ISA Server 2004 系统策略
Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一种默认的系统策略配置,允许使用网络基础结构正常运行通常所需的服务。
从安全角度来讲,通常强烈建议用户配置系统策略以便不允许访问非管理网络所必需的服务。请在安装后仔细查看配置的系统策略规则。同样,请在执行完主要的管理任务后再次查看系统策略配置。
本文档将描述系统策略规则所启用的一些服务。
本页内容
 | 网络服务 |
| 身份验证服务 |
| 远程管理 |
| 防火墙客户端共享 |
| 诊断服务 |
| 连接验证程序 |
| SMTP |
| 预定下载作业 |
| 访问 Microsoft 网站 |
| 其他资源 |
网络服务
安装 ISA Server 时就启用了基本网络服务。安装后,ISA Server 可访问名称解析服务器和内部网络上的时间同步服务。
如果网络服务由不同的网络提供,应当修改适用的配置组源以应用特定网络。例如,假定 DHCP 服务器不在内部网络而在外围网络上。则修改 DHCP 配置组源,以应用于该外围网络。
用户可修改系统策略,以便只可以访问内部网络上的特定计算机。或者,如果服务位于其他位置,也可以添加其他网络。
下表显示了应用于网络服务的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
DHCP | 允许从 ISA Server 到内部网络的 DHCP 请求 允许从 DHCP 服务器到 ISA Server 的 DHCP 答复 | 允许 ISA Server 计算机使用 DHCP(答复)和 DHCP(请求)协议访问内部网络。 |
DNS | 允许从 ISA Server 到所选服务器的 DNS | 允许 ISA Server 计算机使用 DNS 协议访问所有网络。 |
NTP | 允许从 ISA Server 到受信任的 NTP 服务器的 NTP | 允许 ISA Server 计算机使用 NTP (UDP) 协议访问内部网络。 |
DHCP 服务
如果 DHCP 服务器不在内部网络上,则必须修改系统策略规则以便其应用于 DHCP 服务器所在的网络。例如,如果 DHCP 服务器位于内部网络上,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”的控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在“系统策略编辑器”上的“配置组”树中,单击“DHCP”。 |
5. | 在“来自”选项卡上,单击“添加”。 |
6. | 在“添加网络实体”中,选择一个网络对象。 提示: 建议如果知道 DHCP 服务器的 IP 地址,则使用该 IP 地址创建一个计算机集并选择该计算机集。强烈建议当 DHCP 服务器位于不受信任的网络上时执行以上操作。 |
7. | 单击“添加”,然后单击“关闭”。 |
身份验证服务
ISA Server 的一个基本功能是能够将防火墙策略应用到特定用户。然而,要想验证用户的身份 ISA Server 必须能够与身份验证服务器通信。因此,ISA Server 默认能够与 Active Directory 服务器(用于 Windows 身份验证)和内部网络上的 RADIUS 服务器通信。
下表显示了应用于身份验证服务的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
Active Directory | 允许出于身份验证目的访问目录服务 允许从 ISA Server 到受信任的服务器的 RPC 允许从 ISA Server 到受信任的服务器的 Microsoft CIFS 允许从 ISA Server 到受信任的服务器的 Kerberos 身份验证 | 允许 ISA Server 计算机使用各种 LDAP 协议、RPC(所有接口)协议、各种 Microsoft CIFS 协议以及使用 Active Directory 目录服务的各种 Kerberos 协议访问内部网络。 |
RSA SecurID | 允许从 ISA Server 到受信任的服务器的 SecurID 身份验证 | 允许 ISA Server 计算机使用 RSA SecurID 协议访问内部网络。 |
RADIUS | 允许从 ISA Server 到受信任的 RADIUS 服务器的 RADIUS 身份验证 | 允许 ISA Server 计算机使用不同 RADIUS 协议访问内部网络。 |
证书吊销列表 | 允许从 ISA Server 到所有网络的 HTTP 以下载 CRL | 身份验证服务:允许从 ISA Server 到所选网络的 HTTP,以下载最新的证书吊销列表 (CRL)。 |
DCOM
如果需要使用 DCOM 协议(例如,远程管理 ISA Server 计算机),则确保不启用“强制严格符合 RPC”。要想验证“强制严格符合 RPC”没被选中,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在“系统策略编辑器”上的“配置组”树中,单击“Active Directory”。 |
5. | 验证“强制严格符合 RPC ”没被选中。 提示: 包括远程管理和自动注册等多种服务常常需要 DCOM。 |
Windows 和 RADIUS 身份验证服务
如果不需要 Windows 身份验证或 RADIUS 身份验证,应当执行以下步骤禁用适用的系统策略配置组。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在“系统策略编辑器”上的“配置组”树中,单击“Active Directory”。 |
5. | 在“常规”选项卡上,验证“启用”没被选中。 注意: 当禁用 Active Directory 系统策略配置组时,对所有 LDAP 协议的访问均被有效禁用。如果需要 LDAP 协议,则创建一条允许使用这些协议的访问规则。 |
6. | 对 RADIUS 配置组重复步骤 4-5。 提示: 如果只需要 Windows 身份验证,确保配置系统策略禁止使用所有其他身份验证机制。 |
RSA SecurID 身份验证服务
默认状态下不启用与 RSA SecurID 身份验证服务器的通信。如果防火墙策略需要 RSA SecurID 身份验证,则确保启用该配置组。
CRL 身份验证服务
默认状态下不能下载证书吊销列表 (CRL)。这是因为默认状态下不启用 CRL 下载配置组。要想启用 CRL 下载,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在“系统策略编辑器”上的“配置组”树中,单击“CRL 下载”。 |
5. | 在“常规”选项卡上,验证“启用”已被选中。 |
6. | 在“到”选项卡上,选择可从其下载证书吊销列表的网络实体。 |
将允许从本地主机网络(ISA Server 计算机)到“到”选项卡上列出的网络实体的所有 HTTP 流量。
远程管理
用户常常要从远程计算机管理 ISA Server。小心确定允许哪些远程计算机管理和监视 ISA Server。下表显示了应当配置的系统策略规则。
| 配置组 | 规则名称 | 规则描述 |
Microsoft 管理控制台 | 允许从所选计算机使用 MMC 进行远程管理 允许到所选计算机的 MS 防火墙控制通信 | 允许“远程管理计算机”计算机集中的计算机使用 MS 防火墙控制和 RPC(所有接口)协议访问 ISA Server 计算机。 |
终端服务器 | 允许从所选计算机使用终端服务器进行远程管理 | 允许“远程管理计算机”计算机集中的计算机使用 RDP(终端服务)协议访问 ISA Server 计算机。 |
ICMP (Ping) | 允许从所选计算机到 ISA Server 的 ICMP (PING) 请求 | 允许“远程管理计算机”计算机集中的计算机使用 Ping 协议访问 ISA Server 计算机,反之亦然。 |
默认状态下启用允许远程管理 ISA Server 的系统策略规则。可通过运行 Microsoft 管理控制台 (MMC) 管理单元或使用终端服务来管理 ISA Server。
这些规则默认应用于内置“远程管理计算机”计算机集。安装 ISA Server 时将创建该空计算机集。将该空计算机集添加到所有将远程管理 ISA Server 的计算机中。在将该空计算机集添加到所有将远程管理 ISA Server 的计算机之前,不可以从任何计算机上有效使用远程管理。
提示: 通过配置系统策略规则以仅应用于特定 IP 地址来限制到特定计算机的远程管理。
要想启用远程管理,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“工具箱”选项卡上,单击“网络对象”。
|
4. | 在“网络对象”下方的工具栏上,右键单击“计算机集”下方的“远程管理计算机”,然后单击“属性”。
|
5. | 单击“添加”,然后单击“计算机”。 |
6. | 在“名称”中,键入计算机名。 |
7. | 在“计算机 IP 地址”中,键入可远程管理 ISA Server 的计算机的 IP 地址。 |
远程监视和日志记录
默认状态下禁用远程日志记录和监视。默认状态下禁用以下配置组:
| • | 远程日志记录 (NetBIOS) |
| • | 远程日志记录 (SQL) |
| • | 远程性能监视 |
| • | Microsoft 操作管理器 |
下表描述了这些配置组。
| 配置组 | 规则名称 | 规则描述 |
远程日志记录 (NetBIOS) | 允许使用 NetBIOS 远程记录到受信任的服务器 | 允许 ISA Server 计算机使用各种 NetBIOS 协议访问内部网络。 |
远程日志记录 (SQL) | 允许从 ISA Server 到所选服务器的远程 SQL 日志记录 | 允许 ISA Server 计算机使用 Microsoft (SQL) 协议访问内部网络。 |
远程性能监视 | 允许从受信任的服务器远程监视 ISA Server 的性能 | 允许“远程管理计算机”计算机集中的计算机使用各种 NetBIOS 协议访问 ISA Server 计算机。 |
Microsoft 操作管理器 | 允许使用 Microsoft 操作管理器 (MOM) 代理从 ISA Server 远程监视受信任的服务器 | 允许 ISA Server 计算机使用 Microsoft 操作管理器代理访问内部网络。 |
启用远程日志记录和监视
要想启用远程监视和日志记录,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 | ||||||||
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 | ||||||||
3. | 在“任务”选项卡上,单击“编辑系统策略”。 | ||||||||
4. | 在“系统策略编辑器”上的“配置组”树中,选择以下配置组中的一个或多个:
| ||||||||
5. | 在“常规”选项卡上,确认“启用”已被选中。 |
防火墙客户端共享
如果在安装 ISA Server 时安装了防火墙客户端共享组件,则默认启用防火墙客户端安装共享配置组。内部网络上的所有计算机均可以访问该共享文件夹。下表显示了已启用的系统策略配置组(及规则)。
| 配置组 | 规则名称 | 规则描述 |
防火墙客户端安装 | 允许从受信任的计算机访问 ISA Server 上的防火墙客户端安装共享 | 允许内部网络上的计算机使用多种 Microsoft CIFS 和 NetBIOS 协议访问 ISA Server 计算机。当启用该规则时,将允许从任何网络或指定计算机上使用 SMB 访问 ISA Server 计算机。不仅限访问防火墙客户端安装共享文件夹。 |
如果没有安装防火墙客户端共享组件,则不启用该配置组。
诊断服务
默认情况下启用允许访问诊断服务的系统策略规则,带有以下权限:
| • | ICMP。 面向所有网络允许该权限。该服务对于确定与其他计算机的连接至关重要。 |
| • | Windows 网络。 默认允许内部网络上计算机间的 NetBIOS 通信。 |
| • | Microsoft 错误报告。 允许 HTTP 访问 Microsoft 错误报告站点 URL 集,以允许报告错误信息。该 URL 集默认包含特定的 Microsoft 站点。 |
| • | 连接验证程序。 允许 ISA Server 计算机使用 HTTP 和 HTTPS 协议检验特定计算机是否有响应。 |
下表显示了默认启用的系统策略配置组。
| 配置组 | 规则名称 | 规则描述 |
ICMP | 允许从 ISA Server 到所选服务器的 ICMP 请求 | 允许 ISA Server 计算机使用多种 ICMP 协议和 Ping 协议访问所有网络。 |
Windows 网络 | 允许从 ISA Server 到受信任的服务器的 NetBIOS | 允许 ISA Server 计算机使用多种 NetBIOS 协议访问所有网络。 |
与 Microsoft(Microsoft 错误报告)的通信 | 允许 ISA Server 与指定 Microsoft 错误报告站点间的 HTTP/HTTPS | 允许 ISA Server 计算机使用 HTTP 或 HTTPS 协议访问 Microsoft 错误报告站点 URL 集成员。 |
连接验证程序
此外,默认情况下不启用以下诊断服务:HTTP 连接验证程序。
创建连接验证程序时将启用 HTTP 连接验证程序配置组,允许本地主机网络使用 HTTP 或 HTTPS 访问任何其他网络上的计算机。下表描述了 HTTP 连接验证程序配置组。
| 配置组 | 规则名称 | 规则描述 |
HTTP 连接验证程序 | 针对 HTTP 连接验证程序允许从防火墙到与所有网络的 HTTP/HTTPS | 允许 ISA Server 计算机通过发送 HTTP GET 请求到特定计算机来检查连接。 |
建议将该访问限制到想要检验其连接的特定计算机。要想限制该访问,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“任务”选项卡上,单击“编辑系统策略”。 |
4. | 在“系统策略编辑器”上的配置组”树中,单击“HTTP 连接验证程序”。 |
5. | 在“到”选项卡上,单击“所有网络(及本地主机)”,然后单击“删除”。 |
6. | 单击“添加”,然后选择想要检验其连接的网络实体。将允许从本地主机网络(ISA Server 计算机)到“到”选项卡上列出的网络实体的所有 HTTP 流量。 |
SMTP
默认情况下启用 SMTP 配置组,允许从 ISA Server 到内部网络计算机的 SMTP 通信。例如,当想要在电子邮件中发送警报信息时需要启用 SMTP 配置组。下表描述了 SMTP 配置组。
| 配置组 | 规则名称 | 规则描述 |
SMTP | 允许从 ISA Server 到受信任的服务器的 SMTP | 允许 ISA Server 计算机使用 SMTP 协议访问内部网络。 |
预定下载作业
默认情况下禁用预定下载作业功能。下表描述了预定下载作业配置组。
| 配置组 | 规则名称 | 规则描述 |
预定下载作业 | 允许从 ISA Server 到所选计算机的 HTTP 以进行内容下载作业 | 允许 ISA Server 计算机使用 HTTP 协议访问所有网络。 |
创建内容下载作业时将提示启用该系统策略规则。ISA Server 将能够访问内容下载作业中指定的站点。
访问 Microsoft 网站
默认系统策略允许从本地主机网络(即 ISA Server 计算机)到 microsoft.com 网站的 HTTP 和 HTTPS 访问。出于少数原因这是必需的:
| • | 错误报告(如“诊断服务”部分所述) |
| • | 访问 ISA Server 网站和其他相关网站上的有用文档 |
默认情况下启用允许的站点配置组,允许 ISA Server 访问属于系统策略允许的站点域名集的特定站点上的内容。下表描述了允许的站点配置组。
| 配置组 | 规则名称 | 规则描述 |
允许的站点 | 允许从 ISA Server 到指定站点间的 HTTP/HTTPS 请求 | 允许 ISA Server 计算机使用 HTTP 和 HTTPS 协议访问系统策略允许的站点 URL 集成员。 |
该 URL 集默认包含各个 Microsoft 网站。用户可修改域名集以包括 ISA Server 将被允许访问的其他 Web 站点。
要想修改 URL 集以包括其他 Web 站点,请执行以下步骤。
1. | 单击“开始”,指向“所有程序”,指向“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”控制台树中,单击“Microsoft ISA Server 2004”,单击 server_name,然后单击“防火墙策略”。 |
3. | 在“工具箱”选项卡上,单击“网络对象”。
|
4. | 在“域名集”下,右键单击“系统策略允许的站点”,然后单击“属性”。 |
5. | 在“常规”选项卡上,单击“新建”,然后键入特定 Web 站点的 URL。
|
将允许指定 Web 站点的 HTTP 和 HTTPS 访问。
其他资源
有关 Microsoft ISA Server 的信息,请参见 Microsoft ISA Server 网站。
文中叙述的示例公司、组织、产品、域名、电子邮件地址、徽标、人物、地点以及事件纯属虚构。并非有意与任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件相联系,也不应做出这样的推断。
想要对本文档发表意见吗?发送反馈.