ISA防火墙的默认系统策略和防火墙设置.docxVIP

I SA防火墙的默认系统策略和防火墙设置 内容概耍^ Tom在这篇文章中对ISA防火墙的系统策略的设置进行了详尽的说明,并H?给出了推荐配置。 除此Z外,述介绍了ISA防火墙的其他的默认配置,对你理解\SA防火墙的初始配置和系统策略有很好的 帮助。 ISA防火墙的系统策略是从本地主机进行访问或者访问本地主机的规则集合，它只与ISA防火墙系统冇关, 你不能为其他网络中的主机配置系统策略。 下农显示了系统策略的淸单，以及它们在安装ISA防火墙Z后的默认配置状态。序号/注释列包含了我们 对于此系统策略规则的建议。 序号/注释 名称 动作 协议 从/侦听器 To 条件 1 ISA防火墙是域成 员吗？如果不是， 禁止此规则。 允许为了进行身份 认证而访问目录服 务 允许 LDAP LDAP (UDP) LDAP GC (global catalog) LDAPS LDAPS GC (Global Catalog) 本地主机 内部 所冇用户 2 如果没有人使用M MC远程管理ISA 防火墙，禁止此规 则。 允许从选择的计算 机上使用MMC远 程管理ISA防火墙 允许 Microsoft Firewall Co ntrol NetBIOS数据报 NetBIOS名字服务 NetBIOS 会话 RPC (all interfaces) 远程管理计算机 组 本地主机 所有用户 3 确认远程管理计算 机组中的IP地址是 否正确进行了配 置。如果没有人使 用终端服务进行远 允许从选择的计算 机上使用终端服务 远程管理ISA防火 墙 允许 RDP （终端服务） 远程管理计算机 组 木地主机 所有用户  程管理ISA防火 墙，禁止此规则。 4 （默认禁止） 如果你想记录日志 到 SQL server 上，启用此规则。 允许使用NetBIO S來远程记录II志 到信任的服务器上 允许 NetBIOS数据报 NetBIOS名字服务 NetBIOS 会话 本地主机 内部 所有用户 5 你要使用RADIUS 认证吗？如果不 是，禁止此规则。 允许从ISA防火墙 到信任的RADIUS 服务器的RADIUS 认证 允许 RADIUS RADIUS记账 本地主机 内部 所有用户 6 ISA防火墙将认证 用户吗？如果没 冇，禁止此规则。 允许从ISA防火墙 到信任的服务器的 Kerberos 认证 允许 Kerberos-Sec (TCP) Kerberos-Sec (UDP) 本地主机 内部 所有用户 7 允许此规则后ISA 防火墙才能进行D NS査询。 允许从ISA防火墙 到选择的服务器的 DNS协议 允许 DNS 本地主机 所有网络（和 本地主机） 所冇用户 8 如果ISA防火墙不 是DHCP客户，那 么禁止此规则。 允许从ISA防火墙 到所有网络的DHC P请求 允许 DHCP请求 本地主机 任何地点 所有用户 9 如果ISA防火墙不 是DHCP客户，那 么禁止此规则。 允许从DHCP服务 器到ISA防火墙的 DHCP回复 允许 DHCP叵废 内部 本地主机 所有用八 1 0 确认远程管理计算 机组中的IP是否正 确配置。 允许从选择的计算 机到ISA防火墙的 Ping协议 允许 Ping 远程管理计算机 组 本地主机 所冇用户 1 1 允许从ISA防火墙 允许 ICMP Information Re 本地主机 所有网络（和 所有用户  如果ISA防火墙需 要使用ICMP协议， 那么必须启用。 到选择的计算机的 ICMP （Ping）协议 quest ICMP Timestamp Ping 本地主机） 12 （默认禁止） 如果你启用ISA防 火墙的VPN服务 器，那么此规则将 会自动启用。 VPN客户访问ISA 防火墙 允许 PPTP 外部 木地主机 所有用户 13 （默认禁止） 如果你启用ISA防 火墙的站点到站点 的VPN连接，那么 此规则将会自动启 用。 允许到ISA防火墙 的VPN站点到站点 的数据传输。 允许 （空） 外部 IPSec远程网关 本地主机 所有用户 14 （默认禁止） 如果你启用ISA防 火墙的站点到站点 的VPN连接，那么 此规则将会自动启 用。 允许从ISA防火墙 发出的VPN站点到 站点的数据传输。 允许 （空） 本地主机 外部 IPSec远程 网关 所有用户 1 5 你想从ISA防火墙 上访问文件共享 吗?如果不,禁止 此规则 允许从ISA防火墙 到信任的服务器的 Microsoft CIFS 协议 允许 Microsoft CIFS (TCP) Microsoft CIFS (UDP) 本地主机 内部 所有用户 16 （默认禁止） 如果你使用SQL n 志记录，启用此规 则。 允许从ISA防火墙 到选择的服务器的 远程SQ