ISA Server 2004 系统策略.doc_第1页
ISA Server 2004 系统策略.doc_第2页
ISA Server 2004 系统策略.doc_第3页
ISA Server 2004 系统策略.doc_第4页
ISA Server 2004 系统策略.doc_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

ISA Server 2004 系统策略Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一种默认的系统策略配置,允许使用网络基础结构正常运行通常所需的服务。从安全角度来讲,通常强烈建议用户配置系统策略以便不允许访问非管理网络所必需的服务。请在安装后仔细查看配置的系统策略规则。同样,请在执行完主要的管理任务后再次查看系统策略配置。本文档将描述系统策略规则所启用的一些服务。目录l 网络服务 l 身份验证服务 l 远程管理 l 防火墙客户端共享 l 诊断服务 l 连接验证程序 l SMTP l 预定下载作业 l 访问 Microsoft 网站 l 其他资源网络服务安装 ISA Server 时就启用了基本网络服务。安装后,ISA Server 可访问名称解析服务器和内部网络上的时间同步服务。如果网络服务由不同的网络提供,应当修改适用的配置组源以应用特定网络。例如,假定 DHCP 服务器不在内部网络而在外围网络上。则修改 DHCP 配置组源,以应用于该外围网络。用户可修改系统策略,以便只可以访问内部网络上的特定计算机。或者,如果服务位于其他位置,也可以添加其他网络。下表显示了应用于网络服务的系统策略规则。配置组规则名称规则描述DHCP允许从 ISA Server 到内部网络的 DHCP 请求允许从 DHCP 服务器到 ISA Server 的 DHCP 答复允许 ISA Server 计算机使用 DHCP(答复)和 DHCP(请求)协议访问内部网络。DNS允许从 ISA Server 到所选服务器的 DNS允许 ISA Server 计算机使用 DNS 协议访问所有网络。NTP允许从 ISA Server 到受信任的 NTP 服务器的 NTP允许 ISA Server 计算机使用 NTP (UDP) 协议访问内部网络。DHCP 服务如果 DHCP 服务器不在内部网络上,则必须修改系统策略规则以便其应用于 DHCP 服务器所在的网络。例如,如果 DHCP 服务器位于内部网络上,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”的控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的“配置组”树中,单击“DHCP”。5. 在“来自”选项卡上,单击“添加”。6. 在“添加网络实体”中,选择一个网络对象。提示: 建议如果知道 DHCP 服务器的 IP 地址,则使用该 IP 地址创建一个计算机集并选择该计算机集。强烈建议当 DHCP 服务器位于不受信任的网络上时执行以上操作。7. 单击“添加”,然后单击“关闭”。身份验证服务ISA Server 的一个基本功能是能够将防火墙策略应用到特定用户。然而,要想验证用户的身份 ISA Server 必须能够与身份验证服务器通信。因此,ISA Server 默认能够与 Active Directory 服务器(用于 Windows 身份验证)和内部网络上的 RADIUS 服务器通信。下表显示了应用于身份验证服务的系统策略规则。配置组规则名称规则描述Active Directory允许出于身份验证目的访问目录服务允许从 ISA Server 到受信任的服务器的 RPC允许从 ISA Server 到受信任的服务器的 Microsoft CIFS允许从 ISA Server 到受信任的服务器的 Kerberos 身份验证允许 ISA Server 计算机使用各种 LDAP 协议、RPC(所有接口)协议、各种 Microsoft CIFS 协议以及使用 Active Directory 目录服务的各种 Kerberos 协议访问内部网络。RSA SecurID允许从 ISA Server 到受信任的服务器的 SecurID 身份验证允许 ISA Server 计算机使用 RSA SecurID 协议访问内部网络。RADIUS允许从 ISA Server 到受信任的 RADIUS 服务器的 RADIUS 身份验证允许 ISA Server 计算机使用不同 RADIUS 协议访问内部网络。证书吊销列表允许从 ISA Server 到所有网络的 HTTP 以下载 CRL身份验证服务:允许从 ISA Server 到所选网络的 HTTP,以下载最新的证书吊销列表 (CRL)。DCOM如果需要使用 DCOM 协议(例如,远程管理 ISA Server 计算机),则确保不启用“强制严格符合 RPC”。要想验证“强制严格符合 RPC”没被选中,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的“配置组”树中,单击“Active Directory”。5. 验证“强制严格符合 RPC ”没被选中。提示: 包括远程管理和自动注册等多种服务常常需要 DCOM。Windows 和 RADIUS 身份验证服务如果不需要 Windows 身份验证或 RADIUS 身份验证,应当执行以下步骤禁用适用的系统策略配置组。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的“配置组”树中,单击“Active Directory”。5. 在“常规”选项卡上,验证“启用”没被选中。注意: 当禁用 Active Directory 系统策略配置组时,对所有 LDAP 协议的访问均被有效禁用。如果需要 LDAP 协议,则创建一条允许使用这些协议的访问规则。6. 对 RADIUS 配置组重复步骤 4-5。提示: 如果只需要 Windows 身份验证,确保配置系统策略禁止使用所有其他身份验证机制。RSA SecurID 身份验证服务默认状态下不启用与 RSA SecurID 身份验证服务器的通信。如果防火墙策略需要 RSA SecurID 身份验证,则确保启用该配置组。 CRL 身份验证服务默认状态下不能下载证书吊销列表 (CRL)。这是因为默认状态下不启用 CRL 下载配置组。要想启用 CRL 下载,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的“配置组”树中,单击“CRL 下载”。5. 在“常规”选项卡上,验证“启用”已被选中。6. 在“到”选项卡上,选择可从其下载证书吊销列表的网络实体。 将允许从本地主机网络(ISA Server 计算机)到“到”选项卡上列出的网络实体的所有 HTTP 流量。远程管理用户常常要从远程计算机管理 ISA Server。小心确定允许哪些远程计算机管理和监视 ISA Server。下表显示了应当配置的系统策略规则。配置组规则名称规则描述Microsoft 管理控制台允许从所选计算机使用 MMC 进行远程管理允许到所选计算机的 MS 防火墙控制通信允许“远程管理计算机”计算机集中的计算机使用 MS 防火墙控制和 RPC(所有接口)协议访问 ISA Server 计算机。终端服务器允许从所选计算机使用终端服务器进行远程管理允许“远程管理计算机”计算机集中的计算机使用 RDP(终端服务)协议访问 ISA Server 计算机。ICMP (Ping)允许从所选计算机到 ISA Server 的 ICMP (PING) 请求允许“远程管理计算机”计算机集中的计算机使用 Ping 协议访问 ISA Server 计算机,反之亦然。默认状态下启用允许远程管理 ISA Server 的系统策略规则。可通过运行 Microsoft 管理控制台 (MMC) 管理单元或使用终端服务来管理 ISA Server。这些规则默认应用于内置“远程管理计算机”计算机集。安装 ISA Server 时将创建该空计算机集。将该空计算机集添加到所有将远程管理 ISA Server 的计算机中。在将该空计算机集添加到所有将远程管理 ISA Server 的计算机之前,不可以从任何计算机上有效使用远程管理。提示: 通过配置系统策略规则以仅应用于特定 IP 地址来限制到特定计算机的远程管理。要想启用远程管理,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“工具箱”选项卡上,单击“网络对象”。4. 在“网络对象”下方的工具栏上,右键单击“计算机集”下方的“远程管理计算机”,然后单击“属性”。5. 单击“添加”,然后单击“计算机”。6. 在“名称”中,键入计算机名。7. 在“计算机 IP 地址”中,键入可远程管理 ISA Server 的计算机的 IP 地址。远程监视和日志记录默认状态下禁用远程日志记录和监视。默认状态下禁用以下配置组:l 远程日志记录 (NetBIOS) l 远程日志记录 (SQL) l 远程性能监视 l Microsoft 操作管理器 下表描述了这些配置组。配置组规则名称规则描述远程日志记录 (NetBIOS)允许使用 NetBIOS 远程记录到受信任的服务器允许 ISA Server 计算机使用各种 NetBIOS 协议访问内部网络。远程日志记录 (SQL)允许从 ISA Server 到所选服务器的远程 SQL 日志记录允许 ISA Server 计算机使用 Microsoft (SQL) 协议访问内部网络。远程性能监视允许从受信任的服务器远程监视 ISA Server 的性能允许“远程管理计算机”计算机集中的计算机使用各种 NetBIOS 协议访问 ISA Server 计算机。Microsoft 操作管理器允许使用 Microsoft 操作管理器 (MOM) 代理从 ISA Server 远程监视受信任的服务器允许 ISA Server 计算机使用 Microsoft 操作管理器代理访问内部网络。启用远程日志记录和监视要想启用远程监视和日志记录,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的“配置组”树中,选择以下配置组中的一个或多个:l 远程日志记录 (NetBIOS)l 远程日志记录 (SQL)l 远程性能监视l Microsoft 操作管理器5. 在“常规”选项卡上,确认“启用”已被选中。防火墙客户端共享如果在安装 ISA Server 时安装了防火墙客户端共享组件,则默认启用防火墙客户端安装共享配置组。内部网络上的所有计算机均可以访问该共享文件夹。下表显示了已启用的系统策略配置组(及规则)。配置组规则名称规则描述防火墙客户端安装允许从受信任的计算机访问 ISA Server 上的防火墙客户端安装共享允许内部网络上的计算机使用多种 Microsoft CIFS 和 NetBIOS 协议访问 ISA Server 计算机。当启用该规则时,将允许从任何网络或指定计算机上使用 SMB 访问 ISA Server 计算机。不仅限访问防火墙客户端安装共享文件夹。如果没有安装防火墙客户端共享组件,则不启用该配置组。诊断服务默认情况下启用允许访问诊断服务的系统策略规则,带有以下权限:l ICMP。 面向所有网络允许该权限。该服务对于确定与其他计算机的连接至关重要。l Windows 网络。 默认允许内部网络上计算机间的 NetBIOS 通信。l Microsoft 错误报告。 允许 HTTP 访问 Microsoft 错误报告站点 URL 集,以允许报告错误信息。该 URL 集默认包含特定的 Microsoft 站点。l 连接验证程序。 允许 ISA Server 计算机使用 HTTP 和 HTTPS 协议检验特定计算机是否有响应。下表显示了默认启用的系统策略配置组。配置组规则名称规则描述ICMP允许从 ISA Server 到所选服务器的 ICMP 请求允许 ISA Server 计算机使用多种 ICMP 协议和 Ping 协议访问所有网络。Windows 网络允许从 ISA Server 到受信任的服务器的 NetBIOS允许 ISA Server 计算机使用多种 NetBIOS 协议访问所有网络。与 Microsoft(Microsoft 错误报告)的通信允许 ISA Server 与指定 Microsoft 错误报告站点间的 HTTP/HTTPS允许 ISA Server 计算机使用 HTTP 或 HTTPS 协议访问 Microsoft 错误报告站点 URL 集成员。连接验证程序此外,默认情况下不启用以下诊断服务:HTTP 连接验证程序。创建连接验证程序时将启用 HTTP 连接验证程序配置组,允许本地主机网络使用 HTTP 或 HTTPS 访问任何其他网络上的计算机。下表描述了 HTTP 连接验证程序配置组。配置组规则名称规则描述HTTP 连接验证程序针对 HTTP 连接验证程序允许从防火墙到与所有网络的 HTTP/HTTPS允许 ISA Server 计算机通过发送 HTTP GET 请求到特定计算机来检查连接。建议将该访问限制到想要检验其连接的特定计算机。要想限制该访问,请执行以下步骤。1. 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。2. 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。3. 在“任务”选项卡上,单击“编辑系统策略”。4. 在“系统策略编辑器”上的配置组”树中,单击“HTTP 连接验证程序”。5. 在“到”选项卡上,单击“所有网络(及本地主机)”,然后单击“删除”。6. 单击“添加”,然后选择想要检验其连接的网络实体。将允许从本地主机网络(ISA Server 计算机)到“到”选项卡上列出的网络实体的所有 HTTP 流量。SMTP默认情况下启用 SMTP 配置组,允许从 ISA Server 到内部网络计算机的 SMTP 通信。例如,当想要在电子邮件中发送警报信息时需要启用 SMTP 配置组。下表描述了 SMTP 配置组。配置组规则名称规则描述SMTP允许从 ISA Server 到受信任的服务器的 SMTP允许 ISA Server 计算机使用 SMTP 协议访问内部网络。预定下载作业默认情况下禁用预定下载作业功能。下表描述了预定下载作业配置组。配置组规则名称规则描述预定下载作业允许从 ISA Server 到所选计算机的 HTTP 以进行内容下载作业允许 ISA Server 计算机使用 HTTP 协议访问所有网络。创建内容下载作业时将提示启用该系统策略规则。ISA Server 将能够访问内容下载作业中指定的站点。访问 Microsoft 网站默认系统策略允许从本地主机网络(即 ISA Server 计算机)到 网站的 HTTP 和 HTTP

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论