間。因此，DNS位址還是指向代理伺服器好一點。 3。雖然ISA在protocol definitions中預定義了許多傳輸協定，但它不可能把所有軟體的傳輸協定和連接埠都包含進去，對於沒有進行預定義的應用程式，需要手工在protocol definition中增加，增加後注意要讓該傳輸協定在protocol rules中是allow的。如何尋找這些應用程式的傳輸協定和連接埠呢，可以使用netstat指令和個人防火牆譬如天網來搜尋。 4。ISA的NAT客戶是不能自動撥號的，需要等待其它兩種客戶端觸發撥號後才能上網。這是因為自動撥號的設定在network configuration->routing->default rule的action標籤中，只有web proxy client和firewall client才能觸發撥號。 Q: 我的DNS伺服器和ISA伺服器裝在一台伺服器上，是否是設定DNS轉發器為轉發到本機IP？ A: 轉發器填的是ISP的DNS伺服器位址。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:11 AM	#5 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	如何利用ISA限制檔案類型訪問不要用ISA預設的content group原則,這個原則有問題.使用後會把其他允許通過的ip包block掉. 1.你首先安裝一個分析ip包的工具,如IRIS or Sniffer pro. 2.如果你要限制客戶端機下載.exe的文件,你就用ip包分析工具,分析下載的exe的文件的包頭信息,找到資料包類型後,記下來. 3.在ISA中新增加一個content group,把你用ip分析工具得到的ip包信息輸入到要填寫的地方. 4.然後再用ISA的原則套用到你新增立的content group上,block掉該exe檔案類型的ip訪問. 5.如果要限制其他的類型,重複步驟1,2,3. 按照上面的操作你就可以實現控制流量的目的.其實,ISA的流量控制的確很好,但是並不適合我們的國情---因為我們這裡上internet的速度並不高,一般情況都在2mb左右;而國外的大公司的速度至少都是10MB.所以這個原則起的作用並不明顯.在國內,控制文件的類型訪問就可以,你想想,如果你只能訪問.html的資料,那你流量等大到哪裡去? ps:這個是幾個常用的content group. .exe : application/octet-stream .zip : application/x-zip-compressed .rm .ram : application/vnd.rn-realmedia File Name Extension MIME Type .hta application/hta .isp application/x-internet-signup .crd application/x-mscardfile .pmc application/x-perfmon .spc application/x-pkcs7-certificates .sv4crc application/x-sv4crc .bin application/octet-stream .clp application/x-msclip .mny application/x-msmoney .p7r application/x-pkcs7-certreqresp .evy application/envoy .p7s application/pkcs7-signature .eps application/postscript .setreg application/set-registration-initiation .xlm application/vnd.ms-excel .cpio application/x-cpio .dvi application/x-dvi .p7b application/x-pkcs7-certificates .doc application/msword .dot application/msword .p7c application/pkcs7-mime .ps application/postscript .wps application/vnd.ms-works .csh application/x-csh .iii application/x-iphone .pmw application/x-perfmon .man application/x-troff-man .hdf application/x-hdf .mvb application/x-msmediaview .texi application/x-texinfo .setpay application/set-payment-initiation .stl application/vndms-pkistl .mdb application/x-msaccess .oda application/oda .hlp application/winhlp .nc application/x-netcdf .sh application/x-sh .shar application/x-shar .tcl application/x-tcl .ms application/x-troff-ms .ods application/oleobject .axs application/olescript .xla application/vnd.ms-excel .mpp application/vnd.ms-project .dir application/x-director .sit application/x-stuffit .* application/octet-stream .crl application/pkix-crl .ai application/postscript .xls application/vnd.ms-excel .wks application/vnd.ms-works .ins application/x-internet-signup .pub application/x-mspublisher .wri application/x-mswrite .spl application/futuresplash .hqx application/mac-binhex40 .p10 application/pkcs10 .xlc application/vnd.ms-excel .xlt application/vnd.ms-excel .dxr application/x-director .js application/x-javascript .m13 application/x-msmediaview .trm application/x-msterminal .pml application/x-perfmon .me application/x-troff-me .wcm application/vnd.ms-works .latex application/x-latex .m14 application/x-msmediaview .wmf application/x-msmetafile .cer application/x-x509-ca-cert .zip application/x-zip-compressed .p12 application/x-pkcs12 .pfx application/x-pkcs12 .der application/x-x509-ca-cert .pdf application/pdf .xlw application/vnd.ms-excel .texinfo application/x-texinfo .p7m application/pkcs7-mime .pps application/vnd.ms-powerpoint .dcr application/x-director .gtar application/x-gtar .sct text/scriptlet .fif application/fractals .exe application/octet-stream .ppt application/vnd.ms-powerpoint .sst application/vndms-pkicertstore .pko application/vndms-pkipko .scd application/x-msschedule .tar application/x-tar .roff application/x-troff .t application/x-troff .prf application/pics-rules .rtf application/rtf .pot application/vnd.ms-powerpoint .wdb application/vnd.ms-works .bcpio application/x-bcpio .dll application/x-msdownload .pma application/x-perfmon .pmr application/x-perfmon .tr application/x-troff .src application/x-wais-source .acx application/internet-property-stream .cat application/vndms-pkiseccat .cdf application/x-cdf .tgz application/x-compressed .sv4cpio application/x-sv4cpio .tex application/x-tex .ustar application/x-ustar .crt application/x-x509-ca-cert .ra audio/x-pn-realaudio .mid audio/mid .au audio/basic .snd audio/basic .wav audio/wav .aifc audio/aiff .m3u audio/x-mpegurl .ram audio/x-pn-realaudio .aiff audio/aiff .rmi audio/mid .aif audio/x-aiff .mp3 audio/mpeg .gz application/x-gzip .z application/x-compress .tsv text/tab-separated-values .xml text/xml .323 text/h323 .htt text/webviewhtml .stm text/html .html text/html .xsl text/xml .htm text/html .cod image/cis-cod .ief image/ief .pbm image/x-portable-bitmap .tiff image/tiff .ppm image/x-portable-pixmap .rgb image/x-rgb .dib image/bmp .jpeg image/jpeg .cmx image/x-cmx .pnm image/x-portable-anymap .jpe image/jpeg .jfif image/pjpeg .tif image/tiff .jpg image/jpeg .xbm image/x-xbitmap .ras image/x-cmu-raster .gif image/gif 這也是一個比較簡單容易的方法,但是有些資料包並不是一般的格式,而且flashget也並不能識別所有的檔案類型,因此,ip包分析工具是最保險的方式...呵呵. Q: 我也是用sniffor 分析的！　這個很好用也準確！　不過我一直有一個問題，如何禁止客戶端上傳文件到一些ftp上呢？ A: 同時結合多種原則的定制。如content group+ clients set + protocol def

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:21 AM	#7 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA實戰 ISA幾大特點一、提供安全的Internet連接 1．多層次的防火牆保護 2．智能的應用程式過濾 3．安全的伺服器發佈 4．完整的VPN 二、快速的Web訪問 1．高效能的Web 快取 2．可昇級的分佈式快取 3．自動或者計劃工作的快取三、統一的管理 1．細微的訪問控制 2．豐富的系統管理工具 3．企業級的安全標準管理四、可擴展、開放的平台 ISA實際操作一、包過濾和入侵檢測在Access Policy中選項IP Packet Filters--Configure Packet Filtering and Intrusion Detection 可以設定防止Ping of death、UDP bomb等攻擊類型。二、可以按照用戶/組、應用程式、目標、連接類型、計劃工作等定制訪問控制例子：限制上班時間不允許訪問足球網站 1、 Policy Elements—Schedules—Work Hours—Schedule—定義不能訪問的時間 2、目標設定：Create a Destination Set—Sports—Add—目標—Football.com 3、 Site and content rules—Create a Site and Content Rule—Deny Football—Deny—Specified Destination Set—Name—Sports—Work Hours—Any Request—完成例子：限制上班時間ICQ佔用的帶寬 1、Bandwidth Priorities—Low—OutBound(20)—InBound(20) 2、Bandwidth Rules—ICQ—Selected Protocol—Work Hours-- Any Request—All Destinations—All content –Custom—Low—完成例子：不讓員工在上班時間訪問含MP3站點： 1、 Internet Groups—新增Content Group—名字--Mp3—Types—Mp3 2、 Site and content rules-- Create a Site and Content Rule—Deny Mp3—Deny—All Destinations—Always—Any Request 3、 Site and content rules—configure a site and content rule—選定Inactive時間範圍—Type—Mp3 三、充分利用緩衝減輕壓力例子：每天早上上班以前Down新浪的新聞快取 Configuration—Scheduled content download—sina—確定日期和時間—daily—dailynews.sina.com.cn—完成四、使用報警功能：例子：系統日誌錯誤時報警 Monitoring Configuration—Alert—Event log failure—輸入Email 位址—選項要進行的操作其實大家可以自由發揮很多，這就要看自己的實際需要了。譬如想封OICQ，傳輸協定列表裡面沒有，可以在Protocol Definitions裡面定義一條傳輸協定，然後。。。不多說了，估計有的人該罵我了，我還告訴別人怎麼繞過去的方法呢。另外，操作的步驟中可能寫的不是很詳細，參見我的另一篇文章ISA操作手冊。還要感謝網友Samsong對寫文章程序中的大力支持。 ISA實戰Ⅱ--進階篇一、使用ISA防止病毒目前病毒右鍵很多，主要特徵有特定的標題，附帶有「.exe」、「vbs」的附件等等，下面就介紹一下針對病毒郵件在ISA裡面進行配置：Extensions--Application Filters--SMTP filters--內容譬如右鍵內容包含「I Love You」的，在Keywords--Add--I Love you--Message Header or Body--Action--Forward message to--momo@371.net（有點過分啊，或者直接Delete meaasge也可以啊。）又譬如附件帶Readme.exe的，最近的Nimda病毒就是這樣，Attachment--Add-Attachment Name--readme.exe--Action--Delete meassage 二、入侵檢測 ISA已經支持一些一般的攻擊手段，還支持自訂的套用過濾器。譬如如果有人掃瞄10次以上連接埠就報警：IP Packet Filters--Configure Packet Filtering and Intrusion Detection--Enabled Intrusion Detection-- Intrusion Detection--Port Scan--Detect after attacks on 10 well-known ports--確定三、多台伺服器的發佈譬如要發佈局內網IP為172.16.1.100，主機頭名稱www.momo.com的一台伺服器,ISA伺服器IP為172.16.1.1，機器名為momo ISA上面的設定： Policy Elements--Destination sets--Create a Destination Set--Name:momo--Add--Destination -www.momo.com--OK Web Publishing--create a web publishing rule--Rule name:momo--Specified destination set --Name:momo--Any request--Redirect the request to this internal Web server(name or IP address)--172.16.1.100--選Send the original host header to the publishing server instead of the actual one(specified above)--連接埠不需更改重複上面的步驟，可以建立多個站點對外發佈，但是ISA的只能同時監聽一個Web連接埠，也就是說可以內部多個站點對外發佈，但是外面都要使用80連接埠進行訪問。最後一步：點中ISA管理界面的機器名 momo--右鍵--內容--Incoming Web request--Configure listeners individually per IP address--Add--Server:momo--IP address:172.16.1.1 四、 ISA的Client的幾種方式 1、 Web Proxy Clients: 最簡單，不用修改客戶的網路配置，只需要把客戶的IP代理設成提供ISA服務的機器就可以了。 2、 Secure NAT Client: 把客戶的default gateway改成ISA伺服器的內部網路卡的位址，可以提供除Web以外的服務，工作量相對Firewall要小，但是不能夠提供任何認證。 3、 Firewall Client: 需要安裝ISA客戶端，工作量相對比較大，但是可以提供全方面的服務，並且利於統計各種資料。五、 ISA的報表功能： Proxy沒有提供報表功能，在ISA裡面可以提供豐富的報表，並且提供SDK軟體包，支持自訂的Web filters和可擴展的UI(女朋友C)。由於報表功能比較簡單，這裡就不詳細講述了。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:23 AM	#8 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA2000限制用戶下載的配置方法在這裡，假定貴公司所有機器使用的是靜態IP位址，你要限制所有員工在上班時間不允許下載，但某些機器可以下載（譬如你自己的機器，或是某台服務器）那麼我們開始吧：　　一、首先保證你的ISA已經配置好，客戶端機都能通過ISA 2000 Server上網，並且配置不允許用戶使用網關方式，只能安裝ISA客戶端程序才可上網。　　二、在「Schedules」中設定好公司的上班時間Work hours。　　三、在「Clent Address Sets」中點擊「Create a Clent Set」，名稱取為Clent IP，點擊下面的Add，輸入客戶端機的IP段，譬如form：192.168.0.20 to：192.168.0.254，點兩次OK。重複剛才的操作配置好服務器IP或是不受下載限制的客戶端機IP，我們就取名叫Server IP吧。如果IP不連續，譬如唯一的一台服務器IP是192.168.0.100，那麼form和to中都填它即可。　　四、在「Content Groups」中新增一「Content Group」，「Name」和「Description」自己填，自己知道是限制下載的即可。　　五、在「Available types」中選項以下類型增加到右邊的「Selected types」框中，直接要限制那些內容自己可以靈活定制 application/cdf application/envoy application/fractals application/futuresplash application/hta application/mac-binhex40 application/octet-stream application/oda application/pics-rules application/pkcs10 application/pkix-cert application/pkix-crl application/rtf application/sdp application/smil application/streamingmedia application/vnd.fdf application/vnd.ms-pki.certstore application/vnd.rn-realmedia application/vnd.rn-realplayer application/winhlp application/x-bcpio application/x-cdf application/x-compress application/x-compressed application/x-cpio application/x-csh application/x-director application/x-dvi application/x-gtar application/x-gzip application/x-hdf application/x-latex application/x-mix-transfer application/x-mplayer2 application/x-mscardfile application/x-msclip application/x-msdownload application/x-msmediaview application/x-msmetafile application/x-msmoney application/x-msschedule application/x-msterminal application/x-mswrite application/x-netcdf application/x-zip-compressed audio/aiff audio/basic audio/mpeg audio/mpegurl audio/mpg audio/vnd.rn-realaudio audio/wav audio/x-mpeg audio/x-megprul audio/x-mpg video/avi video/mpeg video/msvideo video/x-la-asf video/x-mpeg video/x-mpeg2a video/x-ms-asf video/x-msvideo 點擊OK。　　六、在「Site and Content Rules」中點擊「Create Site and Content Rule」新增一規則，名稱自己取，我們在這取名為「Denied Rule」，下一步，選項「Deny」，下一步選項Apply this rule to：All destinations，下一步選項Use this schedule:Work hours，下一步，選項「Specific computers(client address sets)」，下一步，點擊「Add」，在新視窗中選項我們建立的Client IP，點擊「Add>」，點OK，下一步，完成。　　七、雙按我們剛才建立的Rules，點擊「HTTP Content」，選項「Selected content groups」，再選項我們建立的那個Content types，注意，只選項它即可，點擊OK。　　八、再點擊「Applies To」，這裡我們只指定了客戶端機的IP，現在把不受下載限制的Server IP增加到Exceptions框中，點擊確定，大功告成。　　註：一、限制FTP不在此討論範圍

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:25 AM	#9 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA和Outlook 現象當你試突用Microsoft Outlook Express 5.0 連接一個 Hotmail e-mail 帳號時, 可能得到一個或多個以下錯誤信息: Unable to poll for new mail messages on your HTTP server. Account 'Hotmail', Server 'http://services.msn.com/svcs/hotmail/httpmail.asp', Protocol HTTPMail, Server Response: 'Proxy Authentication Regquired', Port 0, Secure (SSL): No, Error Number: 0x800CCC37 -或者- Outlook Express Your proxy requires you to authenticate. Contact your network administrator for assistance. -或者- Outlook Express Clients using an ISA server as a Firewall and Web proxy server may see the following error: Unable to poll for new messages on your HTTP server. Account: 'Hotmail', server : 'http://services.msn.com/svcs/hotmail/httpmail.asp',Protocol" HTTPMail, Server Response: 'Proxy Authentication Required (The ISA server requires authorization to fulfill the request. Access to the Web Proxy service is denied. )', Port: 0, Secure(SSL): No, Error Number: 0x800CCC37 原因如果Outlook Expresst不能鑒別你正在使用的代理伺服器,而Web Proxy的"Access Control"又開啟了,將導致這一錯誤. 解決使用以下方法之一: 關閉Web Proxy的"Access Control". 配置Internet Explorer 和 Outlook Express 不使用代理伺服器(Proxy server), 而使用Winsock代理客戶端(Winsock Proxy client).

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:26 AM	#10 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA安裝必讀問題 Microsoft Internet Security and Acceleration Server 2000 是防火牆還是緩衝伺服器？答案 ISA Server 可以配置為一個集成的防火牆和緩衝方案；也可以作為防火牆或專用的緩衝裝置分別佈署。期望得到一個牢固的防火牆方案的公司可以使用ISA Server 動態資料包過濾器、侵擾偵測、系統強化和"智能"應用程式過濾器來保障網路的安全；期望得到一個專用緩衝方案的公司可以用 ISA Server 先進的緩衝功能來提高網路效能。 -------------------------------------------------------------------------------- 問題把防火牆和緩衝方案集成在一起的優點有哪些？答案雖然公司也可以選項分別安裝防火牆和緩衝功能，但 ISA Server 對進出流量提供的是連續、單點訪問的原則和管理。這樣，系統和網路管理員可以在更短的時間瞭解狀況，而需要管理和維護的設備也更少。 -------------------------------------------------------------------------------- 問題安裝緩衝功能會影響 ISA Server 作為防火牆的安全性嗎？答案不會。緩衝基本上是一個智能的存儲引擎，它使網路管理員可以通過存儲經常被檢索的對象來提高網路訪問效能。Web 緩衝建立在 Web 代理引擎的上部，它提供 HTTP 連接和過濾功能，以及與安全有關的工作，如內容過濾，URL 攔截。 -------------------------------------------------------------------------------- 問題我可否只配置防火牆功能？答案可以。您可以只配置防火牆作為安全方案。作為安裝程序的一部分，您可以選項的 ISA Server 模式包括：防火牆，緩衝或二者集成。選項防火牆模式，您可以通過配置控制公司網路和 Internet 之間的通訊規則，來保障網路通信的安全。您也可以在內部伺服器上發佈信息，與 Internet 用戶安全地分享資料。選項緩衝模式，您可以通過將常訪問的對象存儲在離客戶更近的地方，來提高網路效能，節省帶寬。您也可以在內部 Web 伺服器上發佈信息。集成模式綜合了防火牆和緩衝的功能，保證安全性並提高效能。不論哪種模式，您都可以受益於 ISA Server 的企業原則管理、既時監測和報告功能。 -------------------------------------------------------------------------------- 問題緩衝功能如何影響帶寬要求和信息的可用性？答案緩衝功能通過使Web內容更接近用戶，降低了帶寬要求。通過緩衝客戶頻繁檢視的內容，對帶寬的需求可降低 40%。緩衝功能甚至可以在源內容離線或不可用的狀態下為客戶提供相關內容。 -------------------------------------------------------------------------------- 問題 ISA Server 是否要求配備 Active Directory？答案要獲得 ISA Server 的安全性和增速優勢，並不要求必須有 Active Directory。但是，如果客戶期望在整個企業裡新增和佈署分層訪問原則，或新增一個用於負載平衡和容錯的陣列，則需要 Active Directory。可以用 Active Directory 建立陣列，同時和當前域之間建立信任關係，以縮小更改需求。這種情況下，不需完全遷移至 Active Directory。 -------------------------------------------------------------------------------- 問題我能否從 Microsoft Proxy Server 2.0 遷移到 ISA Server？答案可以。對執行 Proxy Server 2.0 的用戶，有一個昇級路徑。ISA Server 強大的防火牆和緩衝功能將支持使用 Proxy Server 2.0 的方案。但是，ISA Server 是一個關於 Microsoft Windows 2000 操作系統安全和可靠性功能的新產品，它有一個專為企業安全和緩衝而設計的嶄新的體系結構。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:27 AM	#11 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	在ISA Server上啟用應用程式和服務的Internet訪問問：我安裝了Internet Security and Acceleration (ISA) Server 2000 並啟用了針對HTTP和FTP的傳輸協定規則。但是，當我試突在執行 ISA Server 的電腦上使用指令行FTP客戶端和Web瀏覽器時，卻無法使用。如何從執行ISA Server的電腦允許FTP和HTTP訪問？答：通常，如果您想在執行ISA Server 的電腦上啟用針對服務和應用程式的Internet訪問，就必須新增資料包過濾器。驗證電腦未被設定為SecureNAT或防火牆客戶端。在執行ISA Server的電腦上，設定資料包過濾器允許對外訪問服務和應用程式所需要的傳輸協定。例如，如果需要從執行ISA Server的電腦對外訪問FTP伺服器，您可以新增兩個資料包過濾器： FTP Client OUT（過濾器1）傳輸協定= TCP 方向=對外本機連接埠=動態遠端連接埠= 21 FTP Client IN（過濾器2）傳輸協定= TCP 方向=對內本機連接埠=任意遠端連接埠= 20 針對HTTP和HTTP隧道FTP的資料包過濾器存在一個例外情況。您可以將執行ISA Server的電腦上的Web瀏覽器配置為Web代理客戶端。當您這樣做時，請驗證在瀏覽器的Web代理客戶端配置對話視窗中使用了執行ISA Server的電腦的內部IP位址。如果您使用了一個電腦名稱稱或完全合格的域名（Fully Qualified Domain Name，FQDN），執行ISA Server的電腦可能無法解析電腦的名稱。如果執行ISA Server 的電腦擁有一個撥號外部接頭，您可能需要設定瀏覽器使用該撥號接頭的Web代理客戶端配置。在Microsoft Internet Explorer中，執行下列步驟，將瀏覽器配置為Web代理客戶端：在「工具」表單上，按下「Internet選項」。在「Internet選項」對話視窗中，按下「連接」選擇項。在「撥號和虛擬專用網路設定」中，按下撥號連接，然後按下「設定」。在「代理伺服器」中，按下「僅對此連接使用代理伺服器（這些設定不會套用到其它連接）」複選框。在「位址」文本框中，輸入執行ISA Server 的電腦的內部接頭位址。在「連接埠」文本框中，輸入「外出Web請求」偵聽程序所用的連接埠。按下「確定」，然後再次按下「確定」關閉對話視窗。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:28 AM	#12 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	使用 ISA Server 安全地發佈多個 Web 站點對於要在 Internet 上搜尋 Web 站點的人們來說，站點名稱必須與 ISA Server 電腦的外部網路橋接器的公用 IP 位址相關聯。 ISP 或網路管理員可以說明做到這一點。 DNS 通常會有一個用於將 www.您的域名.com 指向 ISA Server 電腦的外部橋接器的條列。 1. 發佈 Web 站點若要將 http://www.example.com/site1 的請求路由到 SERVER1，將 http://www.example.com/site2 的請求路由到 SERVER2，必須先為每個內部伺服器新增目標集合。以後新增的 Web 發佈規則會將這些 URL 連接到相應的內部伺服器。新增第一個目標集合啟動 ISA Server 管理控制台：按下開始，指向程序，指向 Microsoft ISA Server，然後按下 ISA Management（ISA 管理）。展開左視窗中的"Servers（伺服器）"資料夾，然後展開您的伺服器資料夾。右鍵按下 Destination Sets（目標集合），指向新增，然後按下 Set（集合）。命名該集合（例如 Site 1），然後按下 Add（增加），將一個伺服器增加到該集合中。在 Destination（目標）框中，鍵入您通過 ISP 建立的站點名稱（在本例中為 [url]www.example.com︴/url]^。在 Path（路徑）框中，鍵入 /site1/。星號非常重要。在接下來的對話視窗中都按下確定。備註：重複這些步驟，新增名為 Site 2（第 6 步）的目標集合，路徑為"/site2/"（第 9 步）。新增 Web 發佈規則 Web 發佈規則將請求轉發IP到正確的伺服器。請按照下列步驟新增第一個規則：在左視窗中，展開"Publishing（發佈）"資料夾。右鍵按下 Web Publishing Rules（Web 發佈規則），指向新增，然後按下 Rule（規則）。將規則命名為 Site 1。按下 Specified destination set（指定的目標集合），然後按下 Site 1。按下 Any request（任何請求）。按下 Redirect the request to this internal Web server (name or IP address)（將請求重轉發IP到此內部 Web 伺服器（名稱或 IP 位址））。按下 Browse（瀏覽），按下 SERVER1，然後按下完成。備註：重複這些步驟，新增名為 Site 2（第 3 步）的規則，使用 Site 2 目標集合（第 4 步），重轉發IP到 SERVER2（第 7 步）。 2. 缺陷當人們連線到站點時，看不到您發佈的伺服器。人們連線到站點時，可能會看到"正在建設中"頁，或者什麼也看不到。這很可能是因為 IIS 正在 ISA Server 電腦上執行。於是，對站點的請求被轉發IP到 ISA Server 電腦上的 IIS。您應該將 IIS 從該 ISA Server 電腦卸載。ISA Server 電腦應該只執行 ISA Server，不應該執行其他服務。您正嘗試發佈多個站點，但是它們都不能正確工作。請確保您的目標集合和發佈規則的配置正確無誤。目標集合應該將您的 ISA Server 電腦的外部名稱連同一個路徑指定為目標，該路徑與您想讓用戶在訪問相應內部伺服器時在其瀏覽器中鍵入的路徑相匹配。Web 發佈規則應該包括正確的目標集合，並且應該引用正確的內部伺服器。返回去檢視第 1 節中的示例，特別注意一下依存關係。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:29 AM	#13 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	如何使DHCP與ISA結合實現客戶端零管理大家都知道裝完ISA後，通過安裝Firewall 可以對IE的代理伺服器自動進行配置。那如果不安裝客戶端如何實現呢。可以通過DHCP和DNS。在這裡我介紹一下DHCP實現的方法。一、配置DHCP 1、在DHCP 的ACTION 中選項[設定預定義選項]（Predefined Options）點[ADD] 2、出現選項類型表單。名稱：任意寫。但我寫：WPAD 資料類型： String 程式碼： 252（切記） 3、返回第一步的表單，選則剛剛建好的條列。在值的框框裡添寫如下： http://ISA_SERVER/WPAD.DAT 伺服器名稱是安裝ISA的機器名。 4、然後在伺服器選項中選項配置選項。找到剛才新見的條列打勾。二、配置ISA 1、在ISA左邊的電腦圖示點右鍵，出現內容框，點之。 2、選項 [Auto Discovery] tab. 打勾勾。連接埠不用改。 3、從新啟動服務後，即可。三、配置IE 1、選項自動搜尋就OK。註：其實通過DNS也能完成。但是卻有利有弊。大家可以在探討探討。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:31 AM	#14 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA和Exchange在同一電腦上的發佈 1. 先安裝好Exchange2K Server 2. 安裝ISA Server,安裝時要選項全部安裝（因為需要用到其中的 Message Screener) 3. 開啟Exchange System Manager---Server---你的Server-- Protocols---SMTP 右擊Default SMTP Virtual Server,選項Properties. 選項General標籤下的IP address---Advanced 在List中只保留內部的IP位址，其它的都要 Remove 4.開啟Internet Security and Acceleration Server---Servers and Arrays---你的Server---Extensions---Application Filters. 右擊SMTP Filter，選項Properties. 在General標籤下, 確定已選 Enable this filter。 6.做server-publishing rule，（記住這裡不能使用Mail Server Security Wizard來做）開啟Server Publishing Rules--New---Rule 給這條rule起一個名，如'Exch Publishing',在Address Mapping設定中,IP address of internal server填上伺服器的內部IP Address External IP address on ISA Server填上伺服器的外部IP Address Protocol Settings中選項SMTP Server Client Type中選項 Any Request 7.完成設定（完成後最好重新啟動一下伺服器）

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2004-02-26, 05:33 AM	#15 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	新手必讀 ISA完整的名字叫作Microsoft Internet Security and Acceleration Server（網際網路安全和加速伺服器），是Proxy2.0的下一代產品，能夠很好的2000系列產品配合使用，它和Proxy的主要差別就是在防火牆的功能方面有了很大的提升，所以才不用在叫proxy而叫Internet Security了，集成了目前防火牆的需多功能。一、軟硬體配置：Windows2000+AD、256M記憶體、網路卡二、安裝： 1．三種模式：（1）防火牆模式：FireWall Mode （2）高速緩衝模式：快取 Mode （3）完整模式：Integrated Mode（增加了Web Hosting Functionality） 2．停止了IIS Publishing Service（W3SVC），安裝完成後Uninstall IIS或者重新配置IIS站點，不要使用80和8080連接埠。 3．填入IP範圍（必須包含本機的位址）三、使用： 1． Monitoring：（1） Alerts：報警（2） Services：啟動和停止服務（3） Sessions：會議（4） Reports：報表 2． Computer：顯示電腦狀態 3． Access Policy：訪問原則（1） Site and Content Rules：站點和目錄規則（2） Protocol Rules：傳輸協定規則（3） IP Packet Filters：IP包過濾 4． Publishing：發佈（1） Web Publishing Rules：站點發佈規則（2） Server Publishing Rules：伺服器發佈規則 5． Bandwidth Rules：帶寬限制規則 6． Policy Elements：（1） Schedules：計劃工作（2） Bandwidth Priorities：帶寬優先權（3） Destination sets：目標位址設定（4） Client Address sets：客戶位址設定（5） Protocol Definitions：傳輸協定定義（6） Content Groups：內容組（7） Dial-up Entries：撥號連接 7．快取 Configuration：快取的設定（1） Schedules content Download：計劃工作下載內容（2） Drivers：磁牒大小設定 8． Monitoring Configuration：警告配置（1） Alerts：報警（2） Log：日至（3） Report jobs：報表 9． Extensions：擴展功能：（1） Application Filters：應用程式過濾（2） Web Filters：Web過濾 10． Network Configuration：網路配置（1） Routing：路由（2） Local Address Table：近端網址列表（3） Local Domain Table：本機域列表 11． Client Configuration：客戶配置（1） Web Browser：Web瀏覽（2） Firewall client：防火牆客戶四、對應的服務： 1． Microsoft FireWall: fwsrv 2． Microsoft Server Control: isactrl 3． Microsoft Scheduled 快取 Content Download: w3schdwn 4． Microsoft Web Proxy: w3proxy 其中服務2依賴於1、3、4 五、配置原則：（舉幾個小例子） 1． Secure Your ISA Server Computer：自己定制一套方案 2．限制帶寬：Bandwidth-右鍵-內容 3．從我使用isa的情況來看，好像沒有直接設定每個用戶的帶寬，而是可以為先新增一些組，然後設定帶寬原則，然後讓這些擁護套用這些原則，其中限制是靠優先級別實現的，不過可以結合QOS來使用就比較挖完美了。 4．關閉Ping(ICMP)：IP Packet Filters—起名--block packet transmission—predefine—icmp ping query—default IP address for each external on the ISA server computer—all remote computer—完成。另外它還可以輕鬆的定義傳輸協定規則、包過濾規則、應用程式過濾、站點發佈規則、高速緩衝等等，總之功能還是很強大的，就不一一舉例了。由於使用時間不長，所以很多功能還沒有開發出來，希望大家補充指正。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

主題工具
顯示可列印版本郵寄本頁給好友
顯示模式
平板模式切換到混合模式切換到樹形模式

相似的主題
主題	主題作者	討論區	回覆	最後發表
ISA Server安裝和佈署FAQ	psac	網路軟硬體架設技術文件	0	2004-06-01 03:04 PM
Internet Security and Acceleration Server 2004	psac	網路軟硬體架設技術文件	0	2004-03-04 08:35 PM
ISA SERVER2000 學習筆記	psac	網路軟硬體架設技術文件	2	2003-11-25 08:56 AM
ISA SERVER2000 學習筆記	psac	作業系統操作技術文件	0	2003-05-18 04:33 AM

Google 提供的廣告