54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

ISA教程之附录A 各章的问题和答案

时间:2010-10-28 21:30来源:编辑部 编辑:COCO

  第1章的问题和答案
  复习问题
  1.  能使Web浏览器自动连接到ISA Server计算机的是什么协议?
  
  Web代理自动寻找协议(WPAD)。
  
  2.  HTTP重定向筛选器的功能是什么?
  
  HTTP重定向筛选器把来自防火墙和安全网络地址转换客户端的HTTP请求转发给Web代理服务,从而为没有将浏览器配置为指向Web代理服务的客户创建了透明的缓存。
  
  3.  Active Directory目录服务怎样和何时用于ISA Server配置中?
  
  所有的用户、规则和配置信息可以在Active Directory目录服务中集中存储和管理。在ISA Server企业版中,Active Directory目录服务允许组织共享架构、实现缓存阵列、自动采用企业设置、访问策略、发布策略和监视配置。
  
  4.  CARP优于ICP的性能是什么?
  
  首先,ICP阵列具有“负可伸缩性”:在阵列中添加越多的服务器,在服务器之间来判断定位的查询也越多。在CARP阵列中就可以避免这个问题,因为CARP提供了一个确定性的请求解析路径。该路径不需要在服务器之间查询信息。其次,在ICP网络中,阵列能够发展为主要复制存储频繁请求的URL的缓存。基于散列传送的CARP与此不同,它允许所有代理服务器作为一个单独的逻辑缓存存在。
  
  5.  使用ISA Server企业版的多层策略方法的目的是什么?
  
  通过允许企业和阵列策略,可以保证公司的策略在整个组织中实施。同时,可以允许部门级或者分公司级存在细微差别。这样,部门级经理可在需要时创建补充制度。
  
  6.  Microsoft Windows 2000 Advanced Server或者是Microsoft Windows 2000 Datacenter Server里有助于ISA Server企业版提升阵列性能的是什么功能?
  
  通过群集多个ISA Server计算机,ISA Server企业版使用Microsoft Windows 2000 Advanced Server的网络负载平衡(NLB)服务来提供容错、高效率、有效性、和改进的性能。
  
  第2章的问题和答案
  复习问题
  1.  计划在集成模式下运行ISA Server,预期每秒接收500到900次点击,并为组织中2000个用户  服务,那么安装ISA Server时推荐什么样的硬件处理器、内存和硬盘驱动器容量?
  
  550MHz奔腾Ⅲ处理器,256 MB内存, 硬盘驱动器上有10 GB可用空间。
  
  2.  把ISA Server作为一个阵列安装有什么要求?
  
  ISA Server必须是Windows 2000域的一个成员,在安装之前必须初始化企业。
  
  3.  边界网的优点是什么?
  
  允许外部用户访问发布服务器而不允许他们访问内部网。
  
  4.  允许ISA Server和Web服务器放在同一位置,应采取什么措施?
  
  ISA Server和Web服务器一样都是在端口80侦听传入请求。为了避免它们之间有冲突,可配置Web服务器为在80端口以外的端口侦听。然后,可以修改ISA Server的Web发布规则,以便ISA Server把请求转发给Web服务器上相应的端口。或者,可配置Internet Information Serices IIS Server在一个不同的IP地址上侦听。可以将IIS Server设置成在127.0.0.1侦听,因此允许它只接收来自ISA Server计算机的请求。
  
  5.  LAT的功能是什么?
  
  LAT允许ISA Server判断使用哪个网络适配器来访问内部网络。
  
  6.  从代理服务器迁移后,要允许缓存服务器客户的Web浏览器连接到ISA Server上,必须采取什么措施
  
  必须配置所有与ISA Server连接的下游链式成员(或者浏览器)连接到端口8080,或者配置ISA Server在端口80侦听。这样的配置是非常必要的,因为代理2.0是在端口80侦听客户的HTTP请求,而ISA Server安装时是配置成在8080端口侦听。 
  
  第3章的问题和答案
  复习问题
  1.  假设您为一家公司的两个分部办公室配置ISA Server安装,为其提供防火墙和网络缓存服务。您需要评估条件并推荐怎样配置客户机。这两个分部各有20个成员。此外,还有10个现场工人也到这两个办公室来,他们会把便携式电脑插入到任一一间办公室的任何可用的以太网接口上。办公室的台式机的位置几乎是固定的,同时也不必考虑为任何用户账号设置特定的访问规则。要获得最高安装和维护效率,推荐把哪一台计算机(如果有的话)配置为安全网络地址转换客户端?哪一台(如果有的话)作为防火墙客户端?
  
  既然台式机不能随便移动,也不必考虑为任何用户账号设置特定的访问规则,它们应该配置为安全网络地址转换客户端以简化安装和维护(简化到最小限度)。另一方面,便携式电脑应该配置成防火墙客户端,因为它们可以使用自动发现特性,而自动发现特性只和防火墙客户端一起工作。
  
  2.  防火墙客户端上的Mspclnt.ini文件和 Wspcfg.ini 文件之间的区别是什么?
  
  两个文件都为Winsock客户应用了配置设置。但是,在处理Winsock请求中,防火墙软件给了Wspcfg.ini文件先于Mspclnt.ini文件的优先权。Wspcfg.ini 文件可以在Winsock应用程序的指定目录中找到,因此,它为给定的用户应用特定的设置。如果找不到该文件,或者文件中没有设置,防火墙客户端应用程序将寻找Mspclnt.ini文件中的设置。Mspclnt.ini文件位于防火墙客户端安装文件夹。它应用的是一般的Winsock设置,不是面向特殊应用的设置。
  
  3.  配置了自动发现特性后,它采取什么样的步骤来满足客户请求?
  
  首先,客户连接到域名系统(DNS)或者动态主机配置协议(DHCP)服务器上。DNS服务器或者DHCP服务器应该有一个WPAD项。该项指向指明ISA Server计算机的WPAD服务器。接着,DNS服务器或者DHCP服务器的WSPAD项识别客户请求后,ISA Server计算机满足这些  请求。
  
  4.  在ISA Server中配置拨号项,允许在Web代理客户端中共享一个安全的Internet拨号连接吗?
  
  不允许。ISA Server中没有配置拨号上网项,Web代理客户端就可以共享一个安全的拨号连接。配置拨号上网项允许安全网络地址转换客户端共享安全拨号连接。
  
  5.  由于近来已从专线连接上网改为拨号连接上网,您禁用了外部网络适配器并为现在的拨号连接配置了拨号上网项。然而,ISA Server通过该拨号连接拨号到ISP时,所有的客户无法连接到Internet。要解决这个问题,应当采取的第一个措施是什么?
  
  无论何时启动或者禁用网络适配器,在重新建立和ISA Server客户的连接之前,需要重新启动防火墙和Web代理服务。
  
  第4章的问题和答案
  复习问题
  1.  下列的哪个条件下,John能通过ISA Server访问 Internet?假定有默认的允许站点和内容规则,并且没有配置其他的规则或筛选器。
  
  a.  配置一个协议规则允许任何请求访问所有IP通信。然后配置第二个协议规则拒绝用户John访问所有IP通信。不要修改传出Web请求的默认阵列属性。John能够通过安全网络地址转换客户端上的Web浏览器来访问Internet吗?
  
  John可以通过Web浏览器访问Internet。因为传出Web请求的默认阵列属性没有修改成要求用户身份,并且没有配置需要用户身份验证的允许类型规则,John的Web会话仍可以是匿名的,拒绝规则不会影响他。
  
  b.  配置一个协议规则允许所有域用户访问所有IP通信。John是域客人组的成员(不是域用户),并且传出Web请求的默认阵列属性没有改变。John能够通过安全网络地址转换客户端上的Web浏览器来访问Internet吗?
  
  John不能通过Web浏览器访问Internet。因为为域用户配置了允许类型的协议规则,该规则要求所有的Web代理客户进行身份验证。一旦进行验证后,John将不能访问Web,因为他不是域用户组成员。
  
  c.  配置一个协议规则允许任何请求访问所有的IP通信。然后配置第二个协议规则拒绝域用户访问所有IP通信。John(仅)是域用户组成员。传出Web请求的默认阵列属性没有改成要求未验证身份的用户的提供身份证明。John能通过防火墙客户上的Web浏览器访问Internet吗?
  
  因为匿名访问已经失效,所以John不能访问Internet。他的会话需要Web代理服务的证明,既然他是域客人组的成员,他的请求会被拒绝。
  
  d.  配置一个协议规则允许所有的域用户组成员访问所有的IP通信。John是域用户组的成员。他可以从没有配置防火墙客户端的计算机上的命令提示符中建立通过Internet的FTP连接吗?
  
  因为John的计算机没有配置成防火墙客户端,所以他不能通过FTP客户端访问Internet。对于非Web请求,只有防火墙客户端能给ISA Server发送账户信息。既然John一直没有经过身份验证,他的请求会被拒绝。
  
  2.  如果检测到来自某些网络ID的IP半扫描攻击,应该采取什么保护措施?
  
  可以创建站点和内容规则或者IP筛选器以阻塞那些网络ID的IP地址范围的通信。
  
  3.  在哪三个条件下,需要创建IP数据数据包筛选器而不是协议规则或者站点和内容规则以允许Internet连接?
  
  当发布的服务器位于边界网络或者DMZ中时,当在ISA Server上运行的程序或者其他的服务需要侦听Internet时,当要允许访问基于用户数据包协议(UDP)或者传输控制协议(TCP)的协议时,需要创建IP数据数据包筛选器。
  
  4.  已经配置了站点和内容规则拒绝访问两个目的:ftp://movies.acme.com/clips and ftp://radio.能acme.com。假定用户有权从FTP站点上下载文件,用户可以通过ftp://movies.acme.com上的FTP客户下载内容吗?他们能够在ftp://radio.acme. com/songs上下载内容吗?
  
  因为规则只是拒绝访问子文件夹,所以他们能够访问ftp://movies.acme.com。但是他们不能访问ftp://radio.acme.com/songs,因为

[责任编辑:Lavy]

------分隔线----------------------------