在ISAServer中使用模版创建防火墙策略.docVIP

在ISA Server中使用模版创建防火墙策略 在ISA Server 2004（SP2）服务器中创建访问规则时，除了可以使用各种配置向导外，使用系统提供的网络模版也不失为一种快捷的方式。ISA Server 2004（SP2）提供了5种模版，分别是“边缘防火墙”、“3向外围网络”、“前端防火墙”、“后段防火墙”和“单一网络适配器”。其中边缘防火墙的作用是将网络连接到Internet并防止网络受到入侵，因此其适用范围最为广泛。下面以“边缘防火墙”模版为例介绍创建防火墙访问策略的方法，操作步骤如下所述： 第1步，打开ISA Server 2004（SP2）管理窗口，在左窗格中依次展开“服务器名称”→“配置”目录，并选中“网络”选项。这时右侧的任务窗格中默认打开“模版”选项卡，里面列出了系统内置的五种模版，单击“边缘防火墙”模版，如图2009010625所示。 图2009010625 单击“边缘防火墙”模版 第2步，打开“网络模版向导”，在欢迎页中单击“下一步”按钮。在打开的“导出ISA 服务器的配置”对话框中，如果用户以前没有保存过配置，则可以单击“导出”按钮保存当前配置。由于本例的ISA Server服务器是新配置的，因此单击“导出”按钮，如图2009010626所示。 图2009010626 “导出ISA 服务器的配置”对话框 第3步，在打开的“导出配置”对话框中选择文件保存位置，并选中“ISA服务器导出选项”区域的“导出用户权限设置”和“导出机密信息（将使用加密）”复选框，然后单击“导出”按钮。成功导出配置后单击“确定”按钮，返回“导出ISA服务器的配置”对话框，并单击“下一步”按钮，如图2009010627所示。 图2009010627 成功导出配置 第4步，打开“内部网络IP 地址”对话框，确认向导正确识别了内部网络的IP 地址。在该对话框中，用户可以通过添加IP地址、添加适配器或添加专用地址来添加更多的IP地址。添加到“地址范围”列表框中的IP地址将被允许访问外部网络（Internet），确认内部IP地址范围无误后单击“下一步”继续，如图2009010628所示。 图2009010628 “内部网络IP 地址”对话框 第5步，打开“选择一个防火墙策略”对话框，在“选择一个防火墙策略”列表中选中一个防火墙策略。本例选中“允许无限制的访问”选项，该策略将允许内部网络和VPN客户端网络中的计算机无限制访问Internet。设置完毕单击“下一步”按钮，如图2009010629所示。 图2009010629 “选择一个防火墙策略”对话框 第6步，在打开的完成对话框单击“完成”按钮，返回ISA Server管理窗口。在左窗格中单击“防火墙策略”选项，这时可以在右窗格中看到新建的策略规则。最后依次单击“应用”→“确定”按钮保存更改并更新配置，如图2009010630所示。 图2009010630 应用新配置 小提示：出于安全考虑，ISA Server 2004（SP2）服务器默认不允许FTP上传（即不能向位于外部网络的FTP服务器），用户必须手动取消FTP的“只读”属性才能实现FTP上传。在上述创建的“无限制的Internet访问”策略规则上单击右键，选择“配置FTP”快捷命令。在打开的“配置FTP协议策略”对话框中取消选中“只读”复选框，并依次单击“确定”→“应用”→“确定”按钮保存更改并更新设置，如图2009010631所示。 图2009010631 取消选中“只读”复选框