北太工教育高回 The Beidaweryanggong Education 一般来说,你如果想访问外部网站,必须要有两个条件,一个是 PROTOCOL RULE许 可,另外一个是 SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个 SITE AND CONTENT许可供你使用,在 PROTOCOL RULE集中,没有先后次序的概念,但是DENY 比 PERMIT的权力要高 在ISA的控制元素中包括:计划 schedules,带宽优先级 bandwidth priorities,目标集 destination sets.客户集 client address sets.,协议定义 protocol definitions,内容组 content groups,and拨号 dial-up entries你可以将它们组合各种规则( access policy rules, routing rules, ublishing rules, N bandwidth rules 对于包含路径的目标地址,ISA不同的客户端有不同的处理 如果想在ISA服务器本身上发布服务器,必须使用 IP FILTER,它本身还可以用来阻止 外界的某些IP攻击 五:设置 ISA Server Cache CACHE可以加快用户的 INTERNET访问速度,你可以使用 routing rules来指定何者需 要 CACHE,何者从 INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的 CACHE,你可以控制它的大小(必须安装在NTFS上)是否 CACHE动态内容:是否 CACHE HTP和FTP内容:自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给 CACHE的内存大小以提高性能 六:发布内部 SERVER 如果想发布内部的 SERVER,则使用 PUBISHING RULES(这实际上也就是 PROTOCOL RULES,只有在需要的时候才会开放),如果SERⅤER就在ISA上,则应使用 IP PACKET FILTERS。在SERⅤER的发布上,最重要的是 WEB SERVER和 MAIL SERVER 七:ISA的安全性 控制ISA,你必须有相应权限( Enterprise Admins),如果为了提高性能,在企业中有多 台 ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用 round robin distribution 即可,对于SNAT客户,则需要设置 Network load balancing(这需要高级服务器版和数据 中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通 过它们进行恢复 利用ISA你可以在公司两地搭建ⅤPN,并可以让移动用户通过VPN访问公司的信息, 这实际上是利用了WIN2K的 Routing and Remote Access服务(ISA只不过在 IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置 例如增加DHCP中续代理使远端用户得到正确的局域网DNS/wINS配置,远端用户实际上 并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可 以删除由 WIZARD建立的4条 IP FILTERS,然后 DISABLE Routing and remote access,最 后由 WIZARD重新建立。 八:使用H.323 Gatekeeper 不懂,请高人指点 九:监视和优化ISA 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com北大燕工教育集团 The BeidaWeiyanggongEducation 地址：北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 一般来说，你如果想访问外部网站，必须要有两个条件，一个是 PROTOCOL RULE 许 可，另外一个是 SITE AND CONTENT 许可，在缺省条件下，ISA 会自动建立一个 SITE AND CONTENT 许可供你使用，在 PROTOCOL RULE 集中，没有先后次序的概念，但是 DENY 比 PERMIT 的权力要高 在 ISA 的控制元素中包括：计划 schedules, 带宽优先级 bandwidth priorities, 目标集 destination sets, 客户集 client address sets, 协议定义 protocol definitions, 内容组 content groups, and 拨号 dial-up entries。你可以将它们组合各种规则（access policy rules, routing rules, publishing rules, 和 bandwidth rules） 对于包含路径的目标地址，ISA 不同的客户端有不同的处理 如果想在 ISA 服务器本身上发布服务器，必须使用 IP FILTER，它本身还可以用来阻止 外界的某些 IP 攻击 五：设置 ISA Server Cache CACHE 可以加快用户的 INTERNET 访问速度，你可以使用 routing rules 来指定何者需 要 CACHE，何者从 INTERNET 上直接访问，何者则把请求发给上一级 ISA。对 ISA 本身的 CACHE，你可以控制它的大小（必须安装在 NTFS 上）；是否 CACHE 动态内容；是否 CACHE HTTP 和 FTP 内容；自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET 内容。 如果 ISA 本身的内存比较小，还可以调整分配给 CACHE 的内存大小以提高性能。 六：发布内部 SERVER 如果想发布内部的 SERVER，则使用 PUBISHING RULES（这实际上也就是 PROTOCOL RULES，只有在需要的时候才会开放），如果 SERVER 就在 ISA 上，则应使用 IP PACKET FILTERS。在 SERVER 的发布上，最重要的是 WEB SERVER 和 MAIL SERVER 七：ISA 的安全性 控制 ISA，你必须有相应权限（Enterprise Admins），如果为了提高性能，在企业中有多 台 ISA SERVER，则对于防火墙用户，你只要简单的设置 DNS，使用 round robin distribution 即可，对于 SNAT 客户，则需要设置 Network Load Balancing （这需要高级服务器版和数据 中心版）。对于企业设置和阵列设置，你可以将设置备份到一个文件，并可以在任何时刻通 过它们进行恢复。 利用 ISA 你可以在公司两地搭建 VPN，并可以让移动用户通过 VPN 访问公司的信息， 这实际上是利用了 WIN2K 的 Routing and Remote Access 服务（ISA 只不过在 IP PACKET FILTER 中针对 PPTP 和 L2TP 增加了几条包过滤），你可以在相应服务上进行进一步设置， 例如增加 DHCP 中续代理使远端用户得到正确的局域网 DNS/WINS 配置，远端用户实际上 并没有真正登录到公司的域中，对 VPN 的接入安全性必须加强设置。如果觉得有问题，可 以删除由 WIZARD 建立的 4 条 IP FILTERS，然后 DISABLE Routing and Remote Access，最 后由 WIZARD 重新建立。 八：使用 H.323 Gatekeeper 不懂，请高人指点。 九：监视和优化 ISA