[转载]ISA 2000的访问策略和规则

信息来源：windows 中文站

这个ISA 2000的访问策略和规则，只要依照这个顺序检查你的设置，基本上可以设置正确

关于VPN:
1.允许防火墙内用户拨出到外部VPN服务器设置方法：
右键点击IP packet filter --属性--PPTP--打钩"PPTP Throught ISA Firewall"
重新启动防火墙就可以了
2.使用ISA 作为VPN服务器，有向导工具:
右键点击"network configuration"---Setup Local ISA VPN Server"系统会提示必须启动本地的"RRAS"服务，点击是。然后防火墙会建立相应的规则。重新启动防火墙即可
拨入账户的权限需在Windows 2000 Server 用户管理器中赋予相应的拨入权限即可

关于Ping命令：

1.允许防火墙内网用户ping 外网：
右键点击IP packet filter --属性--general- Enable packet filtering和 Enable Ip routing都打勾，重新启动防火墙就可以了
2.允许Internet Ping防火墙外网：

安装完成后默认的允许规则不要变，在Ip packet filter中添加一条预先定义的协议规则：
ICMP ping query
重新启动防火墙即可.

关于MSN:
MSN中要使用Https协议，如果做了安全策略，但是要使用MSN，记住，一定要允许三个协议:
1. Https (很多人忘记了这一点)
2. MSN
3.Windows Messenger

还需要作到:
1.Ip packet filer 中且不能禁止443端口，不需要开放.但不能禁止
2.安装Fwc 或者使用代理

使用Windows Messenger和/或MSN Messgener进行文件传输，必须开通端口6681－6900。如果这些端口被防火墙封锁，文件传输就无法进行。但是封锁这些端口不会影响即时消息传输。端口1863开通是即时消息传输所必须的。
并且这些端口定义为secondary connection就行,ISA会自动打开相关的端





关于防火墙对于一个内部请求:

1.也就是说，对于一个客户端的Internet请求，既要允许协议规则，且不能拒绝；要允许站点及内容规则，且不能拒绝；Ip 数据报筛选器不能拒绝;那么防火墙就允许此请求
2.对于IP filter ，只要不禁止某一个端口数据，并不需要允许。

3.对于ISA 服务器而言，一定要开放相应的Ip filter,服务器才可以进行相应的Internet程序；比如虽然允许所有的协议，站点及内容的访问，但是并没有在Ip filter 开通outbound 80的端口，服务器仍然不能上网;但是客户端却可是上网。

4.对于FWC客户端而言，只要允许所有的协议，那么都可以通过；但是对于Snat而言，一些特殊的协议，（使用特殊的端口，如5589等或者报税机器，需要连接特定的端口），就会失败；那么需要在Procotol里面自定义一条协议，就可以允许Snat通过ISA服务器和Internet连接。

本文来自：
http://www.isacn.org/bbs/index.php?showtopic=9238