54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > ISA >

ISA防火墙优化方法及使用技巧二(图)

时间:2010-10-28 21:31来源:未知 编辑:COCO

  配置对本地地址进行直接访问。直接访问允许Web代理客户不使用Web代理而直接访问资源,你永远也不要让ISA防火墙出现回环访问的情况,直接访问用于避免这一点。配置ISA防火墙为你的企业域名和企业网络中的所有IP地址进行直接访问,唯一的例外是你的ISA防火墙具有多个网络适配器并且你配置ISA防火墙对这些适配器之间的访问进行控制。这种时候,你需要仔细的考虑是否需要直接访问。
  
 

  
Figure 4

  
  在安装ISA防火墙之前对操作系统进行更新。这看起来很简单,但是许多ISA防火墙管理员都忘记了对操作系统进行更新。在安装ISA防火墙之前,你应该把这台将要安装ISA防火墙的服务器放置在安全的内部网络中进行更新,当一切补丁都更新完成后,再安装ISA防火墙。只有当ISA防火墙配置完成后,你才能将这台服务器直接连接到Internet。
  
  修改ISA防火墙网络适配器的名称。这是我必定使用的技巧,在网络连接文件夹,你可以修改ISA防火墙的网络适配器的名称。这对于你配置ISA防火墙时有很显著的帮助。
  
 

  
Figure 5

  
  配置网络适配器在任务栏显示图标。说起网络适配器,我很愿意在任务栏看到ISA防火墙上所有网络适配器的状态, 虽然它只能给你一个很简略的网络通讯状态。你只需要在网络适配器属性中勾选连接后在通知区域显示图标即可。
  
 

  
Figure 6

  
  使用Ipconfig、Netstat、Arp和Nbtstat进行调试。和路由器、交换机一样,ISA防火墙是网络基础的一个重要组成部分。当出现问题时,你需要一些工具来帮助调试网络问题。我在前面提到了网络分析软件,另外这些工具也可以帮助你:Ipconfig、Netstat、Arp和Nbtstat。
  
 

  
Figure 7

  
  在Windows XP SP2客户环境下使用DHCP部署WPAD。WPAD(Web Proxy Automatic Discovery)允许你为你的客户自动配置Web代理和防火墙客户端。WPAD项可以在DNS或者DHCP中进行配置,但是对于使用DNS部署WPAD的情况而言,当分部的用户和总部的用户位于相同的域中时,会解析出和总部用户相同的WPAD项,这导致分部的用户不能正常连接到位于分部的ISA防火墙;对于使用DHCP部署WPAD的情况而言,为了通过DHCP来获得WPAD信息,用户必须作为管理员身份登录。不过有个好消息是Windows XP SP2支持非管理员身份登录时通过DHCP获得WPAD信息。这解决了分部和总部的用户位于相同的域时,不能使用DNS解析WPAD项的问题。你只需要在分部部署一个DHCP服务器,并配置DHCP WPAD项,指向位于分部的ISA防火墙即可。
  
 

  
Figure 8

  
  不要使用ISA防火墙作为客户机---不要运行任何客户端应用程序。我已经在前面说过了,但是我还想再次(不仅仅是再次,而是一直)提醒你。我知道这可能是你难以打破的习惯,但是请记住,避免在ISA防火墙运行客户端应用程序, 这可以极大的增强它的安全性。
  
  不要允许访问本地主机网络。你应该永远也不要允许到本机主机网络或者从本地主机网络的访问,除非你有特殊的需求。如果你真正需要时,请配置ISA的系统策略来实现,而不要自己创建访问规则来允许,系统策略已经设计为控制ISA防火墙的合法访问。
  
  配置连接限制。通过连接限制,ISA防火墙可以减轻蠕虫病毒或其他自动攻击所带来的影响。你可以在ISA防火墙管理控制台的常规节点下的定义连接限制中配置连接限制,如果你发现部分服务器需要更高的连接限制数,那么你可以为它们进行自定义连接限制。
  
 

  
Figure 9

  
  阻止防火墙客户访问远程端口(只有企业版具有)。防火墙客户端软件增强了ISA防火墙的安全性和可扩展性,它具有的一个功能是可以阻止客户访问指定端口,你可以配置防火墙客户端设置中的DontRemoteOutboundTcpPorts键值来阻止防火墙客户访问部分蠕虫病毒所访问的端口,例如445、1434、5554等等。当客户中了蠕虫病毒时,当病毒发起了针对这些端口的连接,就将被防火墙客户端软件所阻止。
  

  
Figure 10

  
  使用远程桌面来管理ISA防火墙。你可以通过两种方式来管理ISA防火墙:加密的RDP通讯或者远程管理MMC。我总是使用RDP来进行管理,因为这样监视和配置更为有效,最重要的是,这样更为安全。RDP通讯使用128位的加密,并且只允许信任的管理计算机到ISA防火墙的3389端口的通讯。或许有人会认为RDP服务不够安全,这是错误的想法,不要听信。
  
  当安装ISA防火墙时,不要连接到Internet。我也已经在前面提过了,但是它值得我再次提及:在配置完成ISA防火墙之前,不要将ISA防火墙连接到Internet。ISA防火墙所在的服务器只有当ISA防火墙安装完成后,它才是安全的。

[责任编辑:Lavy]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>