ISA Server 2000 问与答

ISA Server 2000 问与答
   问：我的装有ISA的机器上有两块网卡，Oracle数据库服务器在外面，IIS的服务器在内部。客户端都是用防火墙客户端。配置完协议规则后，从内部用Oracle的工具和Borland BDE连接Oracle服务器都没有问题，但是，通过IIS使用ASP来连接Oracle数据库就有问题，返回错误。将协议规则设为全部“All IP Traffic”也是同样现象，我应如何处理？

答：我觉得您可做如下工作：
1.确定没有在Oracle服务器上安装ISA的客户端程序；
2.将ISA内部网卡IP作为Oracle服务器的网关使用；
3.将Oracle服务器作为一个Server publishing发布出去，否则访问肯定有问题。
ISA没有内置对Oracle 数据库的发布功能，但有SQL Server的发布功能。

问：现在很多FTP Server为了躲避端口扫描，大多使用非标准21端口，为了在内网上连接这些FTP服务器，难道要我一个端口一个端口地打开吗？有其他办法吗？

答：原因是这样的， 因为非标准的FTP协议需要在ISA中自己定义一个protocol element，所以在不能确定的情下，Firewall Client能够通过Control Channel传送客户机和ISA之间的数据。另外FTP需要有Application Filter的支持，自己写一个Filter也是可以达到这样效果的。

问：公司新装ISA Server 2000，外地的公司内部网电脑无法通过路由器ping到本地的ISA服务器！本地可以ping到外地公司内部网络，这到底是什么原因？

答：很简单，ISA默认不响应ICMP请求，您在Protocal里面可以设置的。

问：请问怎么样通过设置ISA来禁止内部人员下载？

答：可以根据要下载东西的content-type来限制下载，ISA默认的content group非常多，常用的和不常用的几乎都有，平时下载流量最大的不外乎是一些媒体文件或是以“exe”、“zip”、“rar”为后缀的文件，默认的content-type非常多，没有的可以手动添加，比如 “.rm”，它的content-type是“application/octet-stream”。经过试验发现大多数新添加的扩展名的类型都是它，要注意的是以前我用Wingate时只需要添加要限制的扩展名就行了，但ISA的限制功能更加精细，仅仅添加“.*”扩展名而不添加content-type是不起作用的。另外，同样的扩展名可能有多个不同的content-type，比如：“.zip”做了限制后有时还能下载，ISA默认的只有“application/x-zip-compressed”，我们需要根据情况手动添加新的content-type，目前我知道的还有“application/zip”。“.rar”的是“application/x-rar-compressed”，其他的可以自行查找。

问：我已经将ISA Server和IIS安装在同一台服务器中了，但是我即使将IIS服务停止也无法使用Web Publish发布内部站点，请问一定要先卸载掉IIS吗？

答：对于IIS与ISA在同一台计算机的情况下，您需要注意以下问题：
1.确保IIS与ISA没有使用相同的端口；
2.使用包过滤来发布ISA计算机上的IIS站点。

问：在我的局域网中，ISA Server已经加入域了，而且域用户都可以在这台服务器上登录到域。但是客户端仍然只能用ISA Server上的本地用户身份才能上外网，用域用户身份不能上外网？

答：如果是这样，我认为还是您设置的规则有问题，如果您有多条规则，仔细确认一下规则之间是否产生了矛盾。

问：在ISA Server上安装Firewall Client安全吗？

答：绝对不要在ISA服务器上安装客户端程序。

问：怎么样才能让客户端可以上网，但不能收发邮件，包括不能收发Web方式的邮件？

答：通过限制Web页面发邮件，是不可行的；但不通过Web 的限制，那是可以实现的。
如果只是限制在客户端软件（例如Outlook Express）收发邮件，只需要限制smtp、pop3协议即可。

问：在ISA Server 2000上怎么做到限制客户端上一些特定的网站啊？

答：首先要创建“Destination Set”，然后在规则中使用它建立目的站点的集合，再订立站点及内容规则，选取Deny规则，将建立的目的站点集合选择进来，即可限制了。

问：能不能实现这样的一个功能：整个内网通过一个网关上网，然后我在内网中有一台服务器，使用ISA让外网的用户访问到我内网中这台服务器上的服务？

答：如果想让外部用户访问到您的内部服务器，最好是有固定IP地址如果没有，您可以创建VPN环境，外部用户可以通过VPN来访问您的内部网络。
对于出站访问，不论是拨号还是专线都是可以的。

问：装了ISA后，打开Web端口，客户可以上网，ISA主机不能上网，错误提示是解析的问题，主机用ADSL+双网卡，主机有DNS转向到202.96.209.5。客户DNS制定为ISA主机。
为什么会出现不能解析的情况？

答：对于拨号上网的ISA计算机，必须独立配置包过滤以后才可以使用。您需要添加两条规则：
1、HTTP 80，tcp 方面：outbound，local port:any，remote port:fix:80；
2、DNS 53，udp，direction:send and receive，loca/remote:fixed 53。
然后重新启动ISA服务就可以了。

问：我在ISA里Protocal和Filter中都打开了smtp、pop的端口，为什么客户端还是没法收发邮件啊？

答：除了这两个外，您还需要用户有DNS Query权限，否则smtp地址无法被解析，用户还是收不了邮件的。

问：在ISA的网络中，我想禁止MS Messenger的使用，有办法吗？它使用哪个端口？是不是禁用端口就可以了？

答：在“Protocols Rules”中，添加规则时，选择“All Traffic Except Specified”，然后停用1863端口后试试。

配置ISA Server阵列（1）：【上一篇】
用ISA Server为虚拟专用网络提供安全保障（3）：【下一篇】