网友问我的一些关于ISA的问题(不定时更新中)
问:ISA有几种客户端?那种客户端最好?
答:ISA有三种客户端,Webproxy、Firewall Client、SecureNAT Client。这三种客户端各有所长,没有最好,只有最适合。Firewall Client只能在Windows平台上使用,不具备平台通用性。Webproxy只要在应用程序中设置使用HTTP代理,并将代理服务器的IP地址设置为ISA的IP地址即可。SecureNAT Client更简单,只要将默认网关指向ISA,就可以了。这要根据你的实际情况来定,并没有什么最好的,只有最合适的。
问:我建立了一个计算机集,然后建立防火墙策略,允许从集团总部到本地主机
的访问,但还是打不开电影服务器,但奇怪的是,当我建立了一个计算机,如IT
经理计算机,然后建立防火墙策略,也是永许所有出口协议从IT经理到本地主机
,这样在IT经理计算机上就可以访问电影服务器,一气之下又建立了个集团文员
的计算机,设置好同样的策略,也可以访问电影服务器!!!不知道建立计算机
集为什么就不行,而且建立地址范围也是不行,不知道是什么原因,请各位高手
给予指点!!!!!!!!!!!!
答:针对你这种情况,在ISA上将电影服务器发布一下即可,注意,发布的时候,
要选择在内部上侦听
问:在ISA保护的网络下,如何使用OUTLOOK或者OUTLOOK Expree收发外网邮件?
答:web proxy client不支持SMTP, pop3,如果想使用OUTLOOK或者OUTLOOK
Expree的话,要么配置成SecureNAT client 并取消用户验证,要么就得使用FWC
Client,并且进行如下设置配置--常规--定义防火墙客户端设置--应用程
序设置--outlook 把DISABLE 的值该为0
问:ISA本机上装什么杀毒软件?有没有什么特别的要求?还有,装什么单机版防
火墙?
答:ISA本机上,装什么杀毒软件并没有什么特别要求,但是,据我的使用经验,
ISA 2004和瑞星有冲突,具体表现是安装瑞星后,ISA 2004那台机器就会不定时
蓝屏。我现在用的是McAfee 8.5i。单机版防火墙么,个人推荐用Zone Alarm Pro
。不过,Zone Alarm Pro的系统资源占用大。天网也不错。
问:我这里是域环境,DHCP方式获得IP地址,如何使用ISA来控制域内用户访问外网?
答:使用身份验证。在访问外网的策略中,不要使用所有用户,而是,使用域中的用户名和密码进行验证,这样,所有内网的计算机在登入域的时候,输入完用户名和密码,就可以通过ISA来访问外网了。不过,需要注意的是,Snat客户端不支持身份验证,如果想实现身份验证,必须使用FWC客户端或者webproxy客户端。
问:工作组环境下可以实现身份验证吗?
答:可以,不过,工作组环境下的身份验证是基于NTLM的,也就是windows系统集成的那种。在工作组环境下要实现身份验证,需要在ISA本机上建若干个相应的帐户,然后在ISA里使用为内网建立的帐号进行身份验证。安全性不如域环境的高。
问:我打算用双网卡+ISA 2004来管理我公司的内部网络,我这里使用的是ADSL的上网方式。还有必要再加个宽带路由器吗?
答:可以不用加,如果是单网卡,就必须要加路由器。如果是双网卡,就可以不加路由器,让ISA 2004自动拨号。
问:用ISA 2004是不是必须建立内部的DNS服务器进行DNS请求的转发?
答:不一定。如果你使用的是Webproxy客户端和FWC客户端就不用。如果是Snat客户端,就必须进行DNS的转发。另外,从效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,必须采用第二种方式进行DNS 的转发。
问:为什么我在ISA 2004中启用了HTTP压缩后,163的邮箱必须使用简约的界面风格才可以打开?使用默认的界面网络就打不开?
答:ISA 2004中的HTTP压缩,只支持G-Zip压缩,对于别的方式不支持。另外,启用HTTP压缩后,126的邮箱从WEB页面登陆时,也必须选择为简约才可以进去。
问:为什么我装好ISA 2004后,那台机器就PING不通了?
答:这是很正常的现象。因为,ISA 2004中有一种策略,叫系统策略,ISA 2004在执行策略的时候,总是先执行系统策略,然后再按照从上到下的顺序,执行你所定义的防火墙策略。所以,装完ISA 2004后,那台机器PING不通是很正常的。出现这种现象证明你的ISA 2004是正确无误的安装成功了。
问:用ISA 2004发布WEB服务器有什么好处?
答:用ISA发布WEB服务器,最大的好处是,简单。你只要跟着ISA发布服务器的那个向导一步一步做完,基本上就可以了。在硬件防火墙上发布的时候,没有ISA简单。另外,用ISA发布一台WEB服务器,比较安全。因为ISA的HTTP筛选器可以屏蔽掉Unicode漏洞。
问:ISA可以不可以当做软路由来用?
答:ISA确实具有一部分软路由的功能,但是,和相应的软路由软件不同,ISA的定位是工作在应用层上的路由级网络防火墙软件。
问:ISA的缓存设置多大合适?
答: 缓存的大小,是根据你的ISA服务器的内存与ISA需要负载多少客户端来解决的。根据你的实际情况设置即可。我这里一台ISA的负载是240台左右,我给的缓存是12G左右。
问:ISA可不可以和域控制器DC装在一起?还有,ISA是加入域好,还是不加入域好?
答:可以。不过,我不推荐这样做,因为这样做的话,ISA一旦出问题,会影响到域,如果域出问题也会影响到ISA,所以,不推荐把DC与ISA装在一台服务器上。也不推荐将ISA加入域。我的建议是,ISA就是ISA,不要和其他类型应用的服务器装在一起(托管主机除外)。
问:ISA标准版和企业版,那个好?
答:从功能上来讲,企业版要强一些,支持CARP(缓存阵列路由协议),无CPU数限制,标准版最多只支持4CPU,标准版无法实现企业级的管理,而企业版可以。企业版相对于标准版来说,布置难度大。企业版需要额外的一台服务器来充当CSS(配置存储服务器)服务器。成本相对标准版高些。另外,企业版在安装的时候,必须要有一台DC+CA证据服务器的支持才可以。如果企业版加入域,就不用证书服务器了。因为CSS服务器与管理服务器之间的通信是加密的,如果不使用证书,就必须用域才可以。
问:我在域控制器上安装了ISA后,不知道为什么连域间的基本访问都不行了,局域网之间不能访问,更别说上网?大哥你帮下我吗? 网管技术,还有就是说,在一个域中能有多种不同客户端吗,这样的话服务器应该怎么设置呢,? l f&t"J&_#D0}
谢谢
答:ISA有三种客户端,Webproxy、Firewall Client、SecureNAT Client。这三种客户端各有所长,没有最好,只有最适合。Firewall Client只能在Windows平台上使用,不具备平台通用性。Webproxy只要在应用程序中设置使用HTTP代理,并将代理服务器的IP地址设置为ISA的IP地址即可。SecureNAT Client更简单,只要将默认网关指向ISA,就可以了。这要根据你的实际情况来定,并没有什么最好的,只有最合适的。
问:我建立了一个计算机集,然后建立防火墙策略,允许从集团总部到本地主机
的访问,但还是打不开电影服务器,但奇怪的是,当我建立了一个计算机,如IT
经理计算机,然后建立防火墙策略,也是永许所有出口协议从IT经理到本地主机
,这样在IT经理计算机上就可以访问电影服务器,一气之下又建立了个集团文员
的计算机,设置好同样的策略,也可以访问电影服务器!!!不知道建立计算机
集为什么就不行,而且建立地址范围也是不行,不知道是什么原因,请各位高手
给予指点!!!!!!!!!!!!
答:针对你这种情况,在ISA上将电影服务器发布一下即可,注意,发布的时候,
要选择在内部上侦听
问:在ISA保护的网络下,如何使用OUTLOOK或者OUTLOOK Expree收发外网邮件?
答:web proxy client不支持SMTP, pop3,如果想使用OUTLOOK或者OUTLOOK
Expree的话,要么配置成SecureNAT client 并取消用户验证,要么就得使用FWC
Client,并且进行如下设置配置--常规--定义防火墙客户端设置--应用程
序设置--outlook 把DISABLE 的值该为0
问:ISA本机上装什么杀毒软件?有没有什么特别的要求?还有,装什么单机版防
火墙?
答:ISA本机上,装什么杀毒软件并没有什么特别要求,但是,据我的使用经验,
ISA 2004和瑞星有冲突,具体表现是安装瑞星后,ISA 2004那台机器就会不定时
蓝屏。我现在用的是McAfee 8.5i。单机版防火墙么,个人推荐用Zone Alarm Pro
。不过,Zone Alarm Pro的系统资源占用大。天网也不错。
问:我这里是域环境,DHCP方式获得IP地址,如何使用ISA来控制域内用户访问外网?
答:使用身份验证。在访问外网的策略中,不要使用所有用户,而是,使用域中的用户名和密码进行验证,这样,所有内网的计算机在登入域的时候,输入完用户名和密码,就可以通过ISA来访问外网了。不过,需要注意的是,Snat客户端不支持身份验证,如果想实现身份验证,必须使用FWC客户端或者webproxy客户端。
问:工作组环境下可以实现身份验证吗?
答:可以,不过,工作组环境下的身份验证是基于NTLM的,也就是windows系统集成的那种。在工作组环境下要实现身份验证,需要在ISA本机上建若干个相应的帐户,然后在ISA里使用为内网建立的帐号进行身份验证。安全性不如域环境的高。
问:我打算用双网卡+ISA 2004来管理我公司的内部网络,我这里使用的是ADSL的上网方式。还有必要再加个宽带路由器吗?
答:可以不用加,如果是单网卡,就必须要加路由器。如果是双网卡,就可以不加路由器,让ISA 2004自动拨号。
问:用ISA 2004是不是必须建立内部的DNS服务器进行DNS请求的转发?
答:不一定。如果你使用的是Webproxy客户端和FWC客户端就不用。如果是Snat客户端,就必须进行DNS的转发。另外,从效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,必须采用第二种方式进行DNS 的转发。
问:为什么我在ISA 2004中启用了HTTP压缩后,163的邮箱必须使用简约的界面风格才可以打开?使用默认的界面网络就打不开?
答:ISA 2004中的HTTP压缩,只支持G-Zip压缩,对于别的方式不支持。另外,启用HTTP压缩后,126的邮箱从WEB页面登陆时,也必须选择为简约才可以进去。
问:为什么我装好ISA 2004后,那台机器就PING不通了?
答:这是很正常的现象。因为,ISA 2004中有一种策略,叫系统策略,ISA 2004在执行策略的时候,总是先执行系统策略,然后再按照从上到下的顺序,执行你所定义的防火墙策略。所以,装完ISA 2004后,那台机器PING不通是很正常的。出现这种现象证明你的ISA 2004是正确无误的安装成功了。
问:用ISA 2004发布WEB服务器有什么好处?
答:用ISA发布WEB服务器,最大的好处是,简单。你只要跟着ISA发布服务器的那个向导一步一步做完,基本上就可以了。在硬件防火墙上发布的时候,没有ISA简单。另外,用ISA发布一台WEB服务器,比较安全。因为ISA的HTTP筛选器可以屏蔽掉Unicode漏洞。
问:ISA可以不可以当做软路由来用?
答:ISA确实具有一部分软路由的功能,但是,和相应的软路由软件不同,ISA的定位是工作在应用层上的路由级网络防火墙软件。
问:ISA的缓存设置多大合适?
答: 缓存的大小,是根据你的ISA服务器的内存与ISA需要负载多少客户端来解决的。根据你的实际情况设置即可。我这里一台ISA的负载是240台左右,我给的缓存是12G左右。
问:ISA可不可以和域控制器DC装在一起?还有,ISA是加入域好,还是不加入域好?
答:可以。不过,我不推荐这样做,因为这样做的话,ISA一旦出问题,会影响到域,如果域出问题也会影响到ISA,所以,不推荐把DC与ISA装在一台服务器上。也不推荐将ISA加入域。我的建议是,ISA就是ISA,不要和其他类型应用的服务器装在一起(托管主机除外)。
问:ISA标准版和企业版,那个好?
答:从功能上来讲,企业版要强一些,支持CARP(缓存阵列路由协议),无CPU数限制,标准版最多只支持4CPU,标准版无法实现企业级的管理,而企业版可以。企业版相对于标准版来说,布置难度大。企业版需要额外的一台服务器来充当CSS(配置存储服务器)服务器。成本相对标准版高些。另外,企业版在安装的时候,必须要有一台DC+CA证据服务器的支持才可以。如果企业版加入域,就不用证书服务器了。因为CSS服务器与管理服务器之间的通信是加密的,如果不使用证书,就必须用域才可以。
问:我在域控制器上安装了ISA后,不知道为什么连域间的基本访问都不行了,局域网之间不能访问,更别说上网?大哥你帮下我吗? 网管技术,还有就是说,在一个域中能有多种不同客户端吗,这样的话服务器应该怎么设置呢,? l f&t"J&_#D0}
谢谢
答:ISA安装完后,是禁止所有网络通讯的。更何况你装在了域控上。一个域内可以有多种客户端。这是没有问题的。