資源描述:
《isa防火墻的默認(rèn)系統(tǒng)策略和防火墻設(shè)置》由會員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、ISA防火墻的默認(rèn)系統(tǒng)策略和防火墻設(shè)置內(nèi)容概耍^Tom在這篇文章中對ISA防火墻的系統(tǒng)策略的設(shè)置進(jìn)行了詳盡的說明,并H?給出了推薦配置��。除此Z外,述介紹了ISA防火墻的其他的默認(rèn)配置,對你理解SA防火墻的初始配置和系統(tǒng)策略有很好的幫助。ISA防火墻的系統(tǒng)策略是從本地主機(jī)進(jìn)行訪問或者訪問本地主機(jī)的規(guī)則集合�,它只與ISA防火墻系統(tǒng)冇關(guān),你不能為其他網(wǎng)絡(luò)中的主機(jī)配置系統(tǒng)策略。下農(nóng)顯示了系統(tǒng)策略的淸單���,以及它們在安裝ISA防火墻Z后的默認(rèn)配置狀態(tài)����。序號/注釋列包含了我們對于此系統(tǒng)策略規(guī)則的建議����。序號/注釋名稱動作協(xié)議從/偵
2、聽器To條件1ISA防火墻是域成員嗎����?如果不是,禁止此規(guī)則����。允許為了進(jìn)行身份認(rèn)證而訪問目錄服務(wù)允許LDAPLDAP(UDP)LDAPGC(globalcatalog)LDAPSLDAPSGC(GlobalCatalog)本地主機(jī)內(nèi)部所冇用戶2如果沒有人使用MMC遠(yuǎn)程管理ISA防火墻,禁止此規(guī)則����。允許從選擇的計(jì)算機(jī)上使用MMC遠(yuǎn)程管理ISA防火墻允許MicrosoftFirewallControlNetBIOS數(shù)據(jù)報(bào)NetBIOS名字服務(wù)NetBIOS會話RPC(allinterfaces)遠(yuǎn)程管理計(jì)算機(jī)組本地主機(jī)所有
3、用戶3確認(rèn)遠(yuǎn)程管理計(jì)算機(jī)組中的IP地址是否正確進(jìn)行了配置���。如果沒有人使用終端服務(wù)進(jìn)行遠(yuǎn)允許從選擇的計(jì)算機(jī)上使用終端服務(wù)遠(yuǎn)程管理ISA防火墻允許RDP(終端服務(wù))遠(yuǎn)程管理計(jì)算機(jī)組木地主機(jī)所有用戶程管理ISA防火墻���,禁止此規(guī)則���。4(默認(rèn)禁止)如果你想記錄日志到SQLserver上,啟用此規(guī)則����。允許使用NetBIOS來遠(yuǎn)程記錄II志到信任的服務(wù)器上允許NetBIOS數(shù)據(jù)報(bào)NetBIOS名字服務(wù)NetBIOS會話本地主機(jī)內(nèi)部所有用戶5你要使用RADIUS認(rèn)證嗎?如果不是�����,禁止此規(guī)則�。允許從ISA防火墻到信任的RADIUS服務(wù)
4�����、器的RADIUS認(rèn)證允許RADIUSRADIUS記賬本地主機(jī)內(nèi)部所有用戶6ISA防火墻將認(rèn)證用戶嗎����?如果沒冇,禁止此規(guī)則���。允許從ISA防火墻到信任的服務(wù)器的Kerberos認(rèn)證允許Kerberos-Sec(TCP)Kerberos-Sec(UDP)本地主機(jī)內(nèi)部所有用戶7允許此規(guī)則后ISA防火墻才能進(jìn)行DNS査詢�。允許從ISA防火墻到選擇的服務(wù)器的DNS協(xié)議允許DNS本地主機(jī)所有網(wǎng)絡(luò)(和本地主機(jī))所冇用戶8如果ISA防火墻不是DHCP客戶,那么禁止此規(guī)則�����。允許從ISA防火墻到所有網(wǎng)絡(luò)的DHCP請求允許DHCP請求本地主
5����、機(jī)任何地點(diǎn)所有用戶9如果ISA防火墻不是DHCP客戶,那么禁止此規(guī)則����。允許從DHCP服務(wù)器到ISA防火墻的DHCP回復(fù)允許DHCP叵廢內(nèi)部本地主機(jī)所有用八10確認(rèn)遠(yuǎn)程管理計(jì)算機(jī)組中的IP是否正確配置。允許從選擇的計(jì)算機(jī)到ISA防火墻的Ping協(xié)議允許Ping遠(yuǎn)程管理計(jì)算機(jī)組本地主機(jī)所冇用戶11允許從ISA防火墻允許ICMPInformationRe本地主機(jī)所有網(wǎng)絡(luò)(和所有用戶如果ISA防火墻需要使用ICMP協(xié)議����,那么必須啟用。到選擇的計(jì)算機(jī)的ICMP(Ping)協(xié)議questICMPTimestampPing本地主機(jī)
6���、)12(默認(rèn)禁止)如果你啟用ISA防火墻的VPN服務(wù)器�����,那么此規(guī)則將會自動啟用�����。VPN客戶訪問ISA防火墻允許PPTP外部木地主機(jī)所有用戶13(默認(rèn)禁止)如果你啟用ISA防火墻的站點(diǎn)到站點(diǎn)的VPN連接���,那么此規(guī)則將會自動啟用�����。允許到ISA防火墻的VPN站點(diǎn)到站點(diǎn)的數(shù)據(jù)傳輸��。允許(空)外部IPSec遠(yuǎn)程網(wǎng)關(guān)本地主機(jī)所有用戶14(默認(rèn)禁止)如果你啟用ISA防火墻的站點(diǎn)到站點(diǎn)的VPN連接�,那么此規(guī)則將會自動啟用����。允許從ISA防火墻發(fā)出的VPN站點(diǎn)到站點(diǎn)的數(shù)據(jù)傳輸。允許(空)本地主機(jī)外部IPSec遠(yuǎn)程網(wǎng)關(guān)所有用戶15你想從I
7����、SA防火墻上訪問文件共享嗎?如果不,禁止此規(guī)則允許從ISA防火墻到信任的服務(wù)器的MicrosoftCIFS協(xié)議允許MicrosoftCIFS(TCP)MicrosoftCIFS(UDP)本地主機(jī)內(nèi)部所有用戶16(默認(rèn)禁止)如果你使用SQLn志記錄���,啟用此規(guī)則�。允許從ISA防火墻到選擇的服務(wù)器的遠(yuǎn)程SQL日志記錄允許MicrosoftSQL(TCP)MicrosoftSQL(UDP)本地主機(jī)內(nèi)部所有用戶17如果你不想讓ISA允許從ISA防火墻使用HTTP/HTTPS訪問指定的站點(diǎn)允許HTTPHTTPS本地主機(jī)系統(tǒng)策略允
8����、許的站點(diǎn)所冇用八防火墻訪問Windows更新��,就禁止此規(guī)則��。18(默認(rèn)禁止)當(dāng)你建立HTTP/HTTPS鏈接性驗(yàn)證時(shí)���,此規(guī)則將自動啟用�。允許為了驗(yàn)證鏈接性而從ISA防火墻使用HTTP/HTTPS訪問指定的站點(diǎn)允許HTTPHTTPS本地主機(jī)所有網(wǎng)絡(luò)(和本地主機(jī))所有用戶19(默認(rèn)禁止)當(dāng)安裝ISA防火墻的防火墻客戶端安裝文件時(shí),會自動啟用此規(guī)則��。
