ISA FAQ
ISA FAQ
管理员可以用不同的方法去管理ISA和后台服务器。对于管理多服务器会面临很大的问题。因为对于管理员来说都需要借助不同的软件。而应用这些软件去管理ISA或者ISA后的服务器群,需要在ISA服务器上做发布。但对于多个相同端口服务不可能在一个IP地址上发布。这里列举两个软件和它们的组合,一个是MS中提供的TERMINAL SERVICE,一个是SYMANTEC的PCANYWHERE,当然现在还有许多的管理员在利用其他的软件去完成。那么方法可以去借鉴一下。
如果单单发布一个PCANYWHERE,需要去建立TCP5631和UDP5632的协议。然后去在SERVER PUBLISHING中发布它。如果在想去管理ISA本机,需要在IP PACKET FILTERS中,定制相应的FILTERS。可是面临的问题出现了,管理员需要管理两台或者更多台SERVER,这时需要重新去考虑部署。要么应用一个新的IP地址,然后去把要发布的其他服务器发布到这个新的IP上。有些管理员想在一个IP地址上发布,可是对于相同服务发布在一个IP 上,需要的就是更改端口。PCANYWHERE 可以去更改端口。对于服务器没有什么特别的问题,但是对于管理员来说,面临的就是需要去不停的更改本地的PCANYWHERE软件的默认端口。那么其他管理员比较青睐MS TERMINAL SERVICE。单单应用会遇到和 PCANYWHERE的问题。在这点上MS已经有了很好的解决方法。利用WEB把TERMINAL SERVICE嵌入,这样远程的用户不在什么客户端的软件。但需要多一步工作,发布WEB,发布TERMINAL SERVICE。WEB的方法不多介绍,TERMINAL SERVICE 需要去定义一个新的 TCP 3389 INBOUND的协议,而后在SERVER PUBLISHIING中发布。如果有另一台TERMINAL SERVICE ,端口是3387,一样需要做一条TCP3387 INBOUND的协议去发布。
这样,问题可能解决了很多。可以去随意的更改服务器上TERMINAL SERVICE 的端口,用户端不需要去更改,但要去发布要管理的所有不同端口的TERMINAL SERVICE的服务器。在管理员访问TERMINAL WEB的时候,填写地址和端口。这样是一个比较理想的方法。但最好的方法,是将PCANYWHERE 和 TERMINAL SERVICE一起来辅助远程管理。 PCANYWHERE是前台模式,而TERMINAL SERVICE是后台模式。那么管理员发布一个 PCANYWHERE,内部在相应的机器上安装TERMINAL SERVICE。在一台IIS上安装TERMINAL SERVICE WEB ACCESS。当连接了PCANYWHERE后,管理员深处于被管理的网络。直接通过 WEB的方式管理一台,两台……甚至无数台都可以。现在看看前面的方法,这种方法是最理想的。1可以最少的发布服务,减少风险。2可以减轻ISA的负载。3减少管理员的反复操作。
1、对local port设Dynamic,应比设某个固定端口值(比如:25)更安全,因为此时端 口只能由内部用户打开,外部却不能!----这样理解对吗?
2、如果 上述理解对的话,那么所有的ip packet filters岂不都可用一条Dynamic >filter来代替,即省事又安全,何必再针对不同的端口设置不同的 filter?---不知您对 >此问题是怎样的看法?
上面1部分对,部分不对。 对于outbound,ISA会根据外出请求使用的本地端口自动在 packet filter中建立过滤,对于inbound,是根据本地服务 listening的端口自动建立规则。用你的话来说,就是只能由内部打开,外部不能;但是,不能说设置dynamic,比设fiexed port更安全,原因我在第二个问题中说明。
而上面2实际上,在ip packet filters中建立规则,无论dynamic还是 fixed port、无论inbound还是outbound,对安全性都是一种损害,只是程度不同而已。因此,除非必要,在这里建立规则是not recommanded的。以你第一个问题举例:
a。对于outbound的情况。 假如我通过ISA发布了一个服务,但intruder通过这个服务的漏洞在ISA服务器中植入了一个木马,当然,这个木马需要向外发送数据,如果此时有某条规则在local port中设置了dynamic,ISA会很自然地为这个木马打开相应的本地端口,但如果只是设置了fixed port,对于intruder来说,就比较辛苦了,他必须不断地尝试哪个本地端口可以用于外出。从这个意义来说,可能fixed port比 dynamic更安全。
b。对于inbound的情况。 如果通过ip packet filters发布了一个ISA的well-known本地服务,但在local port中设置了dynamic,当服务停止时,ISA会自动关闭服务使用的端口,但对于fixed port,这个端口还是敞开的,如果intruder放置的木马是个服务器端,他就很容易利用这个端口干坏事了。从这个意义来说,dynamic可能比fixed port更安全。
因此,不管是fixed port还是dynamic,都是一种损害。只不过,有时侯我们必须开放某些本地端口,甚至是dynamic,比如当必须在 ISA服务器本地连接外部服务时,ISA在本地使用的端口可能是1025- 5000之间的某个端口,显然,我们不可能在packet filters中手工建立4000条规则,dynamic是唯一的方法。
如何配置 WPAD.DAT 以实现ISA与DHCP的结合 ?
1。在automatic discovery标签中启用该服务;
2。在dhcp服务器中预定义一条作用域选项,ID为252,字符串,名称为wpad,值为:
http://isa/的计算机名:80/wpad.dat。设置完后通过作用域选项分配。
automatic discovery可以通过DHCP和DNS两种方法,设置上以DNS方法更简单,而且FWC运行时首先使用DNS方法。但是,如果希望 automatic discovery服务使用非80端口,就只能使用DHCP方法了。
msn messager 不能使用语言对话
我通过isa代理不能和我朋友用msn messager聊天时使用语言对话,用netmeeting不能连接说处在不同的防火墙之后,我朋友是拨号上网没有代理,请问我要怎么设置isa才能进行语言对话呢?
MSN的语音及视频部分由于使用了SIP、SDP和RTSP这些利用大范围动态端口的协议,这要求防火墙或者代理服务器发布这个范围的端口,理论上可以,实际中不可能,因为发布这些端口后,防火墙几乎可以说不再存在了。
现在只有支持UPNP的代理(比如XP的ICS)能够处理这个问题,听说 winroute 5.0也开始支持UPNP了。
旧版本MSN使用的通讯方法,4。0以上的MSN的语音及视频连接使用了SIP、SDP协议,4.6版本之后的MSN在使用SIP、SDP时又有了些不同,主要是不再直接使用SIP连接对方,而是通过一台SDP服务器,连接步骤也简化了许多。
ISA的端口转换怎么用?
我在IIS上发布的端口是4118,ISA上向外通讯的端口是80,怎么样进行转换?
答:IF WEB PUBLISH --CHOOSE YOUR PORT. IF ISA EXTERNAL PORT, IN INCOMEING WEB REQUEST.
ISA中禁止下载文件的问题
为了禁止用户下载.zip.rar.exe及.mp3等文件, 我做了下面操作:
1.在\Policy Elements\Content Groups\下新建了一条新的Content Group 这条新的Content Group定义如下: Name:Denied Download Description:exe zip rar rm mp3 Content Types: .exe .zip application/x-zip-compressed .rar .rm .mp3 audio/mpeg
2.在\Access Policy\Site and Content Rules\下新建一条Rule 新建的这条Rule基本定义如下: General\Name:Denied Download General:Enable Action :Denied HTTP Content\Selected content groups:Denied Download -------->在第一步骤定义的Content Group
结果发现 .exe .rm .mp3文件都可以被禁止。可是.zip和.rar文件就无法被禁止下载。
A:现在可以限制zip下载了,多谢了我想问一下,我原先在compressed files中已经加了 File extension : .zip Mime Type : application/x-zip-compressed 但是不起作用,现在在Application中加入就可以了,为什么会这样?
A:我曾经详细的解答过这样的问题,但不知道为什么被删掉了!我再说一次吧
经过多次试验,我发现isa默认的Mime Type和实际下载中的有一些出入,就拿你说的 ..zip和.rar文件, ..zip默认的是:application/x-zip-compressed,你可以手动添加一个: application/zip试试 ..rar你可以手动添加:application/x-rar-compressed和application/octet-stream这两个。告诉你们一个好方法:当你发现有文件有时还能下载时,你可以用flashget下载这个文件,在初始连接文件时可以看到"content-type:xxx" 这就是此文件的Mime Type,如果它在isa默认的Mime Type中没有的话,就需要你手动添加。这就是为什么被禁止的文件有时还能下载的原因。
请注意在ISA上的瑞星2003
请注意在ISA2000上的瑞星2003 请不要在运行ISA2000的服务器上启用瑞星2003中的邮件监控(如果你起用了他,那么,象一把绿色小雨伞的图标就会出现在屏幕右下角的任务板中)否则,内部用户无法使用公共邮件。
如何设置isa服务器上oicq?
Create a Custom IP packet filter as below : > 1. Name : OICQ > 2. Allow > 3. IP protocol : UDP > 4. Direction : Both > 5. Local Port : Fixed port 8000 > 6. Remote Port : All ports > 7. Default IP address of each external interface on the ISA server computer. > 8. Apply this packet filter to All Remote computer. > 9. Finish. > 10. Restart ISA control service. > > Rae
关于QQ, MSN...在ISA中的封锁问题
对于一些即时通讯的软件,大家都比较头疼,因为现在在公司的范围内,计算机网络技术不再是少数人的特长了。所以大家为了聊天等……会想到许多的办法。如果你公司希望禁止大家去聊天,光靠封PROTOCOL,是远远不成了。只要有80等端口的存在,结果还是失败。这可能会困扰许多的管理员。那么我提出一些方法希望可以帮助大家。例如:QQ虽然它是点到点的通讯,但大家不要忘记,它想聊天之前有一个必须的工作--登陆网站身份验证。如果你登陆不上去……即使你有N层代理,有什么端口……都要说I AM SORRY.所以这是问题的关键。QQ一般是走8000,但也可以走其他的端口(HTTP PORT)。MSN则在它的高级里,大家都可以看到它直接可以走HTTP PROXY , SOCKS 4,SOCKS4……。那么我们看问题要去看问题的根本……不是吗?任何问题。那么他们的过程,第一步就是登陆网站……。这是最关键的。如果登不上这些网络地址。它们不可能象手机一样直接拨号。 OK,大家可以明白了。我们现在要做的就是封掉它们的登陆站点,除草要除根。
例如:TENCENT QQ 10个站点 61.144.238.145、61.144.238.146 、202.104.129.151、 202.104.129.254、 61.141.194.203 、202.104.129.25 202.104.129.253 、61.144.238.155、 202.96.170.164 、202.104.129.251
那么现在大家可以明白我的用意了吧。我为什么要用他们的IP而不用名称。我对于封锁网站来说,对于网络的还好说。基本都是一个DNS。但对于许多黄色的网站和国外的网站都会有好几个DNS。因为可能是为了扩大范围的一种方法吧。所以有时要用IP地址。有时甚至去封网段。也许我的方法比较极端。也对,许多的东西要有例外。那么对于现在多数个人用的什么动态域名,我们怎么去处理?那是封什么呢? IP OR DNS?这要看网络管理员的经验了。有时一个IP是可以查出来的。如果它属于163 用户,那么我会丝毫不留情的封一个网段。当然上述的一切不是绝对的。我排除了人的因素。但某些人你允许了他QQ,那么他可能象神一样的,给别人做代理。当然你可以查出来。也可以通过流量去限制。比如:规定一个人上网一周是5M的流量。那么超了……OK , DENY..... 所以呀,敬告管理员们:对网络的操作,有时要比对用户的规划容易。希望可以帮助大家
如何在ISA中禁用QQ?
q:普通用户没有QQ权限,仅有http权限,但用户端在代理设置中选择使用socks5代理服务器,代理服务器地址输入127.0.0.0,端口号输入:8000,大约等十几分钟后QQ可以登录上去,只是不稳定而已?如何限制?问过微软,建议限制端口号,限制访问腾迅已经列出的QQ网站端口、限制QQ数据流,但仍然无法有效限制,用户只要有http权限,只要80端口可以使用,就可以玩QQ,请指教,谢谢!
a:如果你想禁止掉QQ,不妨尝试用GPO的方法实现,但是这样的话,工作量可能会大一些,而且你们的员工也不一定喜欢这种什么都被你限制的感觉,其实windows 2000的策略还是很有用处的,结合ISA使用效果会更好
a:不要忘记象这种即时通讯的软件全部都有自己的登陆IP,TENCENT一共有八个这样的地址只要封掉就可以了,这样可以防止二级代理的问题。
FLASHGET如何使用微软的ISA代理服务器?[
Q.如何使用微软的ISA代理服务器? A.ISA的确省安装只允许一个组"BackOffice Internet Users"使用.会拒绝FlashGet的连接请求。请设置为"Any request"FlashGet就可正常使用,具体步骤:
From the SBS console: Expand ISA in the tree Expand Servers and Arrays Expand the server name Expand Access Policy Left click on Protocol Rules Right click on the rule shown in the list view and click Properties Click the Applies To tab Change setting to "Any Request
如何通过ISA实现MSN的语音通讯
Q:如何通过ISA实现MSN的语音通讯?
A:Please tried the following setting:
Define a protocol with primary connection:
TCP 1863 OUTBOUND Secondary connections: UDP 0 inbound UDP 6901 inbound TCP 0 inbound UDP 2100-2120 outbound UDP 6801 outbound TCP 7801-7810 outbound
For Voice: 6901,TCP,OUT 6901,UDP,SendReceive 4500-4700,TCP,OUT
For file transfer: 6891-6900,TCP,IN 6891-6900,TCP,OUT
Also modify mspclnt.ini to include [msmsgs] RemoteBindUdpPorts=0,6901 RemoteBindTcpPorts=0 NameResolutionForLocalHost E
Rae
用OWA访问ISA后面的EXCHANGE SERVER
Q:用OWA访问ISA后面的EXCHANGE SERVER,除了在ISA上配置安全邮件服务器外,还需要 ISA开放什么特殊的端口吗?具体情况如下:公司的局域网通过光纤接入城域网,ISA的对外IP地址设置的是城域网的IP地址,通过在ISA上配置安全邮件服务器,在城域网内可以通过OWA以IP/EXCHANGE的形式访问公司内部的EXCHANGE SERVER(此处的IP为ISA在城域网的IP).可是在INTERNET上通过OWA以 IP/EXCHANGE的形式访问公司内部的EXCHANGE SERVER(此处的IP为ISA真正的公网的 IP)时,也会出现登陆窗口,但是输入登陆信息后,情况是该页无法显示,这是为什么啊?是不是在ISA上还要开放什么端口呢?
——————————————————————————————————————
A:不需要。但是你需要去发布一下你的OWA。因为OWA 是WEB的方式。是RUN在HTTP PORT 上。所以你需要先去做一个DESTINATION SETS,然后去发布它。
——————————————————————————————————————
A:请参考以下文章来正确发布OWA :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q290113
——————————————————————————————————————
A:我在公司的ISA上设置了端口,具体如下
policy elements-->protocol defin, 添加两个基本点tcp的协议,一个是in,另外的out,端口是owa的端口号. 然后在access policy-->IP packet filter 中添加一个过滤,tcp,端口号是owa的端口号,就可以了
如何在ISA上发布多个数据库服务器?[
Q:在ISA里面,有两个或多个Oracle Server,在公网上的机器需要通过数据库连接来访问他们,我用ISA只能发布一个Oracle,怎样才能发布其他的Server?谢谢!
————————————————————————————————————————
A:你的数据库是通过直接调用?还是WEB调用?如果直接调用再你只有一个公网IP的时候,你需要去更改连接端口。如果你有多个公网IP那么,你可以再不同的IP 上发布。
如何解决ISA出现“Oversized UDP packet”的问题
q:> 如何解决ISA出现“Oversized UDP packet”的问题 > > > 我这里使用asdl上网,用ISA作上网共享和防火墙,各方面都一直很 > 好。 > > 3天前,突然出现:局域网内的客户机的windows media player无法 > 播放一些宽带网站上的视频节目(都是使用mms://的),同样的节 > 目以前都是能访问的。 一连几天找不到原因。 > > 今天,刚才,ISA server 突然报告“应用程序日志”已满,而平时 > 几乎没有这类日至记录产生。一看才发现:就这两天内,产生了大 > 量来自 microsoft firewall的警告:A UDP packet was dropped, > because it was larger than the maximum packet allowed by > the Firewall service. > > 这样的警告记录产生的非常密集,有的一秒钟内就有6、7条。 > > 随后也在ISA管理其中,发现了名为“Oversized UDP packet”的警 > 告:ISA server dropped a UDP packet because it exceeded > the maximum UDP packet size, as specified in registry key. > > 由于mms协议大多是基于UDP的,显然,正是由于ISA大量的drop了那 > 些udp包,所以导致那些使用mms的视频才无法访问。为了验证,我 > 使用了单机直接连上网,果然就可以访问了。 > > > 但是,最关键的,如何解决这个问题?? 为什么会突然出现这个问 > 题?(以前一直很好的。) 恳请高手指教,谢谢。 > > 我搜索了注册表,并没有找到直接定义udp packet size 的一 > 项。 怎么办??
-------------------------------------------------------------------
a:如果ISA Server 没装sp1, 可处理的包最大为4KB. 因此在播放流式媒体时有可能出现您遇到的问题。为了解决这个问题,ISA sp1将可处理的包的最大size改为8KB. 可以解决绝大多数的问题。但是由于mms协议中未限制报文的大小,因此某些没有经验的Media制作者仍然可能制作报文大小超过8KB的流式媒体,导致ISA Server drop这些Packet. 在制作流式媒体时,若在广域网上发布,应当考虑到router对udp packet的限制为1452 bytes,超过此大小的报文将成为fragmented packet,影响网络的运行. 也就是说,ISA Server 做这样的限制是有道理的。
怎么样通过设置ISA来禁止内部人员下载?[
q:请问怎么样通过设置ISA来禁止内部人员下载?谢谢 ________________________________________________ a:try to use http content in content and site rule ________________________________________________ 可以去查找一些isa 的filters,但一般都是要钱的。 ________________________________________________ 可以根据要下载东西的content-type来限制下载,isa默认的content group非常多,常用的和不常用的几乎都有,平时下载流量最大的不外乎是一些媒体文件或是exe、zip、 rar等文件,默认的content-type非常多,没有的可以手动添加比如 ".rm"他的 content-type是“application/octet-stream”----经过试验发现大多数新添加的扩展名的类型都是它,要注意的是以前我用wingate时只需要添加要限制的扩展名就行了,但isa的限制功能更加精细仅仅添加“.*”扩展名而不添加content-type是不起作用的。另外,同样的扩展名可能有多个不同的content-type,比如:.zip做了限制后有时还能下载,isa默认的只有application/x-zip-compressed,我们需要根据情况手动添加新的content-type,目前我知道的还有:application/zip。 ".rar"的是: application/x-rar-compressed。其他的可以自行查找。以上是我在工作中自己总结的,是否还有更好的方法?大家交流一下。 __________________________________________________ 我试了安装 GFI DownloadSecurity for ISA Server 可以实现,。。
====================================================================== gfi downloadSecurity for isa server可在本上下载栏目中找到
如何设置ISA上的3389
如果要让ISA SERVER本机作为3389终端添加一个远程端口为3389、方向为OUTBOUND的包过滤规则即可.
如果希望在家管理你的ISA服务器,添加一个本地端口为3389、方向为INBOUND的包过滤规则即可
ISA产生错误日志的原因
q:我在公司使用adsl路由上网,在一台服务器上安装了isa2000后,上网都没什么问题,但是windows 2000应用程序日志却不断的出现以下错误事件。错误都一样,只是ip地址不同。有很多,一分钟出现好多,一会应用日志就满出来了,不知怎么回事,是哪有问题,但是客户机上网都没什么问题?求救!!!!事件类型: 错误事件来源: Microsoft Web Proxy 事件种类: 无事件 ID: 14120 日期: 2002-10-22 事件: 9:36:32 用户: N/A 计算机: PROXYSERVER 描述: The ISA Server services cannot create a packet filter 64.4.13.174. This event occurs when there is a conflict between the Local Address Table (LAT) configuration and the Windows 2000 routing table. Check the routing table and the LAT to find the source of the conflict. 数据: 0000: 15 00 00 00 ....
-----------------------------------------------------------------------------
a:检查一下“access policy---->ip packet filters"(如果是企业版,要注意enterprise policy) 你应该在这里配置有其他filter,且其中有一个ip设置为 64.4.13.174,从地址看,你可能将64.4.13.174这个外部地址加入了LAT. 要不将错误的filter去掉,要不将64.4.13.174从LAT中删除。
-----------------------------------------------------------------------------
a:应该是使用单网卡的原因!!!
-----------------------------------------------------------------------------
a:确认你的LAT配置正确
DNS2Go and ISA(EN)
DNS2Go and ISA Microsoft's ISA (Internet Security and Accelleration) Server has a firewall built in that will block the DNS2Go client from connecting to the DNS2Go servers. To use the DNS2Go Client through an ISA server, set up a packet filter to allow access on port 1227. To do this:
Click the server name Select Firewall Protection Select Create Packet Filter Name the Packet DNS2Go (TCP) Click Next Select Allow Packet Transmission Click Next Select Custom Filter Click Next Set the following options: IP Protocal: TCP Direction: Outbound Local Port: Dynamic Remote Port: Fixed Port: 1227
Click Next Leave the default setting of Default IP address for each External Interface on the ISA Server Computer Click Next Apply Packet to all Remote Computers Click Next & Finish Now, when the DNS2Go client tries to connect, it will be allowed to get through your ISA server and communicate with the DNS2Go server.
isa的几个疑问
以下的两个问题,我曾在此讨论组提过,不知为何现在找不着了,同时,先前的答复也 >不能令我满意,您如有时间,请再给我指点指点: >1、isa的防火墙客户机不能装在装有isa server的机器上, SecureNAT客户机能不能工 >作在安装有ISA SERVER的计算机上? >2、如果上述两种客户机都不能装在isa server所在的机器上,则要在该isa server机 >器上使用邮件服务器、outlook express、ftp等,是不是只能通过在ip packet >filters中配置某种filter? >3、我的ISA server机器上同时有一smtp server,为使其能正常工作,我在 ISA 的 ip >packet filters中增加了一条filter,其filter type是从 Predefined中选择的SMTP,然 >后通过custom将其direction改为both,----不知为何,这样设置后仍不能向外发邮件, >如果我将该filter中的 local port 改为 Dynamic,则一切正常,这到底是为甚么? ---------------------------------------------------------------- 1。你的说法有些问题。 如果把ISA服务器以客户端的角度来看,它本来就可以看作一个 NAT CLIENT。在服务器上装客户端是not recommanded的,当然,安装时你可以忽略警告继续装下去,但没有必要。实际使用中, 99.9999%都不会出现需要在服务器上安装客户端的情况。完全可以说,在服务器上安装客户端是错误的做法。
2。当把服务器安装在ISA上时,如果出口是动态IP,那么在ip packet filters中建立规则是唯一的方法,原因在于publishing rules当出口IP发生变化时没有进行刷新,每次重新拨号,你都要修改一次规则,实际当中不可能老是这样做;如果出口是静态IP,我不建议使用这个方法(安全上的考虑),当然你一定要使用也是可以的,我建议使用web publishing rules、server publishing rules和secure mail server,只要让这些服务在ISA的内部网卡上 listening,然后通过以上规则发布。
3。原因在于邮件服务器(包括邮件客户端)与另一台邮件服务器的 smtp服务通讯时,是在本地通过一个随机端口连接对方的25端口,因此发邮件时,local port必须使用dynamic。不建议你通过一条 both规则发布SMTP服务,应当把它分为两条规则,一条是inbound, local port为25,remote port为all ports,另一条是outbound, local port为dynamic,remote port为25,这样安全性比你使用 both更好。
