部署防火墙策略的十六条守则
ISA使用者总结出来的守则:
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致。
3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用 Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,最好使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
16、最后,请记住,防火墙策略的测试是必需的。
检讨ISA2004 VPN部署失败原因
部署前看了些资料,发现并不难,于是开始测试。
搭建好虚拟平台,使用2003SP1系统,ISA2004标准版
安装后没发现什么异常,然后部署VPN,启用后死活就是无法连接上,到底是哪里错了?哪里的配置都没有错啊!只是日志中总有什么防火墙无法写入到注册表,我以为是内存太少造成的也就没有理会,继续分析。就这样折腾了好几天,最后跟一个朋友在QQ谈起来问及补丁的事情才发现,NND问题原来出在没有安装补丁的原因,因为2003SP1的安全级别更高所以会限制ISA的一些运行机制,必须安装ISA2004SP1补丁后才可以,最后急忙打上补丁果然一切OK了,我考!就是一个这个小小的疏忽,让我折腾了几天都没搞明白为什么我错误配置都是对的他NND就是连接不上。
所以我告诫自己,以后一定要查看运行说明,2003SP1看来真的是和自家的产品也过意不去。
ISA2004 SP1的下载地址是:
将ISA Server 2004服务器计算机配置为DHCP服务器
在ISACN.ORG看到一篇好文章特转到自己的Blog上保留
概述
在某些配置中,您可能想在一台 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文档将设法解决您在配置这样一个方案时可能会遇到的问题。
创建 DHCP
规则
默认情况下,当您在一台 DHCP 服务器上安装 ISA 服务器时,DHCP 服务器不会对请求做出响应。要使 DHCP 服务器运行,您需要创建下列规则:
- 一条允许从 DHCP 客户端所在的网络向本地主机网络发送 DHCP 请求的规则。
- 一条允许从本地主机网络向 DHCP 客户端所在的网络发送 DHCP 答复的规则。
允许 DHCP(请求)协议 在此过程中,DHCP 客户端位于内部网络中。要允许 DHCP(请求)协议,请执行以下步骤。
1.在“ISA 服务器管理”的“防火墙策略”节点中,右键单击“防火墙策略”,指向“新建”,然后单击“访问规则”。
2.在“新建访问规则向导”中,为该规则键入一个名称。例如:允许 DHCP 请求。然后,单击“下一步”。
3.在“规则操作”页上,单击“允许”。然后,单击“下一步”。
4.在“协议”页上,在“此规则应用于”中,单击“所选的协议”。然后单击“添加”。
5.在“添加协议”中,在“所有协议”部分单击“DHCP(请求)”。单击“添加”,单击“关闭”,然后单击“下一步”。
6.在“访问规则来源”页上,单击“添加”。
7.在“添加网络实体”中,在“网络”部分单击“内部”。单击“添加”,单击“关闭”,然后单击“下一步”。
8.在“访问规则目标”页上,单击“添加”。
9.在“添加网络实体”中,在“网络”部分单击“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。
10.在“用户设置”页上,默认情况下“所有用户”已选中。单击“下一步”,然后单击“完成”。
允许 DHCP(答复)协议 在此过程中,DHCP 客户端位于内部网络中。要允许 DHCP(答复)协议,请执行以下步骤。
1.在“ISA 服务器管理”的“防火墙策略”节点中,右键单击“防火墙策略”,指向“新建”,然后单击“访问规则”。
2.在“新建访问规则向导”中,为该规则键入一个名称。例如:允许 DHCP 答复。然后,单击“下一步”。
3.在“规则操作”页上,单击“允许”。然后,单击“下一步”。
4.在“协议”页上,在“此规则应用于”中,单击“所选的协议”。然后单击“添加”。
5.在“添加协议”中,在“所有协议”部分单击“DHCP(答复)”。单击“添加”,单击“关闭”,然后单击“下一步”。
6.在“访问规则来源”页上,单击“添加”。
7.在“添加网络实体”中,在“网络”部分单击“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。
8.在“访问规则目标”页上,单击“添加”。
9.在“添加网络实体”中,在“网络”部分单击“内部”。单击“添加”,单击“关闭”,然后单击“下一步”。
10.在“用户设置”页上,默认情况下“所有用户”已选中。单击“下一步”,然后单击“完成”。
排序DHCP请求规则 DHCP 请求目标是一个广播地址。ISA 服务器不会对广播通讯执行名称解析,而会拒绝这种通讯。如果有一条允许或拒绝规则匹配 DHCP 请求并要求进行名称解析,并且此规则在规则顺序中高于您所创建的 DHCP 请求规则,则 DHCP 通讯可能会被拒绝。
要求进行名称解析的规则在目标(至)条件中包含一个域名称集或一个 URL 集。请注意,如果在此规则中有其他不匹配 DHCP 请求的条件,就不会发生冲突。
为避免冲突,应确保您配置的允许 DHCP 请求的规则在规则排序中高于其他任何匹配 DHCP
请求的、使用名称解析的规则。从下面的例子中可以看出此原则。
