《ISA SERVER2000教案》

北太工教育高回 The Beidaweryanggong Education SASERVER2000数》一紫立 条奥彰奋创新积概 E时代北大叢工数育之觉 SA SERVER2000 Microsoft Internet Security and Acceleration Server 2000 fr4 ISA包括两个版本:标准版和企业版。包括三种模式:防火墙模式, CACHE模式和集 成模式,可以与WIN2K集成,根据计算机,用户,组来定义策略,它通过MMC界面进行 管理,可以在本地和远程管理ISA。 ISA的防火墙分为三个层次,最底层为 IP packet filters,这是静态的,对于指定的端口 不是允许就是阻止通过,然后为 POLICY RULES,这可以理解为动态的包过滤,允许在二 次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像 IP packet filters是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤 ISA的 CACHE功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高 低自动下载,可以在多台ISA上分布 CACHE 当使用ISA企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义 企业策略,也可以对每个阵列分别定义策略 二:安装 Microsoft Internet Security and Acceleration Server2000 在安装前,必须首先考虑ISA的安装模式(防火墙模式, CACHE模式和集成模式), 同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB客户端和SNAT客 户端。对于一个小公司来说,典型的安装是一台ISA安装两块网卡,隔断企业内部局域网 和 INTERNET,对于一个大型公司,则可能需要多台ISA组成阵列。同时对于防火墙后面 的WEB,MAIL服务器的发布也要有所考虑,你是将它们直接安装在ISA上,混合域 ( perimeter network.),还是在企业的内部 如果要安装ISA企业版,必须首先安装 Enterprise Initialization utility,在AD中加入 SCHEMA,如果是安装ISA标准版,它的信息是保存在 SERVER本身的注册表中的 如果企业以前使用 Proxy Server2.0,可以考虑直接升级到ISA 三:设定 INTERNET访问 ISA的客户端分为防火墙客户端,WEB客户端和SNAT客户端,它们的使用场合是不 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 《ISA SERVER 2000 教案》---朱立 务实 勤奋 创新 积极 E 时代北大燕工教育之道 ISA SERVER2000 一：Microsoft Internet Security and Acceleration Server 2000 介绍 ISA 包括两个版本：标准版和企业版。包括三种模式：防火墙模式，CACHE 模式和集 成模式，可以与 WIN2K 集成，根据计算机，用户，组来定义策略，它通过 MMC 界面进行 管理，可以在本地和远程管理 ISA。 ISA 的防火墙分为三个层次，最底层为 IP packet filters，这是静态的，对于指定的端口， 不是允许就是阻止通过，然后为 POLICY RULES，这可以理解为动态的包过滤，允许在二 次连接的时候，动态打开相应的端口（即只有在使用的时候，才会打开这一端口，而不像 IP packet filters 是一直开放的），最后为应用层的过滤，可以对诸如电子邮件的内容进行过滤。 ISA 的 CACHE 功能十分强大，可以定义为自动下载定义计划，可以根据访问频率的高 低自动下载，可以在多台 ISA 上分布 CACHE. 当使用 ISA 企业版的阵列方式时，为企业的管理提供更大的灵活性，你可以统一定义 企业策略，也可以对每个阵列分别定义策略 二：安装 Microsoft Internet Security and Acceleration Server 2000 在安装前，必须首先考虑 ISA 的安装模式（防火墙模式，CACHE 模式和集成模式）， 同时对客户端也要有所考虑，因为客户端可以分为防火墙客户端，WEB 客户端和 SNAT 客 户端。对于一个小公司来说，典型的安装是一台 ISA 安装两块网卡，隔断企业内部局域网 和 INTERNET，对于一个大型公司，则可能需要多台 ISA 组成阵列。同时对于防火墙后面 的 WEB，MAIL 服务器的发布也要有所考虑，你是将它们直接安装在 ISA 上，混合域 （perimeter network.），还是在企业的内部。 如果要安装 ISA 企业版，必须首先安装 Enterprise Initialization utility，在 AD 中加入 SCHEMA，如果是安装 ISA 标准版，它的信息是保存在 SERVER 本身的注册表中的。 如果企业以前使用 Proxy Server 2.0，可以考虑直接升级到 ISA 三：设定 INTERNET 访问 ISA 的客户端分为防火墙客户端，WEB 客户端和 SNAT 客户端，它们的使用场合是不

北太工教育高回 The Beidaweryanggong Education 同的,主要的区别有以下几点 1.SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER 的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访 问,但是你可以通过设置,在访问前要求用户认证) 2.防火墙用户只能在wINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB 客户可以跨越操作系统平台,WEB只有浏览器要求 3.如何内部有WEB/ FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户 4.SNAT用户不支持需要二次连接的网络运用,除非在 IP FILTER中指定 5.SNAT用户需要解决DNS解析问题,这就意味着你的 INTRANET要有DNS服务器或 者在 IP FILTER中允许 DNS Query operation 6.SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持 Http/htTps/Ftp服务 7.对于SNAT用户来说,即使 Protocol rule allows" Any IP traffic”,它也只是开放了ISA 预先定义的那些 Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用 了单一端口,那只要直接定义即可,如果使用了多个端口,则须在 IP FILTER中加以定 义 如果你的网络对外连接是通过拨号方式,则只有 Web Proxy and firewall clients可以使用 按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自 动发现ISA。你需要在DHCP( a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host(A)record of the ISA Server computer and an alias( CNAME) record named WPAD pointing to the Isa Server computer.)中进行相应设置 四:设置 Access policies 对于用户访问是否允许,ISA通过 PROTOCOL-> SITE AND CONTENT>IP FILTER> ROUTING RULE的次序进行考察,首先考察是否有 PROTOCOL RULES拒绝访 问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。 SITE AND CONTENT/ P FILTER也是这样判断。 ROUTING RULE主要用来判断是将访问要求转交给 上一级ISA还是直接发到 INTERNET上。特别的: 1.对于一个指定的 PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的 拒绝指得是P地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户 的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对P的,如果客户 端在这一IP地址范围内,则 PROTOCOL这一层过滤通过 2.对以 WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下 它是允许匿名的,他允许跑的协议为 Http/htTps/FTP。对于这种情况,我们可以在 ISA的设置中要求出站WEB需要认证,或者在 PROTOCOL中加一条允许协议,因为 WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行 匹配,他就会因为不匹配而遭到拒绝 3.对于 FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进 行管理,在ISA上观察, FIREWALL SNAT CLIENT均属于 FIRWALL SESSION,但是 FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 同的，主要的区别有以下几点： 1. SNAT 用户的访问只能通过 IP 地址来进行控制，它是匿名访问，无法使用基于 USER 的规则控制，而防火墙用户和 WEB 用户可以（在缺省情况下，ISA 允许 WEB 匿名访 问，但是你可以通过设置，在访问前要求用户认证） 2. 防火墙用户只能在 WINX 的机器上安装（需要客户端安装程序），而 SNAT 客户和 WEB 客户可以跨越操作系统平台，WEB 只有浏览器要求 3. 如何内部有 WEB/FTP/MAIL 之类的服务器提供对外服务，则它们必须作为 SNAT 用户 4. SNAT 用户不支持需要二次连接的网络运用，除非在 IP FILTER 中指定 5. SNAT 用户需要解决 DNS 解析问题，这就意味着你的 INTRANET 要有 DNS 服务器或 者在 IP FILTER 中允许 DNS Query operation。 6. SNAT 用 户和防火 墙用户同时 也可以是 WEB 用户， 不过 WEB 用 户只支持 HTTP/HTTPS/FTP 服务。 7. 对于 SNAT 用户来说，即使 Protocol Rule allows "Any IP traffic."，它也只是开放了 ISA 预先定义的那些 Protocol，至于如 QQ 之类还要你自己定义。注意如果这一应用只使用 了单一端口，那只要直接定义即可，如果使用了多个端口，则须在 IP FILTER 中加以定 义。 如果你的网络对外连接是通过拨号方式，则只有 Web Proxy and firewall clients 可以使用 按需拨号，对于 NAT 用户，必须首先建立连接。WEB 用户和防火墙用户还可以配置使用自 动发现 ISA。你需要在 DHCP（a special Web Proxy Autodiscovery Protocol entry）和 DNS（both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.）中进行相应设置 四：设置 Access Policies 对 于 用 户 访 问 是 否 允 许 ， ISA 通 过 PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE 的次序进行考察，首先考察是否有 PROTOCOL RULES 拒绝访 问，如果没有，再考察是否有明确的允许，如果有，则通过，其他情况则拒绝。SITE AND CONTENT/IP FILTER 也是这样判断。ROUTING RULE 主要用来判断是将访问要求转交给 上一级 ISA 还是直接发到 INTERNET 上。特别的： 1. 对于一个指定的 PROTOCOL，如果以一个 SNAT 访问，如果没有明确的拒绝（这里的 拒绝指得是 IP 地址的拒绝），则 ISA 会查找是否有明确的许可，如果许可都是针对用户 的，则 SNAT 客户会被拒绝（因为 SNAT 是匿名的）。如果许可是针对 IP 的，如果客户 端在这一 IP 地址范围内，则 PROTOCOL 这一层过滤通过。 2. 对以 WEB PROXY CLIENT 用户（在浏览器中填写 ISA 作为代理服务器），缺省情况下 它是允许匿名的，他允许跑的协议为 HTTP/HTTPS/FTP。对于这种情况，我们可以在 ISA 的设置中要求出站 WEB 需要认证，或者在 PROTOCOL 中加一条允许协议，因为 WEB 允许匿名，所以一条 DENY 并不能阻止他的访问，加上允许，ISA 就会对他进行 匹配，他就会因为不匹配而遭到拒绝。 3. 对于 FIREWALL/WEB CLIENT 均是通过用户来进行管理的，只有 NAT 是通过 IP 来进 行管理，在 ISA 上观察，FIREWALL/ SNAT CLIENT 均属于 FIRWALL SESSION，但是 FIRWALL CLIENT 有用户名和机器名，SNAT 这两项为空，他只有客户端的 IP 地址

北太工教育高回 The Beidaweryanggong Education 一般来说,你如果想访问外部网站,必须要有两个条件,一个是 PROTOCOL RULE许 可,另外一个是 SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个 SITE AND CONTENT许可供你使用,在 PROTOCOL RULE集中,没有先后次序的概念,但是DENY 比 PERMIT的权力要高 在ISA的控制元素中包括:计划 schedules,带宽优先级 bandwidth priorities,目标集 destination sets.客户集 client address sets.,协议定义 protocol definitions,内容组 content groups,and拨号 dial-up entries你可以将它们组合各种规则( access policy rules, routing rules, ublishing rules, N bandwidth rules 对于包含路径的目标地址,ISA不同的客户端有不同的处理 如果想在ISA服务器本身上发布服务器,必须使用 IP FILTER,它本身还可以用来阻止 外界的某些IP攻击 五:设置 ISA Server Cache CACHE可以加快用户的 INTERNET访问速度,你可以使用 routing rules来指定何者需 要 CACHE,何者从 INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的 CACHE,你可以控制它的大小(必须安装在NTFS上)是否 CACHE动态内容:是否 CACHE HTP和FTP内容:自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给 CACHE的内存大小以提高性能 六:发布内部 SERVER 如果想发布内部的 SERVER,则使用 PUBISHING RULES(这实际上也就是 PROTOCOL RULES,只有在需要的时候才会开放),如果SERⅤER就在ISA上,则应使用 IP PACKET FILTERS。在SERⅤER的发布上,最重要的是 WEB SERVER和 MAIL SERVER 七:ISA的安全性 控制ISA,你必须有相应权限( Enterprise Admins),如果为了提高性能,在企业中有多 台 ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用 round robin distribution 即可,对于SNAT客户,则需要设置 Network load balancing(这需要高级服务器版和数据 中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通 过它们进行恢复 利用ISA你可以在公司两地搭建ⅤPN,并可以让移动用户通过VPN访问公司的信息, 这实际上是利用了WIN2K的 Routing and Remote Access服务(ISA只不过在 IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置 例如增加DHCP中续代理使远端用户得到正确的局域网DNS/wINS配置,远端用户实际上 并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可 以删除由 WIZARD建立的4条 IP FILTERS,然后 DISABLE Routing and remote access,最 后由 WIZARD重新建立。 八:使用H.323 Gatekeeper 不懂,请高人指点 九:监视和优化ISA 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 一般来说，你如果想访问外部网站，必须要有两个条件，一个是 PROTOCOL RULE 许 可，另外一个是 SITE AND CONTENT 许可，在缺省条件下，ISA 会自动建立一个 SITE AND CONTENT 许可供你使用，在 PROTOCOL RULE 集中，没有先后次序的概念，但是 DENY 比 PERMIT 的权力要高 在 ISA 的控制元素中包括：计划 schedules, 带宽优先级 bandwidth priorities, 目标集 destination sets, 客户集 client address sets, 协议定义 protocol definitions, 内容组 content groups, and 拨号 dial-up entries。你可以将它们组合各种规则（access policy rules, routing rules, publishing rules, 和 bandwidth rules） 对于包含路径的目标地址，ISA 不同的客户端有不同的处理 如果想在 ISA 服务器本身上发布服务器，必须使用 IP FILTER，它本身还可以用来阻止 外界的某些 IP 攻击 五：设置 ISA Server Cache CACHE 可以加快用户的 INTERNET 访问速度，你可以使用 routing rules 来指定何者需 要 CACHE，何者从 INTERNET 上直接访问，何者则把请求发给上一级 ISA。对 ISA 本身的 CACHE，你可以控制它的大小（必须安装在 NTFS 上）；是否 CACHE 动态内容；是否 CACHE HTTP 和 FTP 内容；自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET 内容。 如果 ISA 本身的内存比较小，还可以调整分配给 CACHE 的内存大小以提高性能。 六：发布内部 SERVER 如果想发布内部的 SERVER，则使用 PUBISHING RULES（这实际上也就是 PROTOCOL RULES，只有在需要的时候才会开放），如果 SERVER 就在 ISA 上，则应使用 IP PACKET FILTERS。在 SERVER 的发布上，最重要的是 WEB SERVER 和 MAIL SERVER 七：ISA 的安全性 控制 ISA，你必须有相应权限（Enterprise Admins），如果为了提高性能，在企业中有多 台 ISA SERVER，则对于防火墙用户，你只要简单的设置 DNS，使用 round robin distribution 即可，对于 SNAT 客户，则需要设置 Network Load Balancing （这需要高级服务器版和数据 中心版）。对于企业设置和阵列设置，你可以将设置备份到一个文件，并可以在任何时刻通 过它们进行恢复。 利用 ISA 你可以在公司两地搭建 VPN，并可以让移动用户通过 VPN 访问公司的信息， 这实际上是利用了 WIN2K 的 Routing and Remote Access 服务（ISA 只不过在 IP PACKET FILTER 中针对 PPTP 和 L2TP 增加了几条包过滤），你可以在相应服务上进行进一步设置， 例如增加 DHCP 中续代理使远端用户得到正确的局域网 DNS/WINS 配置，远端用户实际上 并没有真正登录到公司的域中，对 VPN 的接入安全性必须加强设置。如果觉得有问题，可 以删除由 WIZARD 建立的 4 条 IP FILTERS，然后 DISABLE Routing and Remote Access，最 后由 WIZARD 重新建立。 八：使用 H.323 Gatekeeper 不懂，请高人指点。 九：监视和优化 ISA

北太工教育高回 The Beidaweryanggong Education ISA有45种报警,当报警触发时,写入WN2K的事件记录器,并可选择 E-MAIL传 递和停止启动ISA服务。ISA的LOG分为 IP FILTERS,防火墙,WEB代理三个文件,每 天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运 行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对 于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的 访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。 十:排错 基本的,你可以使用 ISA Server Reports(性能)/ Event viewer(警告出错信息) / Performance monitor(性能)/ Netstat(网络状态)/ elnet(服务状态)∧ Network monitor (网络状况)/ he Routing table(路由信息)来排除错误 对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然 后再一步步添加设置,找出问题的根源。最简单的形式如下: 1.激活 packet filtering enabled,设定一个最简单的 filter,允许双向的IP包 2.建立一条 protocol rule,允许所有的 IP traffi 3.建立一条 SITE AND CONTENT允许访问所有的网站和内容 4.将 application filters和 routing rules恢复成缺省设置 5.检查LAT表包含了所有的客户端 6.在 IP Packet filters中激活 IP Routing,保证有二次连接的协议被顺利路由 7.检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关 8.客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址 附录:常见问题解答(资料来自www.isaserver.org) 问:什么是 Microsoft ISA Server? 这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。 ISA Server 提供了安全、快速、可管理的 Internet连接性。 ISA Server包括一个可扩展的、多层的企业 防火墙,该防火墙能够进行动态的数据包过滤、透明的、 SecureNAT、“智能的”数据感知 的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度, 而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活 的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与 Windows 200的虚拟专用网(vPN, virtual private networking)和带宽控制进行了集成。 ISA Server是一 个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进 行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。 问: Microsoft Internet Security and Acceleration Server2000是否属于防火墙或缓存服务 器? ISA Server既可被配置为集成化防火墙与缓存解决方案,又可被部署成专用防火墙或专 用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据 包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障 而急需专用缓存解决方案的组织机构则可通过使用 ISA Server所具备的高级缓存特性对网 络实施改进增强 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com ISA 有 45 种报警，当报警触发时，写入 WIN2K 的事件记录器，并可选择 E-MAIL 传 递和停止启动 ISA 服务。ISA 的 LOG 分为 IP FILTERS，防火墙，WEB 代理三个文件，每 天产生（当然你可以限制其总数量），缺省条件下放在 ISA 的 LOG 目录下。对于 ISA 的运 行效率观察，最简单的办法是审查 ISA 的运行报告（事先你要设定 ISA 如何产生报告），对 于 ISA 的带宽分配，你也可以加以定义，ISA 是一种所谓的动态分配，优先满足优先权高的 访问，在这基础上再满足优先权低的访问，而不是直接分配固定带宽给用户。 十：排错 基本的，你可以使用 ISA Server Reports（性能） /Event Viewer （警告出错信息） /Performance Monitor （性能）/Netstat （网络状态）/Telnet （服务状态）/Network Monitor （网络状况） /The Routing Table （路由信息）来排除错误。 对于复杂的错误，可以先将 ISA 设置到最简单的模式，观察是否能连通内外网络，然 后再一步步添加设置，找出问题的根源。最简单的形式如下： 1. 激活 packet filtering enabled, 设定一个最简单的 filter，允许双向的 IP 包 2. 建立一条 protocol rule，允许所有的 IP traffic， 3. 建立一条 SITE AND CONTENT,允许访问所有的网站和内容 4. 将 application filters 和 routing rules 恢复成缺省设置 5. 检查 LAT 表包含了所有的客户端 6. 在 IP Packet Filters 中激活 IP Routing，保证有二次连接的协议被顺利路由 7. 检查 ISA 的外部网卡，确保正确的网关，而内部网卡应该不设置网关 8. 客户端作为 SNAT 连接 ISA，确定其网关地址为 ISA 的内网卡地址 附录：常见问题解答（资料来自 www.isaserver.org） 问：什么是 Microsoft ISA Server？ 这是一种具备全面功能特性的企业级安全，加速和多层次陈列管理服务器。ISA Server 提供了安全、快速、可管理的 Internet 连接性。ISA Server 包括一个可扩展的、多层的企业 防火墙，该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知 的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了 Web 访问速度， 而同时节约了带宽，并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一，灵活 的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与 Windows 200 的虚拟专用网(VPN，virtual private networking)和带宽控制进行了集成。ISA Server 是一 个进行扩展和自定义的丰富的平台，它包括一个广泛的软件开发工具包(SDK)和多个用于进 行管理、应用程序过滤器、Web 过滤器和缓存控制的应用程序设计接口(API)。 问：Microsoft Internet Security and Acceleration Server 2000 是否属于防火墙或缓存服务 器？ ISA Server 既可被配置为集成化防火墙与缓存解决方案，又可被部署成专用防火墙或专 用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据 包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障。 而急需专用缓存解决方案的组织机构则可通过使用 ISA Server 所具备的高级缓存特性对网 络实施改进增强

北太工教育高回 The Beidaweryanggong Education 问:拥有与缓存解决方案相结合的防火墙会带来哪些优势? 即使在组织机构选择分别实施防火墙与缓存功能的情况下, ISA Server仍可同时面向出 站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上,组织机构便可适 当缩短系统和网络管理员的培训周期,并相应降低产品管理与维护工作负荷。 问:实施缓存功能是否需要以牺牲 ISA Server作为防火墙的安全性为代价? 绝对不会。缓存基本上属于一种智能存储引擎,可帮助管理人员通过对频繁接受检索的 对象加以存储的方式提高网络访问性能。Web缓存是基于Web代理引擎实施构建的,而Web 代理引擎则可实现HTTP连接特性、筛选功能以及像内容屏幕显示和URL阻断这样与安全 性相关的任务。 问: ISA Server是否需要由 Active Directory(活动目录)提供支持? Active Directory并非实现 ISA Server安全与加速优势的必要条件。然而,谋求以分层方 式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需 要对 Active Directory加以运用。 客户完全可以借助 Active Directory实现阵列化部署,并同现有域建立起信任关系,以 期将变化影响程度限制在最低水平。而在这种情况下,则需要面向 Active Directory实施全 面迁移。 问:是否可从 Microsoft Proxy Server2.0迁移至 ISA Server? 可以,这里的确存在着一条可供运行 Proxy Server2.0版的客户实施升级的有效途径。 ISA Server所具备的强大防火墙与缓存特性将可面向针对 Proxy Server20加以应用的具体情 境提供相关支持。当然, ISA Server毕竟是一项基于 Microsoft windows2000操作系统安全 与可靠特性的新产品,并具备针对企业安全与缓存需求而专门设计的新型体系结构。 问:目前存在哪些针对 ISA Server的第三方支持? 不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余 地, Microsoft已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第 三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的 兼容型、互补式软件产品。 问: ISA Server是否可面向vPN(虚拟专用网络)提供支持? 可以。 ISA Server可帮助您创建虚拟专用网络(PN),并在此基础上为其提供安全保 障。在使用有关向导程序的情况下, ISA Server将可针对 Windows2000 Server所具备的内 建式虚拟专用网络服务进行配置,以便帮助组织机构面向远程站点和移动用户提供符合成本 效益原则的链接 问: ISA Server Enterprise Initialization Tool( ISA Server企业初始化工具)可对 Active Directory架构进行修改,请问:截至目前,是否发布过有关上述修改的完整列表? 请查阅位于 cdrootlisa目录下的 scheme. ldif文件……该文件是针对架构更新而生成的导 入文件 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 问：拥有与缓存解决方案相结合的防火墙会带来哪些优势？ 即使在组织机构选择分别实施防火墙与缓存功能的情况下，ISA Server 仍可同时面向出 站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上，组织机构便可适 当缩短系统和网络管理员的培训周期，并相应降低产品管理与维护工作负荷。 问：实施缓存功能是否需要以牺牲 ISA Server 作为防火墙的安全性为代价？ 绝对不会。缓存基本上属于一种智能存储引擎，可帮助管理人员通过对频繁接受检索的 对象加以存储的方式提高网络访问性能。Web 缓存是基于 Web 代理引擎实施构建的，而 Web 代理引擎则可实现 HTTP 连接特性、筛选功能以及像内容屏幕显示和 URL 阻断这样与安全 性相关的任务。 问：ISA Server 是否需要由 Active Directory（活动目录）提供支持？ Active Directory 并非实现 ISA Server 安全与加速优势的必要条件。然而，谋求以分层方 式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需 要对 Active Directory 加以运用。 客户完全可以借助 Active Directory 实现阵列化部署，并同现有域建立起信任关系，以 期将变化影响程度限制在最低水平。而在这种情况下，则需要面向 Active Directory 实施全 面迁移。 问：是否可从 Microsoft Proxy Server 2.0 迁移至 ISA Server？ 可以，这里的确存在着一条可供运行 Proxy Server 2.0 版的客户实施升级的有效途径。 ISA Server 所具备的强大防火墙与缓存特性将可面向针对Proxy Server 2.0加以应用的具体情 境提供相关支持。当然，ISA Server 毕竟是一项基于 Microsoft Windows 2000 操作系统安全 与可靠特性的新产品，并具备针对企业安全与缓存需求而专门设计的新型体系结构。 问：目前存在哪些针对 ISA Server 的第三方支持？ 不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余 地，Microsoft 已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第 三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的 兼容型、互补式软件产品。 问：ISA Server 是否可面向 VPN（虚拟专用网络）提供支持？ 可以。ISA Server 可帮助您创建虚拟专用网络（VPN），并在此基础上为其提供安全保 障。在使用有关向导程序的情况下，ISA Server 将可针对 Windows 2000 Server 所具备的内 建式虚拟专用网络服务进行配置，以便帮助组织机构面向远程站点和移动用户提供符合成本 效益原则的链接。 问：ISA Server Enterprise Initialization Tool（ISA Server 企业初始化工具）可对 Active Directory 架构进行修改，请问：截至目前，是否发布过有关上述修改的完整列表？ 请查阅位于 cdroot\isa 目录下的 scheme.ldif 文件……该文件是针对架构更新而生成的导 入文件……

北太工教育高回 The Beidaweryanggong Education 问:单一日志容量是否可超过4GB? 非NTFS卷中的文件容量主要受制于相关磁盘卷所容许的最大文件容量。适用于Fat16 卷的最大文件容量约为2GB。 问:如何对已安装的ISA执行全面删除操作? 请在Ⅵ386目录下运行可执行文件 RMISA EXE。 问:如何在ISA中备份 Destination(目标)集合? 请在 ISA MMC中右键单击您的服务器名称,然后点击备份。 问: ISA Server是否可像 MSProxy20那样面向 AutoDial提供支持? ISA2000具备这种特性。在该产品的beta3版中,上述特性将得到自动应用。如果您需 要使用 AutoDial,则应首先在 ISA CD上运行一个位于 -sdk samples\admin\scripts文件夹、文 件名为 Add doD. vbs的ⅤBS脚本。当然,您还必须事先根据自身需求对该脚本进行相关编 辑 问:通过使用 ISA Server,将能为您带来哪些重大改进? 全面集成 SOCKS V4.3a筛选程序 得到改进的邮件服务器向导程序 新型虚拟专用网络向导程序 PPTP支持特性 性能调节 适用于SMIP筛选程序的新型用户界面(U 得到更新的COM和应用程序筛选器界面 附加预定制协议 包括全面文档化事件消息和性能计数器在内的改进型文档功能 问:从何时起可下载 ISA Server,该软件存在哪些限定性条件? 请从http://www.microsoft.com/isaserver/下载ISAServer拷贝ISAServer的测试版有效 期限为安装后的120天 问: ISA Server需要占用多少RAM容量,如何对该容量值进行修改? 在缺省状态下, ISA Server rci将针对RAM代理缓存占用50%的可用内存空间。如需 对上述内存占用量加以修改,请打开 Cache Configuration(缓存配置)属性,并在 Advanced (高级)选项卡上点击鼠标,接着,在“可供用于缓存特性的内存容量百分比”提示后,将 百分比数值从50%(缺省值)相应降至5%左右。在上述修改操作完成后,重新启动 Microsoft Web Proxy服务,您将会看到,内存占用量已得到了显著降低 问:如何针对每个用户分别指派 Bandwidth Quota(带宽配额)?举例来说,是否可将用户 John”的信息下载容量限定为每月500Meg,而在此基础上,该用户的 Internet访问请 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 问：单一日志容量是否可超过 4 GB？ 非 NTFS 卷中的文件容量主要受制于相关磁盘卷所容许的最大文件容量。适用于 Fat16 卷的最大文件容量约为 2 GB。 问：如何对已安装的 ISA 执行全面删除操作？ 请在\I386 目录下运行可执行文件 RMISA.EXE。 问：如何在 ISA 中备份 Destination（目标）集合？ 请在 ISA MMC 中右键单击您的服务器名称，然后点击备份。 问：ISA Server 是否可像 MSProxy 2.0 那样面向 AutoDial 提供支持？ ISA 2000 具备这种特性。在该产品的 beta 3 版中，上述特性将得到自动应用。如果您需 要使用 AutoDial，则应首先在 ISA CD 上运行一个位于\sdk\samples\admin\scripts 文件夹、文 件名为 Add_DOD.vbs 的 VBS 脚本。当然，您还必须事先根据自身需求对该脚本进行相关编 辑。 问：通过使用 ISA Server，将能为您带来哪些重大改进？ 全面集成 SOCKS v.4.3a 筛选程序 得到改进的邮件服务器向导程序 新型虚拟专用网络向导程序 PPTP 支持特性 性能调节 适用于 SMTP 筛选程序的新型用户界面（UI） 得到更新的 COM 和应用程序筛选器界面 附加预定制协议 包括全面文档化事件消息和性能计数器在内的改进型文档功能 问：从何时起可下载 ISA Server， 该软件存在哪些限定性条件？ 请从 http://www.microsoft.com/isaserver/下载 ISA Server 拷贝。ISA Server 的测试版有效 期限为安装后的 120 天。 问：ISA Server 需要占用多少 RAM 容量，如何对该容量值进行修改？ 在缺省状态下，ISA Server RC1 将针对 RAM 代理缓存占用 50％的可用内存空间。如需 对上述内存占用量加以修改，请打开 Cache Configuration（缓存配置）属性，并在 Advanced （高级）选项卡上点击鼠标，接着，在“可供用于缓存特性的内存容量百分比”提示后，将 百分比数值从 50%（缺省值）相应降至 5%左右。在上述修改操作完成后，重新启动 Microsoft Web Proxy 服务，您将会看到，内存占用量已得到了显著降低。 问：如何针对每个用户分别指派 Bandwidth Quota（带宽配额）？举例来说，是否可将用户 “John”的信息下载容量限定为每月 500 Meg，而在此基础上，该用户的 Internet 访问请

北太工教育高回 The Beidaweryanggong Education 求将被予以拒绝? ISA Server目前尚无法针对此等特性提供相关支持,但您却可以将具备相关功能的第三 方附件程序安装至 ISA Server o如需查阅有关第三方产品列表,请访问以下Web站点 http://www.isaserver.org 问:能否实现针对ISA服务器的远程管理(从具备管理员角色的PC运行ISA管理控制台)? 可以实现,但必须确保相关PC运行Win2000操作系统。 问:ISA是否可为“内容引导协议”(CVP)提供相关支持? ISA无法提供上述支持。在使用ISA的情况下,您必须具备独立的电子邮件病毒保护功 能。虽然市场上存在可供使用的第三方产品,但仍请就所需支持特性参阅 ht// /wIsaserver. org/站点。 问:请提供有关 wpad. dat的确切解释。 wpad. dat文件主要供 Internet Explorer用来获取所需信息,以便允许客户端浏览器通过 使用 ISA Server代理服务实现 Internet访问功能。为实现 Internet访问而运行 Internet Explorer 的客户端可通过使用DNS或DHCP的方式进行配置,但就 ISA Server部署而言,团队成员 则必须使用DHCP来面向客户端提供wpad.dat配置 问:能否借助 ISA Server标准版创建阵列? 标准版无法面向阵列提供相关支持 问:我一共拥有四个站点(其中,包括一个总部站点和三个分支机构站点),而它们中的每 一个都仅配备一颗CPU,并在各自位置运行着 Proxy Server2。这些站点分别具备独立的 Internet访问功能,但又通过 Frame Relay(帧中继)实现了彼此间的网络互联。如果我希 望从总部位置对上述四个站点实施统一管理,并建立起相应的企业策略,那么,还需要为 这些站点购置哪些软件产品?究竞是仅购买一份企业版即可满足需求,还是必须同时购买 一份企业版和三份标准版? 您需要为此购买四份企业版许可证 问:如何查看自己正在使用的 A Server版本? 在 Computer(s)节点上点击鼠标,您将在右侧窗格内查看到有关版本和产品I的卷标。 问: ISA Server标准版是否与NT40相集成,如何按用户或组对出站访问进行设定? 您无法在基于 Windows nt操作系统的计算机上安装 ISA Server。该产品必须安装于以 Win2k为操作系统的计算机。标准版可基于 Win2k server产品家族进行安装,而企业版则需 要由 Advanced Server或 Datacenter Server提供相关支持。 ISA Server的所有版本均可被安装于具备 Windows nt40域成员资格的计算机,同时 ISA Server还可对基于安全策略的SAM数据库加以应用。由于 ISA Server需要使用AD为 自身创建阵列,因此,如果您所安装的是 ISA Server企业版,则无法创建阵列 问:防火墙客户端是否属于ISA软件包的组成部分? 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 求将被予以拒绝？ ISA Server 目前尚无法针对此等特性提供相关支持，但您却可以将具备相关功能的第三 方附件程序安装至 ISA Server。如需查阅有关第三方产品列表，请访问以下 Web 站点： http://www.isaserver.org/。 问：能否实现针对 ISA 服务器的远程管理（从具备管理员角色的 PC运行 ISA 管理控制台）？ 可以实现，但必须确保相关 PC 运行 Win2000 操作系统。 问：ISA 是否可为“内容引导协议”（CVP）提供相关支持？ ISA 无法提供上述支持。在使用 ISA 的情况下，您必须具备独立的电子邮件病毒保护功 能 。 虽 然 市 场 上 存 在 可 供 使 用 的 第 三 方 产 品 ， 但 仍 请 就 所 需 支 持 特 性 参 阅 http://www.isaserver.org/站点。 问：请提供有关 wpad.dat 的确切解释。 wpad.dat 文件主要供 Internet Explorer 用来获取所需信息，以便允许客户端浏览器通过 使用 ISA Server 代理服务实现 Internet 访问功能。为实现 Internet 访问而运行 Internet Explorer 的客户端可通过使用 DNS 或 DHCP 的方式进行配置，但就 ISA Server 部署而言，团队成员 则必须使用 DHCP 来面向客户端提供 wpad.dat 配置。 问：能否借助 ISA Server 标准版创建阵列？ 标准版无法面向阵列提供相关支持。 问：我一共拥有四个站点（其中，包括一个总部站点和三个分支机构站点），而它们中的每 一个都仅配备一颗 CPU，并在各自位置运行着 Proxy Server 2。这些站点分别具备独立的 Internet 访问功能，但又通过 Frame Relay（帧中继）实现了彼此间的网络互联。如果我希 望从总部位置对上述四个站点实施统一管理，并建立起相应的企业策略，那么，还需要为 这些站点购置哪些软件产品？究竟是仅购买一份企业版即可满足需求，还是必须同时购买 一份企业版和三份标准版？ 您需要为此购买四份企业版许可证。 问：如何查看自己正在使用的 ISA Server 版本？ 在 Computer(s)节点上点击鼠标，您将在右侧窗格内查看到有关版本和产品 ID 的卷标。 问：ISA Server 标准版是否与 NT 4.0 相集成，如何按用户或组对出站访问进行设定？ 您无法在基于 Windows NT 操作系统的计算机上安装 ISA Server。该产品必须安装于以 Win2k 为操作系统的计算机。标准版可基于 Win2k Server 产品家族进行安装，而企业版则需 要由 Advanced Server 或 Datacenter Server 提供相关支持。 ISA Server 的所有版本均可被安装于具备 Windows NT 4.0 域成员资格的计算机，同时， ISA Server 还可对基于安全策略的 SAM 数据库加以应用。由于 ISA Server 需要使用 AD 为 自身创建阵列，因此，如果您所安装的是 ISA Server 企业版，则无法创建阵列。 问：防火墙客户端是否属于 ISA 软件包的组成部分？

北太工教育高回 The Beidaweryanggong Education 完全正确。防火墙客户端同 Winsock Proxy客户端一样,均属于 Proxy Server2.0的组成 部分 问:贵公司针对该服务器产品所推荐的RAM和硬盘容量分别是多少?512MB的RAM容 量是否足够,亦或仍需购量更多的RAM内存? 512MB的RAM容量针对软件安装来说,无疑是绰绰有余的。请务必运行 System Monitor(系统监视程序),并针对缓存性能及其它内建ISA计数参数生成日志记录,以便就 相关配置下的性能表现加以掌握 问:在将ISA安装于RRAS机盒的情况下,该产品将以何种方成对RRAS加以应用?尽管 ISA取代了RRAS数据包筛选功能,然而,该产品将如何就路由操作、虚拟专用网络(ⅤP 和请求拨号特性对RRAS加以充分利用?特别是在已完成IsA安装操作的前提下,应如何 确保RRAS远程访问策略及相关配置同ⅤPN或拨号连接之间的协作关系? ISA与RRAS之间具有十分密切的协作关系。事实上,在试用VPN向导程序后,您便 会觉察到在RRAS服务器上所发生的变化。RRAS与ISA主要以并列方式运转,如果两者 之间偶尔发生冲突,那么,其结果也必然是ISA获得优先权。 问:据说在 ISA Server上, SecureNat和防火墙客户端之间存在着“鱼与熊掌不可兼得” 的关系。贵公司所提供的白皮书及其它相关文档使我得以令众多客户端将 ISA Server与防 火墙客户端配合使用。与此同时,我还允许客户端在无需安装专用防火墙软件的前提下, 将ISA作为代理服务器加以应用。但是,代理功能仅适用于ht及其它 Internet Explorer 参数。而我对 ISA Server的理解则是,不使用防火墙客户端软件的客户端必然是 SecureNAT 客户端,所有请求均应在P配置网关参数正确输入的情况下获得解译。请问:是否有人能 告诉我对这种功能加以应用的具体方式? 您的客户端IP地址将由类似于19216801-255的专用地址构成。这些地址中的某一个 有可能被用作ISA的内部网卡地址,比如,192.1680.1:而外部网卡地址则可能是由ISP为 您专门指定的,比如,207.69.188.185。在内部客户端试图对主机实施访问的情况下,其所 配备的网关地址便有可能针对某一Web页面而被设定为1921680.1。这表明,主机并非位 于本地子网,并且必须通过ISA实现访问调用。开放式端口通信只能在ISA和 Internet两者 间进行,并将通过8080端口将符合要求的信息反馈至相关客户端或您所指定的任何位置。 这基本上属于NAT的模式。在客户端和 Internet远程主机之间,并不存在任何面向端口通 信而开放的端口。 防火墙客户端的使用情况极可能具备完全相同的配置,但却允许在客户端与 Internet之 间执行端口通信。假设您主要借助 Publishing wizard(发布向导程序)来实现邮件服务器的 发布。在此基础上,您将会发现该服务器在会话期间所显现的内部地址同 Winsock会话期别 无二致。鉴于邮件服务器将在执行接发操作时对其它端口加以利用,因此,上述情况是完全 必要的。由此看来,通过将邮件服务器设置为防火墙的方式对其进行“发布”,势必有助于 在专用端口上实现信息收发功能。 问:我似乎无法编制当天的报告。ISA生成了这些报告,而我却难以对其执行打开和浏览 操作。奇怪的是,所有先前生成的报告(当天之前的)均可被打开和浏览 ISA Server基本依据日志摘要生成报告。具体方式为,每天12:30AM生成日志摘要, 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 完全正确。防火墙客户端同 Winsock Proxy 客户端一样，均属于 Proxy Server 2.0 的组成 部分。 问：贵公司针对该服务器产品所推荐的 RAM 和硬盘容量分别是多少？512MB 的 RAM 容 量是否足够，亦或仍需购置更多的 RAM 内存？ 512 MB 的 RAM 容量针对软件安装来说，无疑是绰绰有余的。请务必运行 System Monitor（系统监视程序），并针对缓存性能及其它内建 ISA 计数参数生成日志记录，以便就 相关配置下的性能表现加以掌握。 问：在将 ISA 安装于 RRAS 机盒的情况下，该产品将以何种方成对 RRAS 加以应用？尽管 ISA 取代了 RRAS 数据包筛选功能，然而，该产品将如何就路由操作、虚拟专用网络（VPN） 和请求拨号特性对 RRAS 加以充分利用？特别是在已完成 ISA 安装操作的前提下，应如何 确保 RRAS 远程访问策略及相关配置同 VPN 或拨号连接之间的协作关系？ ISA 与 RRAS 之间具有十分密切的协作关系。事实上，在试用 VPN 向导程序后，您便 会觉察到在 RRAS 服务器上所发生的变化。RRAS 与 ISA 主要以并列方式运转，如果两者 之间偶尔发生冲突，那么，其结果也必然是 ISA 获得优先权。 问：据说在 ISA Server 上，SecureNAT 和防火墙客户端之间存在着“鱼与熊掌不可兼得” 的关系。贵公司所提供的白皮书及其它相关文档使我得以令众多客户端将 ISA Server 与防 火墙客户端配合使用。与此同时，我还允许客户端在无需安装专用防火墙软件的前提下， 将 ISA 作为代理服务器加以应用。但是，代理功能仅适用于 http 及其它 Internet Explorer 参数。而我对 ISA Server 的理解则是，不使用防火墙客户端软件的客户端必然是 SecureNAT 客户端，所有请求均应在 IP 配置网关参数正确输入的情况下获得解译。请问：是否有人能 告诉我对这种功能加以应用的具体方式？ 您的客户端 IP 地址将由类似于 192.168.0.1-255 的专用地址构成。这些地址中的某一个 有可能被用作 ISA 的内部网卡地址，比如，192.168.0.1；而外部网卡地址则可能是由 ISP 为 您专门指定的，比如，207.69.188.185。在内部客户端试图对主机实施访问的情况下，其所 配备的网关地址便有可能针对某一 Web 页面而被设定为 192.168.0.1。这表明，主机并非位 于本地子网，并且必须通过 ISA 实现访问调用。开放式端口通信只能在 ISA 和 Internet 两者 间进行，并将通过 8080 端口将符合要求的信息反馈至相关客户端或您所指定的任何位置。 这基本上属于 NAT 的模式。在客户端和 Internet 远程主机之间，并不存在任何面向端口通 信而开放的端口。 防火墙客户端的使用情况极可能具备完全相同的配置，但却允许在客户端与 Internet 之 间执行端口通信。假设您主要借助 Publishing Wizard（发布向导程序）来实现邮件服务器的 发布。在此基础上，您将会发现该服务器在会话期间所显现的内部地址同 Winsock 会话期别 无二致。鉴于邮件服务器将在执行接发操作时对其它端口加以利用，因此，上述情况是完全 必要的。由此看来，通过将邮件服务器设置为防火墙的方式对其进行“发布”，势必有助于 在专用端口上实现信息收发功能。 问：我似乎无法编制当天的报告。ISA 生成了这些报告，而我却难以对其执行打开和浏览 操作。奇怪的是，所有先前生成的报告（当天之前的）均可被打开和浏览。 ISA Server 基本依据日志摘要生成报告。具体方式为，每天 12:30AM 生成日志摘要

北太工教育高回 The Beidaweryanggong Education 然后,在此基础上生成相关报告。因此,即使您将程序设定为生成“当前”报告,系统也无 法在次日12:30AM之前为您提供当天数据 问:我所注意到的一个情况是,目前仍无法从具备专用P地址、并已启用NAT的客户端 上对 Internet地址执行ping操作。难道是我忽略了什么问题吗? 您需要在P数据包筛选程序属性中激活IP路由功能。上述操作还可同时为ICMP将 NAT激活 问:报告功能无法正常发挥作用。难道是我做错了什么吗 请务必确定,您正在实际执行报告生成操作,而非仅仅在“ Monitoring/ Reports”(监控/ 报告)部分中进行浏览 如需生成相关报告,请依次执行下列操作 将鼠标依次指向“ Monitoring Configuration”(监控配置)>“ Report Jobs”(报告工作) 右键单击鼠标并选择“New”(新建)>“ Report Job”(报告工作) 按向导程序提示填写配置需求(开始生成报告:立即启动) 稍候数秒后即可获得所需报告 现在,返回“ Monitoring/Reports”(监控/报告)部分>“ Reports”(报告)部分,即可看 到新近生成的报告。每项内容(摘要和Web使用情况等)下方均有一份相关报告。 问:当我在缓存模式下安装 ISA RC1时,却无法对自己的web页面执行访间;而当我在集 成模式下安装该产品时,一切功能虽处于正常状态,但又不能对相关配置进行调用。这究 竟是怎么回事? 这大概是因为,如果您仅仅在缓存模式下安装ISA,那么,该产品将无法执行透明代理 操作,而这恰恰是您在客户端上以手工方式安装代理功能时所必需的。当然,在集成化模式 下,具备安全保障的NAT将可在无需针对某一客户端进行配置的前提下,自动代理全部访 问调用请求。 问:我希望借助于MMC同ISA服务器实现连网,这主要是因为该产品在其所安装的服务 器上运行良好,而我却需要从自己运行 Windows2000 Professional操作系统的PC机上对 其实施控制。请问:上述设想是否可行? 您需要在以Win2 k Prof为操作系统的PC机上运行ISA安装程序,并选择仅就该产品的 管理功能部分进行安装。与此同时,有权执行登录操作的用户也必须是具备较高优先级的帐 号,其中包括 nterprise Admin(企业管理员)和架构( Schema)管理员 问:在已将某个T1依次挂接至路由器、已启用IA防火墙的服务器、交换机和各种服务器 及其它PC机的情况下,ISA服务器停机故障(例如,电源插头不慎脱落)将会导致那些问 题的发生?位于上述链接关系末端的服务器和PC机能否继续接收到 nternet通信量,SA 服务器是否会出于阻止位于其后端的任何设备获取 Internet通信量的目的而自动停机? 如果相关配置依次为路由器一>ISA→>交换机一>其它服务器,那么,在ISA计算机出 现停机故障的情况下,网卡便会掉电,并由此导致数据包往复路由处理任务出现中断 问:我已经安装了 ISA Server,并且需要花费很长时间方可与该服务器实现连接。在开始 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 然后，在此基础上生成相关报告。因此，即使您将程序设定为生成“当前”报告，系统也无 法在次日 12:30AM 之前为您提供当天数据。 问：我所注意到的一个情况是，目前仍无法从具备专用 IP 地址、并已启用 NAT 的客户端 上对 Internet 地址执行 ping 操作。难道是我忽略了什么问题吗？ 您需要在 IP 数据包筛选程序属性中激活 IP 路由功能。上述操作还可同时为 ICMP 将 NAT 激活。 问：报告功能无法正常发挥作用。难道是我做错了什么吗？ 请务必确定，您正在实际执行报告生成操作，而非仅仅在“Monitoring/Reports”（监控/ 报告）部分中进行浏览。 如需生成相关报告，请依次执行下列操作： 将鼠标依次指向“Monitoring Configuration”（监控配置）>“Report Jobs”（报告工作） 右键单击鼠标并选择“New”（新建）>“Report Job”（报告工作） 按向导程序提示填写配置需求（开始生成报告：立即启动） 稍候数秒后即可获得所需报告 现在，返回“Monitoring/Reports”（监控/报告）部分>“Reports”（报告）部分，即可看 到新近生成的报告。每项内容（摘要和 Web 使用情况等）下方均有一份相关报告。 问：当我在缓存模式下安装 ISA RC1 时，却无法对自己的 Web 页面执行访问；而当我在集 成模式下安装该产品时，一切功能虽处于正常状态，但又不能对相关配置进行调用。这究 竟是怎么回事？ 这大概是因为，如果您仅仅在缓存模式下安装 ISA，那么，该产品将无法执行透明代理 操作，而这恰恰是您在客户端上以手工方式安装代理功能时所必需的。当然，在集成化模式 下，具备安全保障的 NAT 将可在无需针对某一客户端进行配置的前提下，自动代理全部访 问调用请求。 问：我希望借助于 MMC 同 ISA 服务器实现连网，这主要是因为该产品在其所安装的服务 器上运行良好，而我却需要从自己运行 Windows 2000 Professional 操作系统的 PC 机上对 其实施控制。请问：上述设想是否可行？ 您需要在以 Win2k Prof 为操作系统的 PC 机上运行 ISA 安装程序，并选择仅就该产品的 管理功能部分进行安装。与此同时，有权执行登录操作的用户也必须是具备较高优先级的帐 号，其中包括 Enterprise Admin（企业管理员）和架构（Schema）管理员。 问：在已将某个 T1 依次挂接至路由器、已启用 ISA 防火墙的服务器、交换机和各种服务器 及其它 PC 机的情况下，ISA 服务器停机故障（例如，电源插头不慎脱落）将会导致那些问 题的发生？位于上述链接关系末端的服务器和 PC 机能否继续接收到 Internet 通信量，ISA 服务器是否会出于阻止位于其后端的任何设备获取 Internet 通信量的目的而自动停机？ 如果相关配置依次为路由器—>ISA—>交换机—>其它服务器，那么，在 ISA 计算机出 现停机故障的情况下，网卡便会掉电，并由此导致数据包往复路由处理任务出现中断…… 问：我已经安装了 ISA Server，并且需要花费很长时间方可与该服务器实现连接。在开始

北太工教育高回 The Beidaweryanggong Education 调用Web页面之前,所需耗用的时间约为40至45秒。请问,这究竟是何缘故? 如果您正在就防火墙客户端加以应用,那么,该产品的确存在可能导致上述延迟的程序 错误;除非用户具备本地管理员资格或属于客户机自身功能用户,否则,上述延迟将难以避 免。我们将在RC2发布后针对上述问题加以解决。 问:我的DSL路由器拥有一个静态P地址,而 ISA Server外部接口也拥有一个静态P地 址。 ISA Server的外部接口缺省网关正是DSL路由器的P地址。目前,这两个P地址均 从属于一个拥有16个P地址的子网。该子网的IP地址中,有两个已分别被DSL路由器 和 ISA Server外部接口占用,另有两个则被用作网络编号和广播P地址。DSL路由器和 ISA Server外部接口的子网掩码均为255255255240。现在,我需要掌握将剩余IP地址分 派给内部网络所属计算机的具体方法。我的内部网络正在使用以2552552550为子网掩码 的10000网络。而所有计算机均通过一台集线器和一台交换机实现在同一网络中的运行。 虽然您无法在内部网络上针对客户端指派IP地址,但却可以将第三块网卡置入ISA Server,并利用这些地址构建起一个周边网络(DMZ)。由于这些地址无法使用与外部接口 完全一致的网络ID,因此,您必须将其全部纳入子网范围。 问:ISA初始化安装并不能允许我通过自己的服务器对ICMP( Internet信报控制协议)进 行访问调用。外部和内部网卡均可对ICMP产生响应,但却无法使之通过服务器。我按照 由 ISAServer. org所提供的操作说明创建了将所有对象打开的规则,这样一来,所有服务 ( telnet和fp等)均可正常运转,唯有ICMP除外。 激活IP路由功能。 将相关客户端配置为 SecureNAT客户端。 在此基础上,便可通过 ISA Server执行ping操作。 问:我在从 ISA RCI向 ISA Evaluation(120)实施迁移的过程中遇到了技术问题。在将 Release candidate1(RC1) Upgrade安装完毕后,防火墙和We代理仍然无法生效。而 其它ISA服务功能却可正常运行。上述问题在 Event log(事件日志)中的错误编号为14079 为此,我先运行了 rmisa,并在基础上重新执行安装操作(从 ISA Server2000评估版开始), 但间题却依然如故。此后,我又代之以先运行rmis,而后重新执行安装程序(从 ISA RO1 开始)的做法,于是,所有服务功能便均可正常发挥作用。 每当将现有 ISA Server升级为最新版本时,请务必对防火墙客户端进行重新安装,这有 助于相关问题的解决 问:如何为实现远程管理功能而将 ISA Server插件安装在非ISA服务器之上? 请尽管运行安装程序,并使用定制安装方式,然后,仅将管理控制台复选框选中即可 所需插件将自动完成安装,并在“程序”文件夹内生成相关快捷方式 问:我在配备有SPl的wKAS上安装了 Proxy20,并希望将其升级为 SA Server。此外, 我还拥有一个运行于 Proxy机盒中的vPN(虚拟专用网络),并在Prox后端安装了 Exchange server(5.5)。根据上述情况,当我执行升级操作时,应就哪些筛选和准许条件 加以明确定义?我是否必须对所有配备WSP客户端软件的计算机实施升级? 获得保留和遭到删除的项目主要取决于 ISA Server的安装模式和执行 ISA Server安装操 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com

北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 调用 Web 页面之前，所需耗用的时间约为 40 至 45 秒。请问，这究竟是何缘故？ 如果您正在就防火墙客户端加以应用，那么，该产品的确存在可能导致上述延迟的程序 错误；除非用户具备本地管理员资格或属于客户机自身功能用户，否则，上述延迟将难以避 免。我们将在 RC2 发布后针对上述问题加以解决。 问：我的 DSL 路由器拥有一个静态 IP 地址，而 ISA Server 外部接口也拥有一个静态 IP 地 址。ISA Server 的外部接口缺省网关正是 DSL 路由器的 IP 地址。目前，这两个 IP 地址均 从属于一个拥有 16 个 IP 地址的子网。该子网的 IP 地址中，有两个已分别被 DSL 路由器 和 ISA Server 外部接口占用，另有两个则被用作网络编号和广播 IP 地址。DSL 路由器和 ISA Server 外部接口的子网掩码均为 255.255.255.240。现在，我需要掌握将剩余 IP 地址分 派给内部网络所属计算机的具体方法。我的内部网络正在使用以 255.255.255.0 为子网掩码 的 10.0.0.0 网络。而所有计算机均通过一台集线器和一台交换机实现在同一网络中的运行。 虽然您无法在内部网络上针对客户端指派 IP 地址，但却可以将第三块网卡置入 ISA Server，并利用这些地址构建起一个周边网络（DMZ）。由于这些地址无法使用与外部接口 完全一致的网络 ID，因此，您必须将其全部纳入子网范围。 问：ISA 初始化安装并不能允许我通过自己的服务器对 ICMP（Internet 信报控制协议）进 行访问调用。外部和内部网卡均可对 ICMP 产生响应，但却无法使之通过服务器。我按照 由 ISAServer.org 所提供的操作说明创建了将所有对象打开的规则，这样一来，所有服务 （telnet 和 ftp 等）均可正常运转，唯有 ICMP 除外。 激活 IP 路由功能。 将相关客户端配置为 SecureNAT 客户端。 在此基础上，便可通过 ISA Server 执行 ping 操作。 问：我在从 ISA RC1 向 ISA Evaluation（120）实施迁移的过程中遇到了技术问题。在将 Release Candidate 1（RC1）Upgrade 安装完毕后，防火墙和 Web 代理仍然无法生效。而 其它 ISA服务功能却可正常运行。上述问题在 Event Log（事件日志）中的错误编号为 14079。 为此，我先运行了 rmisa，并在基础上重新执行安装操作（从 ISA Server 2000 评估版开始）， 但问题却依然如故。此后，我又代之以先运行 rmisa，而后重新执行安装程序（从 ISA RC1 开始）的做法，于是，所有服务功能便均可正常发挥作用。 每当将现有 ISA Server 升级为最新版本时，请务必对防火墙客户端进行重新安装，这有 助于相关问题的解决。 问：如何为实现远程管理功能而将 ISA Server 插件安装在非 ISA 服务器之上？ 请尽管运行安装程序，并使用定制安装方式，然后，仅将管理控制台复选框选中即可。 所需插件将自动完成安装，并在“程序”文件夹内生成相关快捷方式。 问：我在配备有 SP1 的 W2K AS 上安装了 Proxy 2.0，并希望将其升级为 ISA Server。此外， 我还拥有一个运行于 Proxy 机盒中的 VPN（虚拟专用网络），并在 Proxy 后端安装了 Exchange Server（5.5）。根据上述情况，当我执行升级操作时，应就哪些筛选和准许条件 加以明确定义？我是否必须对所有配备 WSP 客户端软件的计算机实施升级？ 获得保留和遭到删除的项目主要取决于 ISA Server 的安装模式和执行ISA Server 安装操