使用ISA Server使您的网络更加安全
专家介绍
Host MS_Chat_Emcee says:
本次聊天将于4点准时开始
Host MS_Chat_Emcee says:
本次聊天的主题是:使用ISA Server使您的网络更加安全 ,聊天时间为2003年11月6日 下午4:00至5:00
Host MS_Chat_Emcee says:
来自微软全球技术中心专家马亦菁将为大家进行ISA Server方面的答疑解惑。
Host MS_Chat_Emcee says:
聊天正式开始了。请大家在下面的窗口进行讨论
Host MS_Chat_Emcee says:
专家会把问题从下面的窗口中挑选出来,一并在上面的窗口予以解答。
提问与解答 QA
Host MS_Chat_Emcee says:
本次聊天将于4点准时开始
Host MS_Chat_Emcee says:
本次聊天的主题是:使用ISA Server使您的网络更加安全 ,聊天时间为2003年11月6日 下午4:00至5:00
Host MS_Chat_Emcee says:
来自微软全球技术中心专家马亦菁将为大家进行ISA Server方面的答疑解惑。
Host MS_Chat_Emcee says:
聊天正式开始了。请大家在下面的窗口进行讨论
Host MS_Chat_Emcee says:
专家会把问题从下面的窗口中挑选出来,一并在上面的窗口予以解答。
[Q]: 用支持winsock 的客户端程序,还需要在isa 中打开相应的端口吗?比如证券之星,我设置好了winsock 代理,protocol rule/site content rule/ippacket filter 还对他生效吗?
[A]ISA支持缺省状态下的协议,你可以在protocol definition中找到
[Q]请问连到微软专家在线聊天室需要开放哪些端口?
[A]应该用HTTP就可以了
[Q]用了isa MSN的语音和视频不好用了是怎么回事?
[A]- For File Transfer and Video Conference: Configure the following rules and protocols: MSN MESSENGER SETTINGS FOR ISA2000 ******************************************************** PROTOCOL RULE *****************************************
Protocol Rule Name : MSN Msgr Enabled : True Action taken with requests : Allow Rule applies to : Selected Protocols Protocols : MSN Msgr (Real) , Net2Phone , Rule Applies to : Any Request
PROTOCOL DEFINITION ******************************************************** Protocol Definition Name : MSN Msgr (Real) Initial Connection Port Number : 1863 Initial Protocol Type : TCP Initial Direction : Outbound Secondary Connections:
Secondary Connections: Port Range : 5004 - 65535 Protocol Type : UDP Direction : Send and then Receive Port Range : 6891 - 6900 Protocol Type : TCP Direction : Inbound Port Range : 6891 - 6900 Protocol Type : TCP Direction : Outbound
FIREWALL CLIENT CONFIGURATION ******************************************************** [msmsgs] - NameResolutionForLocalHost: E - RemoteBindUDPPorts: 0,6901
[Q]我已经启用了isa- enable ip routing ,但还是不可以ping 公网ip,为什么?
[A]请看http://support.microsoft.com/?id=274568
[Q]在局域网里,如果要把几个工作站的msn messenger 访问禁止掉,我该怎么做?
[A]disable the following site can restrict the user to login MSN. loginnet.passport.com gateway.messenger.hotmail.com
[Q]用支持winsock 的客户端程序,还需要在isa 中打开相应的端口吗?比如证券之星,我设置好了winsock 代理,protocol rule/site content rule/ippacket filter 还对他生效吗
[Q]不生效,要定义证券之星相应的application的protocol信息.
[Q]ISA以后会升级推出中文版本吗?
[A]目前不会
[Q]不生效,要定义证券之星相应的application的protocol信息是什么意思?(不好意思,不明白)
[A]建立相应的protocol for 证券之星application
[Q]建立相应的protocol for 证券之星application,就是说,还是要建立他的端口的规则,对吗?
[A]是的,问证券之星要相应的信息
[Q]我即使在protocol rule 中添加一条规则,允许所有协议,但是依旧有一些客户端程序不能上网,比如联众游戏,一定要添加联众的端口才可以。请问如何才可以让客户端没有任何限制?
[A]不行."all protocl"代表已经存在的protocol.
[Q]这个问题上,fw client 和nat client 有不同吗?
[A]一样
[Q]ISA在安全上和诺顿企业防火墙比有什么优势?
[A]简单说有cache function etc...对不起,现在没有正规的文档资料
[Q]用网络蚂蚁下载超大文件,如>500M, 下载速度可达到2M, 但用户把下载速度调得很低,如100K, 过一段时间,isa上的内存就用完了, 再过一会儿,这个系统就反应很慢, 让该用户停止下载,则系统就恢复正常. 为什么会这样?
[A]此类问题不是简单能回答的,需要针对问题做进一步的研究
[Q] 刚才不好意思断线了,请问ISA以后会有中文版本吗?谢谢
[A]不会
[Q] ISA不能安装在FAT32分区吗?
[A]是的
[Q] Isa 支持scsi 硬盘吗?
[A]应该说操作系统支持就支持
[Q]有没有比较好的杀毒软件for isa的
[A]杀毒软件是for操作系统的,不是for application 的
[Q]有些软件需要连网,但又是动态地分配端口,如何制定RULE
[A]一定有initial port, 动态ports都是secondary ports.根据这,建立自己的protocol rule.
[Q]对于物理分布式的企业,如何定制isa,需要多个策略马/
[A]不需要.安装ISA为enterprise version.加不同地方的ISA进入array,使用enterprise policy.
[Q]Smtp filter 可以对内部用户发email 做限制吗,比如附件?用外网的smtp服务器
[A]外网的不行
[Q]外网的不行?什么意思?
[A]通过ISA发布的内网exchange server可以
[Q]现在有的邮件服务器要求mx 反向查询验证,我配置了smtp realy and connection 限制,反向查询能通过吗?
[A]只要exchange server 支持,ISA 就支持
[Q]通过ISA发布的内网exchange server可以,就是说这个filter 其实是正对内部的exchange 的,对吗?
[A]是的
[Q]能问个L2TP证书的问题吗?
[A]请具体些,我试试
[Q]我自己做的证书服务器,向VPN的服务器和客户端发放哪种证书呢?
[A]有些信息可参考http://www.isaserver.org/
[Q]isa以后会不会支持socks5
[A]不会
[Q]但是如何从数据包中看到是那些客户重读了呢?
[A]有microsoft network monitor抓trace file.你可看到source IP.
[Q]如果一个destination set里有ip格式又有dns格式,则isa有时会不工作
[A]这是不推荐的. 你可以试着把FQDN相应的IP都加进去
[Q]我现在的ISA服务器上网策略里applied to加了域用户验证之后,客户端通过代理上网就无法通过AD验证.why?
[A]不应该的.验证有问题.不能直接给出具体原因
[Q]AD验证的问题有没有办法解决?
[A]ISA支持域验证,只是这个问题太笼统,不能直接回答.要做进一步的分析
[Q]: 我经常发现isa server 上的w3proxy 服务会监听很多端口(依次的)这是什么原因呢?
[A]应该是firewall service 吧,每一个新的winsock application会建一新port
[Q]我如果做一个isa to isa 的vpn 连接,那2边的客户用msn video/audio 还需要增加那些端口吗?
[A]如果不使用firewall client,不
[Q]会有isa2004?
[A]目前没定