系统策略
ISA 服务器包含默认的系统策略配置允许使用网络基础结构正常运行所需的常用服务
一般从安全角度考虑我们强烈建议您配置系统策略以便禁止访问管理网络不需要的服务 安装之后请仔细检查配置的系统策略规则 同样执行主要管理任务之后请再次检查系统策略配置
以下各部分描述系统策略规则启用的服务
网络服务
安装 ISA 服务器时启用基本的网络服务 安装之后ISA 服务器可以访问内部网络上的名称解析服务器和时间同步服务
如果网络服务在其他网络上您应修改相应的配置组的源以便适用于特定网络 例如假设 DHCP 服务器不在内部网络上而是在外围网络上 请修改 DHCP 配置组的源以便适用于外围网络
您可以修改系统策略以便仅允许访问内部网络上的特定计算机 另外如果服务在其他位置您可以添加附加网络
下表显示适用于网络服务的系统策略规则
DHCP 服务
如果 DHCP 服务器不在内部网络上您必须修改系统策略规则以便适用于 DHCP 服务器所在的网络 例如如果 DHCP 服务器在外部网络上请执行以下步骤
单击开始指向所有程序指向 Microsoft ISA Server然后单击ISA 服务器管理
在ISA 服务器管理的控制台树中单击 Microsoft ISA Server单击 server_name然后单击防火墙策略
在任务选项卡上单击编辑系统策略
在系统策略编辑器的配置组树中单击 DHCP
在从选项卡上单击添加
在添加网络实体中选择一个网络对象
提示
我们建议如果您知道 DHCP 服务器的 IP 地址请仅使用该 IP 地址创建一个计算机集并选择该计算机集 我们强烈建议当 DHCP 服务器在不受信任的网络上时这样做
单击添加然后单击关闭
身份验证服务
ISA 服务器的基本功能之一是能够对特定用户应用防火墙策略 但是要验证用户ISA 服务器必须能够与身份验证服务器通讯 由于这个原因默认情况下 ISA 服务器可以与 Active Directory 服务器(对于 Windows 身份验证)以及内部网络上的 RADIUS 服务器通讯
下表显示适用于身份验证服务的系统策略规则
DCOM
如果您需要使用 DCOM 协议(例如为了远程管理 ISA 服务器计算机)请确保不要启用强制严格符合 RPC
要验证未选中强制严格符合 RPC请执行以下步骤
单击开始指向所有程序指向 Microsoft ISA Server然后单击ISA 服务器管理
在ISA 服务器管理的控制台树中单击 Microsoft ISA Server单击 server_name然后单击防火墙策略
在任务选项卡上单击编辑系统策略
在系统策略编辑器的配置组树中单击 Active Directory
验证未选中强制严格符合 RPC
提示
各种服务(包括远程管理和自动登记)通常都需要 DCOM
Windows 和 RADIUS 身份验证服务
如果您不需要 Windows 身份验证或 RADIUS 身份验证应执行以下步骤禁用相应的系统策略配置组
单击开始指向所有程序指向 Microsoft ISA Server然后单击ISA 服务器管理
在ISA 服务器管理的控制台树中单击 Microsoft ISA Server单击 server_name然后单击防火墙策略
在任务选项卡上单击编辑系统策略
在系统策略编辑器的配置组树中单击 Active Directory
在常规选项卡上验证未选中启用
注
禁用 Active Directory 系统策略配置组时实际上禁用对所有 LDAP 协议的访问 如果您需要 LDAP 协议请创建允许使用这些协议的访问规则
对 RADIUS 配置组重复步骤 和
提示
如果您仅需要 Windows 身份验证请确保配置系统策略以便禁用所有其他身份验证机制
RSA SecurID 身份验证服务
默认情况下不启用与 RSA SecurID 身份验证服务器的通讯 如果您的防火墙策略需要 RSA SecurID 身份验证请确保启用此配置组
CRL 身份验证服务
默认情况下不能下载证书吊销列表 (CRL) 这是因为默认情况下不启用 CRL 下载配置组
要启用 CRL 下载请执行以下步骤
单击开始指向所有程序指向 Microsoft ISA Server然后单击ISA 服务器管理
在ISA 服务器管理的控制台树中单击 Microsoft ISA Server单击 server_name然后单击防火墙策略
在任务选项卡上单击编辑系统策略
在系统策略编辑器的配置组树中单击CRL 下载
在常规选项卡上验证选中启用
在到选项卡上选择可以从其中下载证书吊销列表的网络实体
将允许从本地主机网络(ISA 服务器计算机)到到选项卡上所列网络实体的所有 HTTP 通讯
