复习大纲和知识点整理.docxVIP

ISA2006 复习大纲 防火墙的概念及分类，各种防火墙的特点（参考以下文档） Isa2006的安装，两种方式：安装向导和应答文件（参考PDF文档第1篇） 熟练掌握isa中网络实体间的网络规则，即路由和NAT，当两个网络实体间是路由或正向NAT时需创建访问规则，访问规则中协议的方向都不出站，为反向NAT时需创建发布规则，发布规则中协议的方向都为入站，熟练掌握下图： 熟悉防火墙策略元素（参考PDF文档第5篇），深入理解防火墙策略的执行过程（参考PDF文档第6篇），能够熟练的创建防火墙策略，并牢记在使用防火墙策略时的一些注意事项，如拒绝规则放在前面，匹配度高的放在前面等（具体参考：部署防火墙策略的十六条守则.pdf） 熟练掌握以下实验 A:允许内部用户访问INTERNET B:允许ISA访问INTERNET C:允许内部用户访问ISA上的文件服务器 E:允许内部用户和ISA的NETBIOS名称解析（防火墙客户端必需） F:开放内部网络到INTERNET的DNS流量(SNAT客户端上网必需) E:发面内部计算机的远程桌面，发布ISA的远程桌面(涉及端口侦听模式，参考PDF文档第16篇) F:发布内部文件服务器到外网（企业中使用很少，因为不够安全） 熟练掌握ISA的3种客户端：包括配置及各种客户端的特点，如配置方法、支持的协议、支持的操作系统、是否支持身份验证等（参考PDF第2篇及上课时的PPT） 深入理解WPAD原理并能熟练的使用DHCP及DNS服务器支持WPAD。（参考PDF第3，第4篇） ISA支持的缓存类型，四种：正向，反向，链式，阵形式，如何启用缓存？TTL怎样计算？如何创建缓存规则？如何使用自动下载？哪些客户端支持网页缓存？3种客户端都是支持的 如何配置单网上的ISA缓存服务器（参考PDF第27篇） ISA第二次复习—web服务器的发布 熟练掌握以下实验： 使用ISA Server 发布内部单个Web Server 使用ISA Server 发布内部多个Web Server，通过两种方法区分内部站点： 多侦听器：在ISA Server 上创建两个侦听器，如果ISA上只有一个公网IP，可以让同一个IP侦听两个不同的端口，用不同的端口区分两个内部站点；如果ISA上有两个公网IP，可以让这两个IP同时侦听同一个端口，同IP地址区分两个内部站点 Web过滤：Web过滤方式，是通过不同的域名去区分多个内部站点，如果ISA上只有一个公网IP，而如果用多侦听器的方式，则其中一个网站可能要用到非标准（80端口之外）的端口，这样外部客户端访问些网站时要加端口号，多有不便，此时可以用多Web过滤的方式。（参考PDF文档，第10篇） 使用ISA 发布内部虚拟主机（参考PDF文档，第11篇） 使用ISA Server 发布ISA Server 本地的网站：要让外部客户端访问ISA上的网站，有两种方法： 因为外部网站到本地主机的网络规则为路由，可能创建一条访问规则，开放外部到本地主机的http/https流量。让外部客户端直接通过ISA外网卡的公网IP去访问这个网站。 我们通常需要在ISA Server 上发布内部网络中的站点，则需要创建一个侦听80端口的web侦听器。此时，ISA Server本地站点就不能用标准的80端口，客户端在访问这个端点时会多有不便，如果想让外部用户通过80端口访问这个端点，我们可以通过发布规则，把ISA上的端点发布出来，用不同的域名去区别内部站点和ISA本地的站点，并且这种方式比通过创建访问规则直接开放ISA的http/https流量要安全。 使用ISA发布内部安全站点，大体步骤如下： 为内部站点申请证书 为ISA申请证书，（也可将网站证书导出（导出私钥），再导入ISA，即ISA和内部站点用同一张证书） 在ISA上创建网站发布规则，发布安全站点，此时一定要注意以下两点： 发布规则中内部站点的名称，一定要和内部站点证书的公共名称一致 外部客户端访问网站时的名称，一定要和ISA上证书中的公共名称一致 内部WEB服务器、ISA、外部客户端都要信任CA 使用ISA发布内部多个安全站点，两种方式： 多侦听器，为ISA申请两张证书（也可直接将内部站点的证书导入ISA），建立两个侦听器，如果ISA有多个公网IP则，可以让不同的IP同时侦听443；如果只有一个公网IP则有一个网站要用非标准端口。如此，多有不便，可能使用下面这种方法 使用通配符证书：在发布安全站点时，需要外部客户端访问网站时的名称和ISA侦听器中证书的公共名称保持一致，可一个侦听器只能绑定一张证书，并且证书内只有一个公共名称。这样，一个侦听器便只能匹配一个内部站点。如何让同一个侦听器能匹配多个内部站点呢？只要解决了名称匹配的问题就可以了，我们可能为ISA申请一张带有通配符