ISA Server 2006 中的網路概念
Microsoft® Internet Security and Acceleration (ISA) Server 2006 使用多重網路模型保護網路免受內部和外部安全性威脅。ISA Server 會將網路彼此隔離。只有您特別允許的流量可以在網路之間流動。例如,內部公司網路會和外部網路 (網際網路) 隔離。如果是已透過 ISA Server 發行且會處理網際網路要求的伺服器,可能會被放在周邊網路,以與公司網路隔離。
在 ISA Server 所存取的網路基礎結構中的電腦可以分組成不同類型的網路物件。而您通常會建立對應到公司實體網路的網路物件。可以定義的網路物件包括網路、網路組、電腦、電腦組、位址範圍、子網路、URL 組和網域名稱組。ISA Server 也會提供一些預先定義的網路物件,讓您針對自己的基礎結構進行修改。
最廣泛使用的網路物件就是網路。網路通常會對應到實體網路。它會具備相關聯的網路介面卡,並且代表可從介面卡到達的一或多個 IP 位址範圍。ISA Server 會提供一些預先定義的網路,而您可以建立自訂網路。
網路物件彼此之間會互相隔離,直到您藉由建立網路規則,而建立它們之間的關聯性。ISA Server 會丟棄在未定義網路規則的網路物件之間傳送的流量。網路規則可以指定應該路由網路物件之間的流量或是套用網路位址轉譯 (NAT)。網路物件之間套用的關聯性會視所需的通訊類型而定。在某些情況下,您可能想強化安全性,降低 NAT 所提供的通訊的透明度。在其他情況中,您可能會只想要經由 ISA Server 來路由流量。
網路物件是用在組成防火牆原則的存取規則、發行規則、快取規則、流量鏈結規則和超文字傳輸通訊協定 (HTTP) 壓縮設定。當您建立存取規則以控制來自內部用戶端的流量移動時,會指定網路物件當做規則的來源和目的地。然後您會設定規則,以允許、拒絕及篩選在網路物件之間流動的流量。在 ISA Server 2006 Enterprise Edition 中,您可以在企業層級或陣列層級上建立網路物件。定義企業層級存取規則時,可以使用企業層級的網路物件。這類存取規則會被收集至企業原則,以便套用至多重陣列進行集中管理。此外,在企業層級上建立的網路可被併入在陣列層級上建立的網路。這允許跨越不同陣列參照陣列層級網路。
實例
ISA Server 多重網路模型可以部署於一些拓撲中,而且會依據部署需求定義網路物件、網路規則和防火牆原則。ISA Server 通常會部署於下列實例中:
| • | 充當邊緣防火牆。 在此實例中,會定義內部和外部網路。ISA Server 位於網路拓撲邊緣,並使用兩張網路介面卡進行安裝。其中一張介面卡僅在內部連接,而另一張則是連接到網際網路,這樣做可以保護內部資源。 |
| • | 在三向網路設定中。 此實例通常具備內部網路和個別的周邊網路。ISA Server 是以三張網路介面卡進行設定。此拓撲通常是用來將已發行的伺服器隔離在伺服器本身的網路上。 |
| • | 使用其他防火牆。 在此實例中,ISA Server 是以兩張網路介面卡進行設定。ISA Server 可能是在企業邊緣進行設定,而且在它和內部公司網路之間有防火牆;或是在內部網路邊緣進行設定,而在公司邊緣有另一個防火牆。 |
| • | 充當內部網路區段防火牆。 在此實例中,ISA Server 位於兩個內部網路之間,並且以兩張網路介面卡進行設定。它會路由及篩選網路之間的流量,因此能有效地隔離這兩個網路。 |
| • | 充當 Web Proxy 或快取伺服器。 常見實例是是安裝具有單一網路介面卡的 ISA Server,並且提供 Web Proxy、快取和網頁發行功能。 |
您可以套用 ISA Server 的預先定義網路範本以設定大部分的實例,也可以手動設定網路、網路規則和存取規則。
ISA Server 網路物件
ISA Server 會提供下列不同類型的網路物件,供您設定為在防火牆原則中使用:
| • | 網路。網路通常都會對應到實體網路。網路一定會具備相關聯的網路介面卡,並且代表可從相關聯網路介面卡到達的一或多個 IP 位址範圍。 |
| • | 企業網路。在 ISA Server 2006 Enterprise Edition 中,企業層級網路是針對企業而非特定陣列所定義的網路。這類網路可用於定義企業層級存取規則,或是併入陣列層級網路定義中。 |
| • | 網路組。網路組包括一或多個網路。 |
| • | 電腦。電腦物件代表單一 IP 位址。 |
| • | 位址範圍。位址範圍是要套用規則的連續 IP 位址的集合。 |
| • | 子網路。子網路代表位於相同子網路中的一組電腦。 |
| • | 電腦組。電腦組是電腦、IP 位址範圍或子網路的集合。 |
| • | URL 組。一個 URL 組會定義一或多個 URL。 |
| • | 網域名稱組。網域名稱組會定義一或多個網域。 |
| • | 網路物件位於工具箱中。若要尋找工具箱,在 [ISA Server 管理] 上按一下 [防火牆原則] 節點,然後按一下 [工具箱] 索引標籤。工具箱還包含另外兩個僅能用於網頁發行規則、網頁接聽程式和伺服器陣列物件的網路物件。網頁接聽程式物件用來啟用 ISA Server 網路,以便接聽特定 IP 位址和連接埠上的 Web 要求。您也可以啟用網頁接聽程式,要求用戶端驗證 Web 要求。伺服器陣列物件允許您發行 Web 伺服器的陣列,而不是單一 Web 伺服器。如需相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 中的網頁發行概念>(英文)。 |
Enterprise Edition 中的網路物件
ISA Server 2006 Enterprise Edition 使用企業代表公司拓撲中的所有 IP 位址。在企業和陣列層級中都可以使用預先定義的網路物件。而某些網路物件僅適用於其中一個層級。您也可以在企業和陣列層級建立網路物件。在陣列層級上,網路物件用於建立不同類型的規則,以組成防火牆原則。在企業層級上,網路物件的使用方式如下所示:
| • | 建立企業層級的存取規則時,請使用企業層級的網路物件。企業層級存取規則會定義為企業原則的一部份。企業原則可以套用至一或多個 ISA Server 陣列。每個陣列的防火牆原則是由下列兩種規則組成:內含於套用的企業原則的企業層級規則,以及在陣列層級針對特定陣列所建立的原則規則。 |
| • | 建立適用於企業層級存取規則或可由企業中陣列參照的企業層級網路。 |
企業網路
企業網路包含網路拓撲中的 IP 位址範圍。IP 位址只能包含在一個企業網路中。在企業層級定義且內含於某個企業網路的所有 IP 位址,都會被視為該企業的位址範圍。企業網路提供了下列功能:
| • | 建立企業層級存取規則。企業系統管理員可以在企業層級建立存取規則。在企業層級建立存取規則可簡化原則維護,因為企業層級的單一變更可傳播至使用規則所在之企業原則的多個陣列。企業網路同時可為企業內陣列提供互相參照的機制。 |
| • | 將企業網路包含於陣列層級網路中。定義陣列層級網路的位址範圍時,陣列系統管理員可併入一或多個企業網路。陣列層級網路可以包含 IP 位址範圍,此外,還可包含一或多個企業網路,因此內含的 IP 位址不一定要實際連接到陣列。企業網路僅包含符合特定 ISA Server 電腦之路由表的位址範圍。 |
| • | 預先定義的企業網路會將相同 IP 位址組隱含定義為陣列層級的相對應物。特別是,企業層級的本機主機網路會隱含定義一組 IP 位址,可包括所有繫結到本機 ISA Server 電腦上之網路介面卡的 IP 位址及 127.0.0.1。此網路中所含的 IP 位址會因陣列中的不同伺服器而有所不同。 |
| • | 由企業系統管理員套用至預先定義企業網路的任何規則,會套用至同名的陣列層級網路中。例如,套用至名為「本機主機」之企業網路的規則,也會套用至該陣列之「本機主機」網路的 IP 位址中。請考慮另一個實例,其中企業層級規則會套用到企業層級的 VPN 用戶端網路。在陣列層級中,此規則只會套用到該陣列的虛擬私人網路 (VPN) 用戶端。例如,假設此企業原則會套用到企業中的兩個陣列。在此實例中,有一個陣列位於周邊網路的前端,且設定為允許漫遊用戶端存取 (VPN)。第二個陣列位於後端,但未啟用 VPN 用戶端存取。若 VPN 用戶端連線到前端陣列,則企業規則會套用到該 VPN 用戶端。不過,若此用戶端的要求是傳送到後端陣列,則因為該用戶端不是後端陣列的 VPN 用戶端,所以企業規則不會套用到此陣列。 |
預先定義的企業網路通常會用於企業原則中。建立陣列層級防火牆原則規則時,不可明確使用預先定義的企業網路。
陣列層級網路
企業層級網路可以包含在陣列層級網路的定義中。定義陣列層級網路的位址範圍時,陣列系統管理員可能會想要進行下列動作:
| • | 建立不包含企業網路的陣列層級網路。這樣可以有效地建立只有該陣列可見並使用的網路。其餘企業則無法使用此網路。如果陣列層級網路不應受到企業層級所做的變更影響,或是企業層級不需要且未使用陣列層級網路,這一點就很有用。 |
| • | 建立包含一或多個企業網路的陣列層級網路。舉例來說,請參考下列兩種陣列:前端陣列及後端陣列,兩者皆以 10.0.0.0/8 的 IP 位址範圍來連接網路。也假設企業系統管理員已利用 10.0.0.0 到 10.255.255.255 的 IP 位址範圍,定義了名為 ENT-Perimeter 的企業網路。然後,每個陣列系統管理員都可定義名為 Perimeter 的陣列層級網路,並包含其所含之企業網路 ENT-Perimeter 的 IP 位址範圍。接著可依據網路 Perimeter 來建立陣列層級防火牆原則規則。 |
剩餘網路
將多個企業網路加入至陣列層級網路的位址,可以用來確定並未將 IP 位址視為詐騙。屬於企業,但不屬於任何陣列層級網路的 IP 位址,會視為剩餘位址範圍的一部份。往返這類 IP 位址的流量會被視為詐騙,並且被丟棄。
每次丟棄這類流量時,ISA Server 都會建立記錄項目。記錄項目的來源或目的地網路欄位的字首是 Residual,後面接著 IP 位址所屬的企業網路名稱。例如,請考慮下列實例:IP 位址 10.1.1.1 屬於名為 Ent1 的企業網路,但不屬於陣列層級網路。來自 10.1.1.1 的流量將會被丟棄,並且產生 Source 設為 [Residual] Ent1 的記錄檔項目。
預先定義的網路物件
ISA Server 提供一些預先定義的網路物件。某些物件會在原則規則中使用,而有些可能會進行修改。下表是物件的摘要。
| 網路實體類型 | 預先定義的物件 | 內容 | Enterprise Edition |
網路 | 本機主機 | 代表 ISA Server 2006 防火牆的預先定義網路。它包含所有網路介面卡上的所有 IP 位址。您並未在此網路上明確定義 IP 位址。如果您是在網路介面卡上定義位址,包含針對 VPN 連線而建立的任何廣域網路 (WAN) 介面卡,就會自動加入這些位址。所有來自或進入 ISA Server 的流量都將視為透過「本機主機」網路來傳遞。您無法刪除它或是進行手動修改。 安裝期間會建立網路規則,以路由本機主機網路和所有其他網路之間的流量。 | 在陣列層級和企業層級上定義。 當您定義企業層級存取規則,並且併入套用至陣列的企業原則時,會將存取規則中所參照的企業網路解譯為同名的陣列層級網路。特別是,企業層級的本機主機網路會隱含定義一組 IP 位址,可包括所有繫結到本機 ISA Server 電腦上之網路介面卡的 IP 位址及 127.0.0.1。此網路中所含的 IP 位址會因陣列中的不同伺服器而有所不同。 參照企業層級本機主機網路的企業原則規則會套用至陣列層級本機主機網路的 IP 位址範圍。 企業網路沒有預先定義的網路規則,而且無法直接併入做為陣列層級存取規則的來源或目的地。 |
網路 | 內部 | 預先定義的網路,代表主要的預設受保護網路。通常被視為包含受保護的 IP 位址範圍,而且 ISA Server 依預設會保護內部網路上的資源不被所有其他網路存取,但是本機主機網路 (ISA Server 電腦) 除外。一般來說是在安裝時進行設定,也就是 ISA Server 可以依據 Microsoft Windows Server™ 2003 路由表建構內部網路時。您可以修改但是無法刪除預設內部網路。如果您有其他網路介面卡連接到其他內部網路,可以建立其他使用者定義的內部網路。請注意,請勿將這類自行定義的網路命名為 Internal。 | 只在陣列層級上定義。沒有企業層級內部網路。相反地,企業網路可能會包含在陣列層級內部網路的定義中。例如,如果您具有內部網路範圍為 10.x 的 ArrayA、內部網路範圍為 20.x 的 ArrayB,以及內部網路範圍為 30.x 的 ArrayC ,則可以建立三個自訂企業網路,每個內部範圍各有一個。然後將這三個企業網路併入每個陣列層級預設內部網路的定義中。每個陣列都會參照其他陣列的內部網路。 |
網路 | 外部 | 預先定義的網路,其中包含所有未明確包含在其他任何網路中的所有 IP 位址。安裝之後,外部網路包含未定義於內部網路的所有位址、本機主機網路的 IP 位址 (127.0.0.1),以及在 ISA Server 電腦上其他所有網路介面卡的 IP 位址。外部網路一般是視為不可信任,而且依預設會設定為與所有其他網路之間具備 NAT 關聯性。網路定義會隨著您定義及修改其他網路而動態變更。但是您無法直接修改或刪除網路定義。 | 在陣列層級和企業層級上定義。 當您定義企業層級存取規則,並且併入套用至陣列的企業原則時,會將存取規則中所參照的企業網路解譯為同名的陣列層級網路。 參照企業層級外部網路的企業原則規則會套用至陣列層級外部網路的 IP 位址範圍。 企業網路沒有預先定義的網路規則,而且無法直接併入做為陣列層級存取規則的來源或目的地。 |
網路 | VPN 用戶端 | 預先定義的網路,其中包含目前連接至遠端 VPN 用戶端的 IP 位址。根據在特定時間配置給遠端 VPN 用戶端的 IP 位址,動態指派 VPN 用戶端網路和已隔離的 VPN 用戶端網路。依預設,此網路會具備與所有網路的路由關聯性,但外部網路除外。 | 在陣列層級和企業層級上定義。 當您定義企業層級存取規則,並且併入套用至陣列的企業原則時,會將存取規則中所參照的企業網路解譯為同名的陣列層級網路。 參照企業層級 VPN 用戶端網路的企業原則規則會套用至陣列層級 VPN 用戶端網路的 IP 位址範圍。 企業網路沒有預先定義的網路規則,而且無法直接併入做為陣列層級存取規則的來源或目的地。 |
網路 | 隔離的 VPN 用戶端 | 預先定義的網路,其中包含尚未清除隔離之遠端 VPN 用戶端的 IP 位址。依預設,此網路會具備與所有網路的路由關聯性,但外部網路除外。 | 在陣列層級和企業層級上定義。 當您定義企業層級存取規則,並且併入套用至陣列的企業原則時,會將存取規則中所參照的企業網路解譯為同名的陣列層級網路。 參照企業層級 VPN 用戶端網路的企業原則規則會套用至陣列層級已隔離 VPN 用戶端網路的 IP 位址範圍。 企業網路沒有預先定義的網路規則,而且無法直接併入做為陣列層級存取規則的來源或目的地。 |
網路組 | 所有網路 (與本機主機) | 包含所有已定義網路的預先定義網路組。當您建立新網路時,會自動將其新增至此網路組。此網路組相當於 [任何地方] 預先定義電腦組。 | 在陣列層級和企業層級上定義。 |
網路組 | 所有受保護的網路 | 預先定義的網路組,包括除預先定義的外部網路以外的所有網路。當您建立新網路時,會自動將其新增至此網路組。 | 在陣列層級和企業層級上定義。 |
電腦組 | 任何地方 | 預先定義的電腦組,其中包含所有 IP 位址範圍。 | 在陣列層級和企業層級上定義。 |
電腦組 | 遠端管理電腦 | 預先定義的電腦組,其中包含要遠端管理 ISA Server 的電腦。您應該進行修改,以包括可以遠端管理 ISA Server 之所有電腦的 IP 位址。如果於使用中的遠端桌面工作階段遠端安裝 ISA Server,則會自動將遠端電腦的 IP 位址加入至此電腦組。 建立陣列層級規則時,也可以使用 [企業遠端管理] 電腦組。 | 只在陣列層級上定義。建立企業層級存取規則時,請使用 [企業遠端管理電腦] 電腦組。 |
電腦組 (Enterprise Edition) | 企業遠端管理電腦 | 預先定義的電腦組,其中包含允許遠端管理企業內所有 ISA Server 電腦的電腦。它應該修改為包含可以遠端管理企業之所有電腦的 IP 位址。如果於使用中的遠端桌面工作階段遠端安裝 ISA Server,則會自動將遠端電腦的 IP 位址加入至此電腦組。 建立陣列層級規則時,也可以使用 [企業遠端管理電腦] 電腦組。 | 在陣列層級和企業層級上定義 |
電腦組 | 複寫設定存放區伺服器 | 預先定義的電腦組,其中包含利用本機設定存放區伺服器所複寫的所有設定存放區伺服器。 | 在陣列層級和企業層級上定義。 |
電腦組 | IPsec 遠端閘道 | 預先定義的電腦組,其中包含使用網站間 VPN 精靈設定之網際網路通訊協定安全性 (IPsec) 遠端 VPN 閘道的 IP 位址。 | 只在陣列層級上定義。 |
電腦組 | 陣列伺服器 | 預先定義的電腦組,用於允許陣列成員之間流量的系統原則規則。對每個陣列而言,此電腦組包含陣列成員的 IP 位址。電腦須在安裝期間新增。如果您之後有變更陣列成員的位址,請務必更新此電腦組。 | 只在陣列層級上定義。 |
電腦組 | 受管理的 ISA Server | 預先定義的電腦組,用於系統原則規則,允許受信任電腦組至本機設定存放區伺服器之間的流量。對每個陣列而言,此電腦組包含允許存取設定存放區伺服器的陣列成員 IP 位址。 | 只在陣列層級上定義。 |
網域名稱組 | Microsoft 錯誤報告網站 | 系統原則規則中使用的預先定義網域名稱組,允許從本機主機網路 HTTP 或 HTTPS 存取信任的網域以進行錯誤報告。(例如,*.watson.microsoft.com 或 watson.microsoft.com)。 | 在陣列層級和企業層級上定義。 |
網域名稱組 | 系統原則允許的網站 | 系統原則規則中使用的預先定義網域名稱組,允許從本機主機網路 HTTP 或 HTTPS 存取信任的網域。(例如,*.microsoft.com、*.windows.com 或 *.windowsupdate.com)。 | 在陣列層級和企業層級上定義。 |
網域名稱組 | 企業設定存放區 | ISA Server 防火牆使用的設定存放區伺服器的預先定義網域名稱組。用於系統原則規則中,允許由 ISA Server 到設定存放區伺服器的流量。 | 只在陣列層級上定義。 |
網域名稱組 | Microsoft Update 網域名稱組 | 預先定義的網域名稱組,其中具有所有 Microsoft Update 伺服器的清單。 | 只在陣列層級上定義。 |
設定網路物件
ISA Server 存取規則會要求您指定網路實體充當規則的來源和目的地。您可以指定網路、網路組、電腦、位址範圍、子網路或電腦組。您會建立和修改網路物件,以便為實體網路建立鏡像,並且在原則規則中指定來源和目的地時使用這些網路物件。建立符合規則所要求之精細層級的網路物件。例如,您可以使用電腦物件指定將規則套用至單一電腦,或使用網路組物件指定將規則套用至一或多個網路。
設定電腦或電腦組物件
若要控制特定電腦的往返流量,請使用電腦物件充當來源或目的地。設定電腦組,讓您可以收集一組個別的 IP 位址充當來源或目的地。例如,您可以使用電腦組為具有特定設定的用戶端電腦分組。ISA Server 並未定義任何預設電腦實體。在上表中會列出預設電腦組。
設定位址範圍物件
指定位址範圍,以便使用一組連續的 IP 位址做為規則來源或目的地。例如,您可能想讓特定位址範圍中的一組用戶端電腦存取其他網路中的資源。ISA Server 並未定義任何預設位址範圍。使用 IP 位址範圍實體定義單一物件,而該物件會涵括指定範圍中的 IP 位址。
設定子網路物件
套用規則時,使用子網路定義位於相同子網路的一組用戶端電腦。ISA Server 並未建立任何預設子網路。子網路物件只能包含可由標準位址遮罩定義的範圍內的 IP 位址,不像位址組實體可以包含任何範圍內的位址。
設定網域名稱組物件
使用網域名稱組以控制整個網站的存取。例如,若要允許存取 Microsoft.com 上的所有網站,您可以建立網域名稱組 *.microsoft.com,並指定它當做存取規則中的目的地。同樣地,您可以建立規則以封鎖特定網站的存取。您也可以建立更精細的網域名稱組,以便在網域中控制特定伺服器的存取。
設定 URL 組物件
設定 URL 組以便為 URL 分組。而且只會針對網頁流量通訊協定 HTTP、HTTPS 和 FTP Web Proxy 處理 URL 組。如果用戶端要求使用其他通訊協定,則會忽略規則中指定的任何 URL 組。
設定網路實體
您可以修改預設的 ISA Server 內部網路,或是建立下列類型的自訂網路:
| • | 陣列層級內部、外部和周邊網路。 |
| • | 陣列層級透過 IPSec 的網站間 VPN 網路、點對點通道通訊協定 (PPTP) 或第二層通道通訊協定 (L2TP)。當您在 ISA Server 建立網站間 VPN 網路時,就是在建立代表遠端 VPN 網站的新網路實體。網路定義包含遠端 VPN 閘道、遠端網站 VPN 存取的可用 IP 位址範圍,以及連線通訊協定和驗證方法。在 ISA Server 2006 Enterprise Edition 中,只能在陣列層級建立這些網路。建立 VPN 網站間網路是建立 VPN 連線的第一步。建立這類網路之後,您會定義網路規則以指定網路的通訊方式,並且定義存取規則以允許及篩選網路之間的流量。您只能使用網站間 VPN 精靈建立這類網路。如需相關資訊,請參閱 Microsoft TechNet 網站上的<ISA Server 2006 中的虛擬私人網路>(英文)。 |
| • | 企業層級網路。您可以建立自訂企業層級網路。但是僅能指定 IP 位址範圍。在企業層級網路上,您無法設定其他內容。 |
設定網路內容
內部網路有一些相關聯的內容。您也可以針對自己建立的自訂陣列層級網路指定這些內容。內容如下所示:
| • | 位址。定義要併入網路的 IP 位址範圍。 |
| • | Web Proxy。指定網路是否會接聽 Web Proxy 用戶端的 HTTP 要求,以及這類用戶端將會針對要求而使用的驗證類型。請注意,[啟用 SSL] 設定僅適用於 Web Proxy 鏈結實例中。您無法將 Web Proxy 用戶端設定為連接使用安全通訊端層 (SSL) 的 ISA Sever。在本機主機網路上設定 Web Proxy 內容,以便將 Web Proxy 接聽程式設定為供在 ISA Server 網路上執行的應用程式使用。如果將 Web Proxy 用戶端設定為使用自動指令碼,則您在此內容頁上指定的選項會反映在設定網頁瀏覽器設定的設定指令碼。 |
| • | 防火牆用戶端。指定網路是否會在連接埠 1745 上接聽防火牆用戶端的要求,並且進行設定,判斷防火牆用戶端電腦上的網頁瀏覽器如何偵測瀏覽器設定。您可以使用動態主機設定通訊協定 (DHCP) 或網域名稱系統 (DNS) 中的 Web Proxy 自動探索 (WPAD) 項目,以指定啟用該用戶端來偵測瀏覽器設定,或是在特定位置使用自動設定指令碼。安裝防火牆用戶端電腦時,會套用指定的設定。如果您之後在 ISA Server 電腦上變更防火牆用戶端組態設定,ISA Server 會在下列時機自動更新組態設定:每次重新啟動該防火牆用戶端時、每次在 [Microsoft 防火牆用戶端] 對話方塊的 [一般] 索引標籤上按一下 [立即偵測] 或 [測試伺服器] 時,以及距離上次重新整理之後的每六小時。設定會套用至防火牆用戶端電腦上的所有使用者。如需相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 中的內部用戶端概念>。請注意,如果針對網路啟用 IPsec,則可能會損害防火牆用戶端的功能。如果您遇到這個問題,請在網路上停用 IP 路由。 |
| • | 自動探索。指定連接埠號碼,而網路介面卡應在其上接聽來自 Web Proxy 用戶端的 WPAD 要求,以及接聽來自已安裝並啟用防火牆用戶端軟體的用戶端電腦的 Winsock Proxy Autodetect (WSPAD) 要求。依預設,ISA Server 會在連接埠 80 上發行自動探索資訊。對於存在網際網路資訊服務 (IIS) 的 ISA Server 電腦而言,啟用自動探索可能會在連接埠 80 上造成資源衝突。因應措施是指向自動設定指令碼,而不要使用 WPAD。變更預設連接埠可能會造成問題,因為大部分支援 WPAD 的應用程式都會向連接埠 80 提出要求。如需相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 中的自動探索概念>。 |
| • | 網頁瀏覽器。指定針對網路上的 Web Proxy 用戶端進行瀏覽器設定。組態設定包含指定備份路由、針對本機網路中的電腦略過 Proxy,以及使用略過 Web Proxy 的直接存取。充當 Web Proxy 用戶端的電腦會啟用以進行自動偵測,或是使用自動設定指令碼,而且這些電腦都將使用此索引標籤上指定的設定值。若要直接存取,您可以指定應該略過 [網域] 索引標籤上所指定網域清單的 Web Proxy,或指定直接存取網站的清單。當您在 [直接存取這些伺服器或網域] 清單中指定直接存取的目的地時,請注意下列事項: |
| • | 您應該同時指定目的地 IP 位址及完整網域名稱 (FQDN),或僅指定 FQDN。如果清單中有 IP 範圍,則自動設定指令碼就會判斷 IP 位址的解析名稱是否包含於清單中。如果有,指令碼在提交要求之前會先判斷目的地是否在內部。 |
| • | 如果您將網路或網域的 IP 位址範圍新增到清單中,就必須併入要讓用戶端電腦直接存取的網路或網域位址。例如,如果您新增特定 IP 位址範圍以指定應直接存取內部網路中的主機,則接著必須新增網路的整個位址範圍。否則,內部網路中不在清單上的目的地將會透過 ISA Server 電腦路由。在某些情況下,這可能是必要行為。例如,這適用於分公司實例,也就是本機網路以外的所有要求都會通過 ISA Server 電腦。 |
| • | 如果在清單中加入其他 IP 位址,則會將 127.0.0.0 至 127.255.255.255 (127/8) 的位址範圍自動新增至清單中。 |
| • | 如果清單上沒有 IP 位址,而且您希望不要路由來自 IP 位址 127.0.0.1 的要求,則請將 127.0.0.1 當做 FQDN 新增到清單中。 |
| • | 網域。當您啟用 [網頁瀏覽器] 索引標籤上的 [直接存取網域表中所指定的電腦] 設定時,充當 Web Proxy 用戶端的電腦會略過 Web Proxy,直接連接至此索引標籤上指定的網域。[網頁瀏覽器] 索引標籤和 [網域] 索引標籤上的設定值僅會套用到使用自動設定的防火牆用戶端和 Web Proxy 用戶端。如果用戶端具備以靜態 Proxy 設定進行手動設定的瀏覽器,則需要在瀏覽器中指定組態設定。 |
| • | CARP。僅限 ISA Server 2006 Enterprise Edition。指定是否在網路上啟用快取陣列路由通訊協定 (CARP)。當您啟用 CARP 時,會將所有陣列伺服器上的快取磁碟機都視為單一邏輯快取磁碟機,這樣可以有效地將快取散佈在成員伺服器間。如需 CARP 的相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 Enterprise Edition 中的 CARP 快取概念>。 |
| • | NLB。僅限 ISA Server 2006 Enterprise Edition。指定是否已在網路上啟用網路負載平衡 (NLB) ,並指定要使用的虛擬 IP 位址和遮罩。為網路設定虛擬 IP 位址時,ISA Server 會新增指定的 IP 位址至各伺服器上的網路介面卡,並且視狀況更新該網路介面卡的路由表。虛擬 IP 位址與遮罩組合的子網路必須與網路介面卡的 IP 位址與遮罩組合的子網路相同。虛擬 IP 位址必須屬於該網路。如果您已經啟用 [ISA Server 管理] 中的整合 NLB,則只能設定此內容頁。如需相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 中的網路負載平衡概念>。 |
網路規則
您可以設定網路規則,以定義及說明網路拓撲。網路規則會判定兩個網路實體間是否有關聯性,以及定義關聯性的類型。網路關聯性可以設定如下:
| • | 路由。網路之間的路由關聯性為雙向。例如,如果在網路 A 到網路 B 之間定義路由關聯性,則網路 B 到網路 A 之間也會存在隱含路由關聯性。當您指定要在網路之間使用這種連線類型時,則會將來自來源或目的地網路的用戶端要求直接轉寄到另一個網路,而且來源及目的地 IP 位址不會變更。如果不需要在網路之間隱藏 IP 位址,則使用路由關聯性。這是在兩個具有公用 IP 位址的網路之間或兩個具有 私人位址的網路之間的常見設定。不論是哪種情況,每個網路中的主機都必須定義其本機網路中的 ISA Server IP 位址,以便當做通往另一個網路的路由。在許多情況下,簡單定義 ISA Server IP 位址當做預設閘道就夠了。請注意下列事項:
| ||||
| • | 網路位址轉譯 (NAT)。網路之間的 NAT 關聯性為單向。流量是依據流量的來源或目的地進行處理。ISA Server 會如下所示執行 NAT:
| ||||
| • | 安裝時,會建立下列預設規則: | ||||
| • | 本機主機存取。這個規則定義了「本機主機」網路及其他所有網路之間的路由關聯性。因此會在 ISA Server 電腦與連接 ISA Server 電腦的所有網路之間定義連線能力。 | ||||
| • | VPN 用戶端到內部網路。這個規則會在內部網路與隔離的 VPN 用戶端及 VPN 用戶端網路之間定義路由關聯性。 | ||||
| • | 網際網路存取。此規則會定義所有預先定義網路和外部網路之間的 NAT 關聯性。 |
企業網路規則
在 ISA Server 2006 Enterprise Edition 中,可以在企業層級或陣列層級上建立網路規則。陣列層級網路規則可套用至陣列層級網路實體和企業網路實體。而企業層級的網路規則僅可套用到企業網路實體。當您想建立一個可套用至所有陣列的規則時,企業層級的網路規則會相當有用。例如,假設您想對企業中的所有陣列定義從內部網路到外部網路的 NAT 關聯性。
網路規則處理順序
網路規則會依序排列。為了判定位址 A 及 B 之間的位址關聯性,ISA Server 會根據優先順序來處理網路規則,以尋找符合位址的規則。會由第一個相符的規則定義位址關聯性。
您可以先使用兩個網路間的路由關聯性來定義網路規則,後續再藉由建立順序較高的網路規則,來覆寫特定位址的關聯性。
ISA Server 會先處理陣列層級的網路規則,然後處理企業層級的網路規則。藉由建立陣列層級的網路規則,陣列系統管理員可覆寫企業層級的網路規則。
設定網路規則
建立網路規則,以指定是否連接網路實體以及連接方式。建立網路規則時,請使用下列方針:
| • | NAT 關聯性是單向的。例如,如果您建立從內部網路至周邊網路的 NAT 關聯性,則不會轉譯從周邊網路傳回內部網路的流量。對於未套用 NAT 的網路至已套用 NAT 的網路之間的流量,您無法使用存取規則進行控制。若要使用存取規則,網路必須知道其他網路的 IP 位址。在此範例中,內部網路已套用 NAT,因此可以知道周邊網路中的位址,但是周邊網路中的用戶端卻不知道內部網路中的位址。相反地,您應該使用網頁發行規則或伺服器發行規則允許周邊網路至內部網路的流量。 |
| • | 路由關聯性是雙向的。使用內部網路和周邊網路之間的路由關聯性定義網路規則時,會隱含地將周邊網路至內部網路之間定義為相同的關聯性。您可以使用存取規則、網頁發行規則或伺服器發行規則控制以路由關聯性連結之網路間的流量。 |
| • | 網路規則是依據本身在網路規則清單中的出現順序進行評估。ISA Server 則會依據排序的網路規則評估流量。ISA Server 只會評估第一個套用至特定流量的規則,而不會評估之後的網路規則。 |
| • | 路由和 NAT 關聯性可進行狀態性篩選和應用程式層檢查。 |
| • | 在某些情況下,因為有些通訊協定和應用程式不是透過 NAT 運作,所以通訊協定需求可能表示流量需要 路由關聯性,而不是要套用 NAT。 |
定義網路和網路關聯性之後,您可以用於防火牆原則規則中指定來源及目的地。如需相關資訊,請參閱 Microsoft TechNet 網站上的 <ISA Server 2006 中的防火牆原則概念>(英文)。
在防火牆原則規則中使用網路實體
當您使用網路實體在存取規則和發行規則中指定來源或目的地時,請注意下列事項:
| • | 通常只有不同網路之間的通訊應往返 ISA Server。當您在控制相同網路中兩個主機之間通訊的存取規則中指定來源或目的地時,不應指定網路的網路實體。相反地,您可以使用電腦、子網路和位址範圍等其他網路實體控制這些主機之間的流量。如果適當的話,您也可以針對這類主機間通訊使用直接存取,以確定內部用戶端之間的要求不會透過 ISA Server 電腦迴路。 |
| • | 當您建立允許網頁存取的存取規則時,如果 Web 要求來自受到通過 Web Proxy 篩選器之 ISA Server 保護的用戶端,就一定會進行位址轉譯,即使規則中來源及目的地網路實體之間具備路由關聯性也一樣。唯一選項則是針對要使用的用戶端通訊協定停用 Web Proxy 篩選器。 |
網路範本
ISA Server 2006 包括對應到常見網路拓撲的預先定義網路範本。雖然您可以手動建立網路,但還是建議您套用最符合實體網路設定的 ISA Server 網路範本。當您執行網路範本精靈以套用其中一個範本時,會定義網路 IP 位址,然後選取對應範本的預先定義防火牆原則。套用範本後,您可以設定其他網路實體、網路規則和存取規則。
套用網路範本會刪除所有現有的規則,但是預先定義的系統原則規則除外。套用範本之前,請先備份您目前的設定。執行網路範本精靈時,您會有機會在套用新範本之前,先儲存目前的設定。
邊緣防火牆範本
邊緣防火牆範本假設 ISA Server 位於網路邊緣的網路拓撲。有一張網路介面卡連接至內部網路,另一張則連接至外部網路 (網際網路)。當選取這個範本時,您可以允許所有連出流量,或是限制連出流量以僅允許網頁存取。套用此範本時,您至少應該有兩張網路介面卡,亦即內部介面卡和外部介面卡。下表詳述套用邊緣防火牆範本時可選取的防火牆原則,以及選取原則時所建立的規則。
| 原則名稱 | 描述 | 建立的規則 |
全部封鎖 | 這個原則會封鎖經由 ISA Server 的所有網路存取。這個選項不會建立預設規則 (封鎖所有存取) 以外的其他存取規則。當您想自己定義防火牆原則時,請使用這個選項 | 無 |
封鎖網際網路存取,允許存取 ISP 網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取外部網路服務 (例如 DNS) 除外。當網路服務是由您的 ISP 提供時,這個選項會十分有用。當您想自己定義防火牆原則時,請使用這個選項。 | 允許 DNS 從內部網路和 VPN 用戶端網路到外部網路 (網際網路) |
允許限制的網頁存取 | 這個原則只允許使用 HTTP、HTTPS 及 FTP 有限制地存取網頁。這個原則會封鎖其他所有網路存取。 | 允許 HTTP、HTTPS、FTP 從內部網路到外部網路 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許限制的網頁存取,以及存取網頁網路服務 | 這個原則允許有限制的網際網路存取,並且允許存取您的網際網路服務提供者 (ISP) 所提供的網路服務 (例如 DNS)。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從內部網路和 VPN 用戶端網路到外部網路 (網際網路) 允許 DNS 從內部網路和 VPN 用戶端網路到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許無限制的存取 | 這個原則允許不受限制地經由 ISA Server 存取網際網路。ISA Server 將防止從網際網路存取受保護的網路。您日後可以修改存取規則以封鎖特定類型的網路存取。 | 允許所有通訊協定從內部網路和VPN 用戶端網路到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
外圍三向網路範本
外圍三向網路範本是假設以三張網路介面卡部署 ISA Server:第一張網路介面卡連接到網際網路 (外部網路),第二張是連接到內部網路,第三張則連接到周邊網路。下表詳述套用外圍三向網路範本時可選取的防火牆原則,以及選取原則時所建立的規則。
| 原則名稱 | 描述 | 建立的規則 |
全部封鎖 | 這個原則會封鎖經由 ISA Server 的所有網路存取。這個選項不會建立預設規則 (封鎖所有存取) 以外的其他存取規則。當您想自己定義防火牆原則時,請使用這個選項。 | 無 |
封鎖網際網路存取,允許存取周邊網路上的網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取周邊網路上的網路服務 (例如 DNS) 除外。當您想自己定義防火牆原則時,請使用這個選項。 | 允許從內部網路和 VPN 用戶端網路到周邊網路的 DNS 傳輸 |
封鎖網際網路存取,允許存取 ISP 網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取外部網路服務 (例如 DNS) 除外。當網路服務是由您的 ISP 提供時,這個選項會十分有用。當您想自己定義防火牆原則時,請使用這個選項。 | 允許 DNS 從內部網路、VPN 用戶端網路和周邊網路到外部網路 (網際網路) |
允許限制的網頁存取 | 這個原則只允許使用 HTTP、HTTPS 及 FTP 有限制地存取網頁。這個原則會封鎖其他所有網路存取。 | 允許 HTTP、HTTPS、FTP 從內部網路和 VPN 用戶端網路到周邊網路和外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許限制的網頁存取,允許存取周邊網路上的網路服務 | 這個原則只允許使用 HTTP、HTTPS 及 FTP 有限制地存取網頁,也允許存取位於周邊網路上的網路服務 (例如DNS)。當周邊網路中有可用的網路基礎結構服務時,這個選項會很有用。 | 允許 HTTP、HTTPS、FTP 從內部網路和 VPN 用戶端網路到周邊網路和外部網路 (網際網路) 允許 DNS 從內部網路和 VPN 用戶端網路到周邊網路的傳輸 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許所有通訊協定從 VPN 用戶端網路到內部網路 | 這個原則允許有限制的網際網路存取,並且允許存取您的 ISP 所提供的網路服務 (例如 DNS)。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從內部網路和VPN 用戶端網路到外部網路 (網際網路) 允許 DNS 從內部網路、VPN 用戶端網路和周邊網路到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許無限制的存取 | 這個原則允許不受限制地經由 ISA Server 存取網際網路。ISA Server 將防止從網際網路存取受保護的網路。您日後可以修改存取規則以封鎖特定類型的網路存取。 | 允許所有的通訊協定從內部網路和VPN 用戶端網路到外部網路 (網際網路) 和周邊網路 允許所有的通訊協定從 VPN 用戶端到內部網路 |
前端防火牆網路範本
前端防火牆網路範本是假設將 ISA Server 部署在網路邊緣,並在後端設定另一個防火牆以保護內部網路。在這個實例中,ISA Server 在後端對後端的周邊網路設定中,充當防禦前線。下表詳述套用前端防火牆網路範本時可選取的防火牆原則,以及選取原則時所建立的規則。
| 原則名稱 | 描述 | 建立的規則 |
全部封鎖 | 這個原則會封鎖經由 ISA Server 的所有網路存取。這個選項不會建立預設規則 (封鎖所有存取) 以外的其他存取規則。當您想定義防火牆原則時,請使用這個選項。 | 無 |
封鎖網際網路存取,允許存取 ISP 網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取外部網路服務 (例如 DNS) 除外。當網路服務是由您的 ISP 提供時,這個選項會十分有用。 | 允許從 VPN 用戶端網路和周邊網路到外部網路 (網際網路) 的 DNS |
允許限制的網頁存取,允許存取周邊網路上的網路服務 | 這個原則允許限制的網頁存取。所有其他網路存取都會予以封鎖。當 DNS 等網路服務位於周邊網路上時,此選項就很有用。 | 允許 HTTP、HTTPS、FTP 從周邊網路和 VPN 用戶端網路到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到周邊網路 |
允許限制的網頁存取,以及存取網頁網路服務 | 這個原則允許限制的網頁存取,並允許存取您的 ISP 所提供的網路服務 (例如 DNS)。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從周邊網路、VPN 用戶端網路到外部網路 允許 DNS 從周邊網路、VPN 用戶端網路到外部網路 允許所有通訊協定從 VPN 用戶端網路到周邊網路 |
允許無限制的存取 | 這個原則允許不受限制地經由 ISA Server 存取網際網路。ISA Server 將防止從網際網路存取受保護的網路。您日後可以修改存取規則以封鎖特定類型的網路存取。 | 允許所有通訊協定從周邊網路和 VPN 用戶端到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到周邊網路 |
後端防火牆範本
後端防火牆網路範本是假設將 ISA Server 部署於網路後端,並在邊緣設定另一個防火牆以保護內部網路。在這個實例中,ISA Server 在後端對後端的周邊網路設定中,充當防禦的後衛的角色。下表詳述套用後端防火牆網路範本時可選取的防火牆原則,以及選取原則時所建立的規則。
| 原則名稱 | 描述 | 建立的規則 |
全部封鎖 | 這個原則會封鎖經由 ISA Server 的所有網路存取。這個選項不會建立預設規則 (封鎖所有存取) 以外的其他存取規則。當您想自己定義防火牆原則時,請使用這個選項。 | 無 |
封鎖網際網路存取,允許存取周邊網路上的網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取周邊網路上的網路服務 (例如 DNS) 除外。當您想自己定義防火牆原則時,請使用這個選項。 | 允許從內部網路和 VPN 用戶端網路到周邊網路的 DNS 傳輸 |
封鎖網際網路存取,允許存取 ISP 網路服務 | 這個原則會封鎖經由 ISA Server 的所有網路存取,但存取外部網路服務 (例如 DNS) 除外。當網路服務是由您的 ISP 提供時,這個選項會十分有用。當您想要自己定義防火牆原則存取規則時,請使用這個選項。 | 允許從內部網路和 VPN 用戶端網路到外部網路 (網際網路)的 DNS,排除周邊位址範圍 |
允許限制的網頁存取 | 這個原則允許限制的網頁存取。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從內部網路到外部網路 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許限制的網頁存取,允許存取周邊網路上的網路服務 | 這個原則允許有限制的網路存取,也允許存取周邊網路上的網路服務。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從內部網路和 VPN 用戶端網路到周邊網路和外部網路 (網際網路) 允許從內部網路和 VPN 用戶端網路到周邊網路的 DNS 傳輸 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許限制的網頁存取,以及存取網頁網路服務 | 這個原則允許限制的網頁存取,並允許存取您的 ISP 所提供的網路服務 (例如 DNS)。所有其他網路存取都會予以封鎖。 | 允許 HTTP、HTTPS、FTP 從內部網路和 VPN 用戶端網路到外部網路 (網際網路) 允許 DNS 從內部網路和 VPN 用戶端網路到除了周邊網路位址範圍之外的外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
允許無限制的存取 | 這個原則允許不受限制地經由 ISA Server 存取網際網路。ISA Server 將防止從網際網路存取受保護的網路。您日後可以修改存取規則以封鎖特定類型的網路存取。 | 允許所有通訊協定從內部網路和VPN 用戶端網路到外部網路 (網際網路) 允許所有通訊協定從 VPN 用戶端網路到內部網路 |
單一網路介面卡網路範本
您可以在配有單一網路介面卡的電腦上安裝 Server 2006。當您套用「單一網路介面卡」網路範本時,內部網路會設定為包含所有 IP 位址。您會執行精靈並選取 [套用預設的網頁 Proxy 處理和快取設定],以套用允許Web Proxy 及快取原則。此原則會將 ISA Server 設定為快取路由器,允許 Web Proxy 用戶端存取網際網路上的網頁內容,並且透過快取加速網頁效能。在套用「單一網路介面卡」網路範本後,會套用下列網路及存取規則:
| • | 本機主機網路:127.0.0.0–127.255.255.255。 | ||||
| • | 內部網路:等於所有其他位址,這些位址為:
| ||||
| • | 預設存取規則:拒絕存取所有位置。 |
在具有單一網路介面卡的電腦上安裝 ISA Server 時,ISA Server 只會注意到兩種網路:代表 ISA Server 電腦本身的本機主機網路,以及內部網路 (包含所有不屬於本機主機網路的 IP 位址)。在此設定中,當內部用戶端瀏覽網際網路時,ISA Server 會將 Web 要求的來源及目的地位址視為在內部網路中。
通常,當另一個防火牆位在網路邊緣,讓您公司資源連接到網際網路時,您會套用單一網路介面卡網路範本。在這個單一介面卡實例中,ISA Server 通常會充當 Web Proxy 或快取伺服器,針對來自內部用戶端的網際網路要求進行 Proxy 處理,並快取網際網路上的內容供公司網路上的用戶端使用。當安裝於具有單一網路介面卡的電腦上時,ISA Server 支援下列實例:
| • | 正向 Web Proxy 會要求使用 HTTP、HTTPS 或 FTP 進行下載 |
| • | 快取網頁內容供公司網路上的用戶端使用 |
| • | 網頁發行以保護已發行的 Web 或 FTP 伺服器 |
| • | Microsoft Office Outlook® Web Access 2003、ActiveSync® 和遠端程序呼叫 (RPC) 透過 HTTP 發行 |
如需使用單一網路介面卡部署 ISA Server 的相關資訊,請參閱 Microsoft TechNet 網站上的 <在具有單一網路介面卡的電腦上設定 ISA Server>(英文)。
建立 ISA Server 網路的最佳作法
每次網路介面卡接收封包時,ISA Server 2006 就會檢查封包的來源 IP 位址,看看對於接收該封包的特定網路介面卡而言是否為有效的位址。若位址被視為無效,ISA Server 就會發出已發生 IP 詐騙攻擊的警示。當下列二項條件皆符合時,就會將 IP 位址視為對特定網路介面卡有效:
| • | IP 位址位於用來接收封包之介面卡的網路中。 |
| • | 路由表指出要預定送至該位址的流量,可透過隸屬該網路的介面卡來遞送。 |
當符合下列其中一項條件時,會將封包視為詐騙封包 (並且丟棄):
| • | 封包所含的來源 IP 位址為 (根據路由表) 無法透過任何與網路相關聯的網路介面卡到達的位址。 |
| • | 封包所含的來源 IP 位址不屬於與網路介面卡相關聯之網路 (Enterprise Edition 的陣列網路) 的位址範圍。 |
| • | 請注意,任何不在 ISA Server 受保護網路中的 IP 位址都視為外部網路的一部份。 |
當 ISA Server 偵測到詐騙封包時,ISA Server 就會觸發警示,指出封包被視為詐騙封包的原因。您應該仔細閱讀警示,並執行下列其中一個動作來嘗試解決問題:
| • | 修正可能的設定錯誤。確認是否應該將來自特定 IP 位址的封包視為詐騙封包。若否,則判斷 ISA Server 為什麼將其視為詐騙封包。 |
| • | 封鎖來自該 IP 位址的流量。如果應該將來自該 IP 位址的流量視為詐騙封包,則封鎖來自該 IP 位址的所有存取。 |
若要避免來自合法 IP 位址的流量被視為詐騙而丟棄,基本上就應該要適當地設定 ISA Server 網路。若要達到此目標,請使用下列方針:
| • | ISA Server 電腦至少必須設定及啟用一張網路介面卡 (以便與內部網路通訊)。僅有一張網路介面卡的 ISA Server 電腦應使用單一網路介面卡範本進行設定,並且有一些功能上的限制。 | ||||
| • | 請勿使用 ISA Server 網路介面卡上的動態位址,但是與外部網路相關聯的介面卡除外。 | ||||
| • | 網路介面卡可以具備零或多個位址,而且僅與一個 ISA Server 網路相關聯,因此每個位址都只屬於單一網路。網路上的位址範圍不重疊。 | ||||
| • | 如果您建立自訂內部或周邊網路,則必須安裝介面卡,以便與新網路相關聯。例如,如果您的 ISA Server 電腦具有兩張網路介面卡,一張連接到網際網路,而另一張連接到內部網路,則需要使用第三張網路介面卡定義周邊網路。 | ||||
| • | 可以直接從網路介面卡到達的所有 IP 位址必須定義為相同的 ISA Server 網路。若要確定已正確設定 ISA Server 經由路由器到達的遠端子網路:
|
其他資訊
設定 ISA Server 網路物件時,下列資源會提供其他資訊:
| • | Microsoft TechNet 網站上的 <ISA Server 2006 的工具箱元素參照> |
| • | Microsoft TechNet 網站上的 <網路疑難排解>(英文) |
| • | Microsoft TechNet 網站上的 <設定網路的最佳作法>(英文) |
| • | Microsoft TechNet 網站上的 <在具有單一網路介面卡的電腦上設定 ISA Server>(英文)。 |
| • | Microsoft TechNet 網站上的 <ISA Server 2006 中的企業管理概念> |