ISA防火墙的默认系统策略和防火墙设置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
允许
Microsoft SQL (TCP) Microsoft SQL (UDP)
本地主机
内部
所有用户
17
如果你不想让 ISA 防火墙访问 Windo ws 更新,就禁止此 规则。
允许从 ISA 防火墙 使用 HTTP/HTTP S 访问指定的站点
允许
HTTP HTTPS
本地主机
系统策略允 许的站点
允许
NetBIOS 会话 NetBIOS 数据报 NetBIOS 名字服务
NetBIOS 会话
远程管理计算机 组
本地主机
所有用户
21
你想从 ISA 防火墙 上访问文件共享 吗?如果不,禁止 此规则
允许从 ISA 防火墙 到信任计算机的 N etBIOS 协议
允许
NetBIOS 数据报 NetBIOS 名字服务
允许从 ISA 防火墙 到信任的服务器的 Microsoft CIFS 协议
允许
Microsoft CIFS (TCP) Microsoft CIFS (UDP)
本地主机
内部
所有用户
16 (默认禁止)
如果你使用 SQL 日 志记录,启用此规 则。
允许从 ISA 防火墙 到选择的服务器的 远程 SQL 日志记录
下表显示了系统策略的清单,以及它们在安装 ISA 防火墙之后的默认配置状态。序号/注释列包含了我们 对于此系统策略规则的建议。
序号/注释
名称
动作
协议 LDAP
从/侦听器
To
条件
1
ISA 防火墙是域成 员吗?如果不是, 禁止此规则。
允许为了进行身份 认证而访问目录服 务
允许
LDAP (UDP)
LDAP GC (global catalog)
本地主机)
12 (默认禁止)
如果你启用 ISA 防 火墙的 VPN 服务 器,那么此规则将 会自动启用。
VPN 客户访问 ISA 防火墙
允许
PPTP
外部
本地主机 所有用户
13 (默认禁止)
如果你启用 ISA 防 火墙的站点到站点 的 VPN 连接,那么 此规则将会自动启 用。
允许到 ISA 防火墙 的 VPN 站点到站点 的数据传输。
允许
24 (默认禁止) 允许从 ISA 防火墙 如果使用 SecurID 到信任服务器的 Se 认证,启用此规则。 curID 认证
允许
HTTP HTTPS
SecurID
本地主机
微软错误报 告站点
所有用户
本地主机
内部
所有用户
25 (默认禁止)
允许从 ISA 防火墙 到信任的服务器使
允许
Microsoft Operations Manager Agent
27
可能你需要根据你 的 NTP 服务器的位 置来修改规则。
允许从 ISA 防火墙 到信任的 NTP 服务 器的 NTP 协议
允许
28
如果你没有部署使 用 SMTP 来发送警 告,可以禁止此规 则。
允许从 ISA 防火墙 到信任的服务器的 SMTP 协议
允许
29 (默认禁止)
当启用内容下载任 务时,此规则会自 动启用。
允许从 ISA 防火墙 到信任的 RADIUS 服务器的 RADIUS 认证
允许
RADIUS RADIUS 记账
本地主机
内部
所有用户
6
ISA 防火墙将认证 用户吗?如果没 有,禁止此规则。
允许从 ISA 防火墙 到信任的服务器的 Kerberos 认证
允许
Kerberos-Sec (TCP) Kerberos-Sec (UDP)
LDAPS
本地主机
内部
所有用户
LDAPS GC (Global Catalog)
2
如果没有人使用 M MC 远程管理 ISA 防火墙,禁止此规 则。
允许从选择的计算 机上使用 MMC 远 程管理 ISA 防火墙
允许
Microsoft Firewall Co ntrol
NetBIOS 数据报 NetBIOS 名字服务
远程管理计算机 组
本地主机
NetBIOS 会话
所有用户
3
确认远程管理计算 机组中的 IP 地址是 否正确进行了配 置。如果没有人使 用终端服务进行远 程管理 ISA 防火 墙,禁止此规则。
允许从选择的计算 机上使用终端服务 远程管理 ISA 防火 墙
允许
RPC (all interfaces)
RDP (终端服务)
本地主机
内部
所有用户
7
允许此规则后 ISA 防火墙才能进行 D NS 查询。
允许从 ISA 防火墙 到选择的服务器的 DNS 协议
允许
DNS
本地主机
所有网络(和 所有用户
本地主机)
8
如果 ISA 防火墙不 是 DHCP 客户,那 么禁止此规则。
允许从 ISA 防火墙 到所有网络的 DHC P 请求
wenku.baidu.com
允许
所有用户
18 (默认禁止)
当你建立 HTTP/H TTPS 链接性验证
允许为了验证链接 性而从 ISA 防火墙 使用 HTTP/HTTP S 访问指定的站点
允许
HTTP HTTPS
本地主机
所有网络(和 所有用户
本地主机)
时,此规则将自动 启用。
Microsoft CIFS (TCP)
19 (默认禁止)
下表显示了 ISA 防火墙安装之后的其他默认配置情况:
项目
默认设置
用户权限
本地计算机上的管理员组可以配置防火墙策略。如果 ISA 防火墙是域成员,域管理员 全局组自动包含在本地计算机管理员组中。
定义内部网络 网络规则
内部网络包含了你在安装过程中指定的 IP 地址范围。
• 本地主机访问
在本地主机和所有网络之间定义路由关系为路由;
DHCP 请求
本地主机
任何地点 所有用户
9
如果 ISA 防火墙不 是 DHCP 客户,那 么禁止此规则。
允许从 DHCP 服务 器到 ISA 防火墙的 DHCP 回复
允许
DHCP 回复
内部
本地主机 所有用户
10
确认远程管理计算 机组中的 IP 是否正 确配置。
允许从选择的计算 机到 ISA 防火墙的 Ping 协议
一个默认规则指定所有 Web 代理客户直接从 Internet 获取数据。
默认缓存尺寸设置为 0(禁用缓存功能)。
大部分警告是启用的。我们推荐你根据你的网络环境来进行自定义。 在安装和配置的时候,防火墙客户和 Web 代理客户都是启用了自动发现。防火墙客 户上的 Web 浏览器程序在安装防火墙客户端时会自动进行配置。
允许
(空)
外部 IPSec 远程网关
本地主机
所有用户
14 (默认禁止)
如果你启用 ISA 防 火墙的站点到站点 的 VPN 连接,那么 此规则将会自动启 用。
允许从 ISA 防火墙 发出的 VPN 站点到 站点的数据传输。
允许
(空)
本地主机
外部
IPSec 远程 网关
所有用户
15
你想从 ISA 防火墙 上访问文件共享 吗?如果不,禁止 此规则
当安装 ISA 防火墙 的防火墙客户端安 装文件时,会自动 启用此规则。
允许从信任的计算 机访问 ISA 防火墙 上的防火墙客户端 安装共享
允许
Microsoft CIFS (UDP)
NetBIOS 数据报 NetBIOS 名字服务
内部
本地主机 所有用户
20 (默认禁止) 允许从信任的服务
如果你想远程监控 器到 ISA 防火墙的 ISA 防火墙的性能 远程性能监视 日志,启用此规则。
允许
Ping
远程管理计算机 组
本地主机
所有用户
11 允许从 ISA 防火墙
如果 ISA 防火墙需 到选择的计算机的 要使用 ICMP 协议, ICMP(Ping)协议 那么必须启用。
允许
ICMP Information Re quest
ICMP Timestamp
Ping
本地主机
所有网络(和 所有用户
远程管理计算机 组
本地主机
所有用户
4 (默认禁止)
如果你想记录日志 到 SQL server 上,启用此规则。
允许使用 NetBIO S 来远程记录日志 到信任的服务器上
允许
NetBIOS 数据报 NetBIOS 名字服务
NetBIOS 会话
本地主机
内部
所有用户
5
你要使用 RADIUS 认证吗?如果不 是,禁止此规则。
• Internet 访问
在内部网络、隔离的 VPN 客户网络和 VPN 客户网络到外部网络之间定义路 由关系为 NAT;
• VPN 客户端到内部网络
在 VPN 客户网络和内部网络间定义路由关系为路由。
防火墙策略
只有一个默认规则,拒绝所有网络间的通讯。
系统策略
Web 链 缓存 警告
客户端配置
ISA 防火墙默认配置只允许某些重要的服务进行访问,还是比较安全。在安装过程中, 为了访问某些必需的服务,会启用某些必需的系统策略。我们推荐你检查系统策略, 并根据你的网络环境进行自定义。
ISA 防火墙的默认系统策略和防火墙设置
内容概要:Tom 在这篇文章中对 ISA 防火墙的系统策略的设置进行了详尽的说明,并且给出了推荐配置。 除此之外,还介绍了 ISA 防火墙的其他的默认配置,对你理解 ISA 防火墙的初始配置和系统策略有很好的 帮助。
ISA 防火墙的系统策略是从本地主机进行访问或者访问本地主机的规则集合,它只与 ISA 防火墙系统有关, 你不能为其他网络中的主机配置系统策略。
所有用户
本地主机
内部
所有用户
本地主机
所有网络(和 本地主机)
本地系统 账户和网 络服务账
户
本地主机
远程管理计 算机组
所有用户
ISA 防火墙的系统策略在任何用户定义的规则前执行。你可以通过点击任务面板中的编辑系统策略链接来 编辑系统策略,这样打开了系统策略编辑器,如下图所示。 对于每个系统策略,有一个常规标签和从或到 标签。常规标签对规则的作用进行了解释,从或到标签允许你控制进入 ISA 防火墙或者从 ISA 防火墙发起 的连接。
本地主机
内部
所有用户
如果你使用 MOM, 那么启用此规则。
用 Microsoft Ope rations Manager
(MOM)代理进行 远程监视
26 (默认禁止)
如果你想让 ISA 防 火墙访问 CRL,则 启用此规则。
为了下载 CRL,允 许从 ISA 防火墙到 所有网络的 HTTP 协议
允许
NetBIOS 会话 s
本地主机
内部
所有用户
22
如果你不在 ISA 防 火墙上使用 RPC 来 连接其他服务器, 禁止此规则。
允许从 ISA 防火墙 到信任计算机的 RP C 协议
允许
RPC (all interfaces)
本地主机
内部
所有用户
23
此规则允许 ISA 防 火墙向微软发送错 误报告。
允许从 ISA 防火墙 到微软错误报告站 点的 HTTP/HTTP S
为了完成内容下载 任务,允许从 ISA 防火墙到选择的计 算机的 HTTP 协议
允许
30
如果你不使用远程 MMC 进行管理,禁 止此规则
允许微软防火墙控 制服务和选择的计 算机进行通信。
允许
HTTP NTP (UDP)
SMTP HTTP 所有出站通讯
本地主机
所有网络(和 所有用户
本地主机)
本地主机
内部