ISA 2004是一个不错的防火墙安全服务工具,可以帮助我们保护校内计算机的安全,让校内用户在规定权限内安全访问Internet。笔者在配置ISA 2004时,却遇到了许多小麻烦,如自己的DNS服务器不能使用、无法用远程桌面登录自己的ISA 2004服务器、客户端计算机无法向外面的FTP服务器上传文件等。
问题1:不能使用自己的DNS服务器
安装好ISA 2004并创建了“允许内网对外的访问规则”后,校内客户端计算机不能使用域名访问Web,但可以使用IP地址访问。想来想去应该是DNS服务器没能起作用。为了让校内计算机能在局域网中使用域名,笔者在服务器上启用了DNS服务。为方便客户端计算机DNS的设置,我的DNS服务器还起到转向的作用,客户端计算机的DNS只设置为学校内DNS服务器IP地址:192.168.0.1,这样,校内的计算机只能通过学校的DNS服务器转向到“Internet服务供应商(ISP)”提供的DNS上。问题应该出在策略的建立上,因为ISA 2004的访问控制规则和ISA 2000是有区别的,默认为所有的访问都是拒绝的,所以解决的办法是建立一个从内部对本地主机(DNS服务器)的访问策略。
选择“创建新的访问规则”,打开“新建访问规则向导”,创建“内部到本地主机的访问规则”;点击[下一步],在“符合规则条件时要执行的操作”中选择“允许”,在“此规则应用到”中选择“所选的协议”,然后为其添加DNS等协议,或选择“所有出站通讯”让所有的协议通过;单击[下一步],在“访问规则源”中选择添加“网络→内部”,在“访问规则目标”中选择添加“网络→本地主机”,在“用户集”中添加“所有用户”,选择“完成→应用”。经过以上设置,本地客户端计算机就可以使用本地主机的DNS服务器了。
问题2:无法用远程桌面登录
管理自己的ISA服务器
为了便于管理,我需要在校内或校外的其他计算机上用“远程桌面”登录到我的ISA服务器上来。可是ISA服务器设置好后,却无法使用远程桌面从其他计算机登录ISA服务器。按照DNS问题处理的思路,也应该是ISA 2004策略的问题,经实验证明可以通过增加访问规则解决。远程桌面使用的是“协议→远程终端→RDP(终端服务)”协议,端口为3389。方法是创建一个“内部”和“外部”都可以访问“本地主机”的规则,在“此规则应用到”中选择“所选的协议”,然后为其添加“远程终端→RDP(终端服务)协议”(图1)。
图1
问题3:客户端计算机无法进行FTP上传
ISA 2004安装后不久,在学校向教育局的FTP服务器上传材料时,发现内部客户端计算机无法进行FTP上传?仔细检查已经建立可以让FTP协议通过的策略,应当没有问题,可是不管我怎样调试就是不行(内部客户端的计算机可以使用FTP下载文件)。最后在“配置FTP协议策略”属性对话框中,我找到了问题的缘由。在出站的策略“内网对外的访问规则”中添加FTP协议后,右键单击相应的规则,这时在快捷菜单中出现“配置FTP”(图2),选择“配置FTP”,打开“配置FTP协议策略”对话框,把“只读”前的勾选去掉(图 3),问题解决。原来因为默认选择只读,FTP上传也就被阻止了。
图2
图3
总之,我们在使用ISA 2004时,会遇到一些意想不到的问题,关键是我们要多动脑子,有一个好的解决问题的思路。只要我们合理地创建防火墙策略,可以让其为我们的校园网管理发挥更大的作用。