ISA防火墙的默认系统策略和防火墙设置
核心提示:内容概要:Tom在这篇文章中对ISA防火墙的系统策略的设置进行了详尽的说明,并且给出了推荐配置。除此之外,还介绍了ISA防火墙的其他的默认配置,对你理解ISA防火墙的初始配置和系统策略有很好的帮助。
关 键 字:ISA防火墙的默认系统策略和防火墙设置
ISA防火墙的系统策略是从本地主机进行访问或者访问本地主机的规则集合,它只与ISA防火墙系统有关,你不能为其他网络中的主机配置系统策略。
下表显示了系统策略的清单,以及它们在安装ISA防火墙之后的默认配置状态。序号/注释列包含了我们对于此系统策略规则的建议。
序号/注释 |
名称 |
动作 |
协议 |
从/侦听器 |
To |
条件 |
1 ISA防火墙是域成员吗?如果不是,禁止此规则。 |
允许为了进行身份认证而访问目录服务 |
允许 |
LDAP LDAP (UDP) LDAP GC LDAPS LDAPS GC |
本地主机 |
内部 |
所有用户 |
2 如果没有人使用MMC远程管理ISA防火墙,禁止此规则。 |
允许从选择的计算机上使用MMC远程管理ISA防火墙 |
允许 |
Microsoft Firewall Control NetBIOS数据报 NetBIOS名字服务 NetBIOS会话 RPC (all interfaces) |
远程管理计算机组 |
本地主机 |
所有用户 |
3 确认远程管理计算机组中的IP地址是否正确进行了配置。如果没有人使用终端服务进行远程管理ISA防火墙,禁止此规则。 |
允许从选择的计算机上使用终端服务远程管理ISA防火墙 |
允许 |
RDP (终端服务) |
远程管理计算机组 |
本地主机 |
所有用户 |
4 (默认禁止) 如果你想记录日志到SQL server上,启用此规则。 |
允许使用NetBIOS来远程记录日志到信任的服务器上 |
允许 |
NetBIOS 数据报 NetBIOS 名字服务 NetBIOS 会话 |
本地主机 |
内部 |
所有用户 |
5 你要使用RADIUS 认证吗?如果不是,禁止此规则。 |
允许从ISA防火墙到信任的RADIUS服务器的RADIUS认证 |
允许 |
RADIUS RADIUS 记账 |
本地主机 |
内部 |
所有用户 |
6 ISA防火墙将认证用户吗?如果没有,禁止此规则。 |
允许从ISA防火墙到信任的服务器的Kerberos认证 |
允许 |
Kerberos-Sec (TCP) Kerberos-Sec (UDP) |
本地主机 |
内部 |
所有用户 |
7 允许此规则后ISA防火墙才能进行DNS查询。 |
允许从ISA防火墙到选择的服务器的DNS协议 |
允许 |
DNS |
本地主机 |
所有网络(和本地主机) |
所有用户 |
8 如果ISA防火墙不是DHCP客户,那么禁止此规则。 |
允许从ISA防火墙到所有网络的DHCP请求 |
允许 |
DHCP 请求 |
本地主机 |
任何地点 |
所有用户 |
9 如果ISA防火墙不是DHCP客户,那么禁止此规则。 |
允许从DHCP服务器到ISA防火墙的DHCP回复 |
允许 |
DHCP 回复 |
内部 |
本地主机 |
所有用户 |
10 确认远程管理计算机组中的IP是否正确配置。 |
允许从选择的计算机到ISA防火墙的Ping协议 |
允许 |
Ping |
远程管理计算机组 |
本地主机 |
所有用户 |
11 如果ISA防火墙需要使用ICMP协议,那么必须启用。 |
允许从ISA防火墙到选择的计算机的ICMP(Ping)协议 |
允许 |
ICMP Information Request ICMP Timestamp Ping |
本地主机 |
所有网络(和本地主机) |
所有用户 |
12 (默认禁止) 如果你启用ISA防火墙的VPN服务器,那么此规则将会自动启用。 |
VPN客户访问ISA防火墙 |
允许 |
PPTP |
外部 |
本地主机 |
所有用户 |
13 (默认禁止) 如果你启用ISA防火墙的站点到站点的VPN连接,那么此规则将会自动启用。 |
允许到ISA防火墙的VPN站点到站点的数据传输。 |
允许 |
(空) |
外部 IPSec远程网关 |
本地主机 |
所有用户 |
14 (默认禁止) 如果你启用ISA防火墙的站点到站点的VPN连接,那么此规则将会自动启用。 |
允许从ISA防火墙发出的VPN站点到站点的数据传输。 |
允许 |
(空) |
本地主机 |
外部 IPSec远程网关 |
所有用户 |
15 你想从ISA防火墙上访问文件共享吗?如果不,禁止此规则 |
允许从ISA防火墙到信任的服务器的Microsoft CIFS协议 |
允许 |
Microsoft CIFS (TCP) Microsoft CIFS (UDP) |
本地主机 |
内部 |
所有用户 |
16 (默认禁止) 如果你使用SQL日志记录,启用此规则。 |
允许从ISA防火墙到选择的服务器的远程SQL日志记录 |
允许 |
Microsoft SQL (TCP) Microsoft SQL (UDP) |
本地主机 |
内部 |
所有用户 |
17 如果你不想让ISA防火墙访问Windows更新,就禁止此规则。 |
允许从ISA防火墙使用HTTP/HTTPS访问指定的站点 |
允许 |
HTTP HTTPS |
本地主机 |
系统策略允许的站点 |
所有用户 |
18 (默认禁止) 当你建立HTTP/HTTPS链接性验证时,此规则将自动启用。 |
允许为了验证链接性而从ISA防火墙使用HTTP/HTTPS访问指定的站点 |
允许 |
HTTP HTTPS |
本地主机 |
所有网络(和本地主机) |
所有用户 |
19 (默认禁止) 当安装ISA防火墙的防火墙客户端安装文件时,会自动启用此规则。 |
允许从信任的计算机访问ISA防火墙上的防火墙客户端安装共享 |
允许 |
Microsoft CIFS (TCP) Microsoft CIFS (UDP) NetBIOS数据报 NetBIOS名字服务 NetBIOS会话 |
内部 |
本地主机 |
所有用户 |
20 (默认禁止) 如果你想远程监控ISA防火墙的性能日志,启用此规则。 |
允许从信任的服务器到ISA防火墙的远程性能监视 |
允许 |
NetBIOS数据报 NetBIOS名字服务 NetBIOS会话 |
远程管理计算机组 |
本地主机 |
所有用户 |
21 你想从ISA防火墙上访问文件共享吗?如果不,禁止此规则 |
允许从ISA防火墙到信任计算机的NetBIOS协议 |
允许 |
NetBIOS数据报 NetBIOS名字服务 NetBIOS会话s |
本地主机 |
内部 |
所有用户 |
22 如果你不在ISA防火墙上使用RPC来连接其他服务器,禁止此规则。 |
允许从ISA防火墙到信任计算机的RPC协议 |
允许 |
RPC (all interfaces) |
本地主机 |
内部 |
所有用户 |
23 此规则允许ISA防火墙向微软发送错误报告。 |
允许从ISA防火墙到微软错误报告站点的HTTP/HTTPS |
允许 |
HTTP HTTPS |
本地主机 |
微软错误报告站点 |
所有用户 |
24 (默认禁止) 如果使用SecurID认证,启用此规则。 |
允许从ISA防火墙到信任服务器的SecurID认证 |
允许 |
SecurID |
本地主机 |
内部 |
所有用户 |
25 (默认禁止) 如果你使用MOM,那么启用此规则。 |
允许从ISA防火墙到信任的服务器使用Microsoft Operations Manager (MOM)代理进行远程监视 |
允许 |
Microsoft Operations Manager Agent |
本地主机 |
内部 |
所有用户 |
26 (默认禁止) 如果你想让ISA防火墙访问CRL,则启用此规则。 |
为了下载CRL,允许从ISA防火墙到所有网络的HTTP协议 |
允许 |
HTTP |
本地主机 |
所有网络(和本地主机) |
所有用户 |
27 可能你需要根据你的NTP服务器的位置来修改规则。 |
允许从ISA防火墙到信任的NTP服务器的NTP协议 |
允许 |
NTP (UDP) |
本地主机 |
内部 |
所有用户 |
28 如果你没有部署使用SMTP来发送警告,可以禁止此规则。 |
允许从ISA防火墙到信任的服务器的SMTP协议 |
允许 |
SMTP |
本地主机 |
内部 |
所有用户 |
29 (默认禁止) 当启用内容下载任务时,此规则会自动启用。 |
为了完成内容下载任务,允许从ISA防火墙到选择的计算机的HTTP协议 |
允许 |
HTTP |
本地主机 |
所有网络(和本地主机) |
本地系统账户和网络服务账户 |
30 如果你不使用远程MMC进行管理,禁止此规则 |
允许微软防火墙控制服务和选择的计算机进行通信。 |
允许 |
所有出站通讯 |
本地主机 |
远程管理计算机组 |
所有用户 |
ISA防火墙的系统策略在任何用户定义的规则前执行。你可以通过点击任务面板中的编辑系统策略链接来编辑系统策略,这样打开了系统策略编辑器。 对于每个系统策略,有一个常规标签和从或到标签。常规标签对规则的作用进行了解释,从或到标签允许你控制进入ISA防火墙或者从ISA防火墙发起的连接。
下表显示了ISA防火墙安装之后的其他默认配置情况:
项目 |
默认设置 |
用户权限 |
本地计算机上的管理员组可以配置防火墙策略。如果ISA防火墙是域成员,域管理员全局组自动包含在本地计算机管理员组中。 |
定义内部网络 |
内部网络包含了你在安装过程中指定的IP地址范围。 |
网络规则 |
|
防火墙策略 |
只有一个默认规则,拒绝所有网络间的通讯。 |
系统策略 |
ISA防火墙默认配置只允许某些重要的服务进行访问,还是比较安全。在安装过程中,为了访问某些必需的服务,会启用某些必需的系统策略。我们推荐你检查系统策略,并根据你的网络环境进行自定义。 |
Web链 |
一个默认规则指定所有Web代理客户直接从Internet获取数据。 |
缓存 |
默认缓存尺寸设置为0(禁用缓存功能)。 |
警告 |
大部分警告是启用的。我们推荐你根据你的网络环境来进行自定义。 |
客户端配置 |
在安装和配置的时候,防火墙客户和Web代理客户都是启用了自动发现。防火墙客户上的Web浏览器程序在安装防火墙客户端时会自动进行配置。 |
ISA防火墙的默认系统策略和防火墙设置相关推荐
- linux下防火墙脚本,Linux系统如何修改防火墙配置
这篇文章主要介绍了Linux系统如何修改防火墙配置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 改Linux系统防火墙配置需要修改 /etc/sy ...
- linux中关于防火墙的命令,Linux系统中查看防火墙的命令详解
Linux系统中如果要查看到防火墙的状态信息要怎么办呢?下面由学习啦小编为大家整理了Linux系统中查看防火墙的命令详解,希望对大家有帮助! Linux系统中查看防火墙的命令详解:一.service方 ...
- 快速入门linux系统的iptables防火墙 1 本机与外界的基本通信管理
概述 iptables是一种运行在linux下的防火墙组件,下面的介绍可以快速的学习iptables的入门使用. 特点(重要) 它的工作逻辑分为 链.表.规则三层结构. 数据包通过的时候,在对应表中, ...
- Linux系统中的防火墙的实现:iptables/netfilter
防火墙:包括软件防火墙(基于iptables/netfilter的包过滤防火墙)和硬件防火墙,在主机或网络边缘对经由防火墙的报文以一定条件进行检测过滤的一系列组件. Linux系统中的防火墙的实现: ...
- Linux系统的iptables防火墙、SNAT、DNAT原理与设置规则
Linux的iptables防火墙.SNAT.DNAT 一.iptables概述 1.netfilter/iptables关系 2.四表五链 四表 五链 规则表之间的优先顺序 规则链之间的匹配顺序 二 ...
- linux系统之网络防火墙(firewalld服务和iptables服务)
一.对于防火墙的理解 防火墙,其实就是用于实现Linux下访问控制的功能的,它分为硬件的和软件的两种. 无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘. 而我们的任务就是需要去定义到底防火墙如 ...
- 【内网安全-防火墙】防火墙、协议、策略
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
- Linux系统如何关闭防火墙【linux系统防火墙】
Linux系统如何关闭防火墙 linux系统防火墙的打开和关闭centos7和之前的版本的略有差别. 一.centos7之前的版本可以通过iptables相关命令实现防火墙的打开和关闭 1.首先可以在 ...
- 基于Linux系统的包过滤防火墙
第1 章.基于路由器的包过滤防火墙 1.1 包过滤防火墙的一般概念 1.1.1 什么是包过滤防火墙 包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运.它可能会决定 ...
最新文章
- Incompatible JavaHL library loaded. Subversion 1.8.x required.
- 【Python CheckiO 题解】Remove Accents
- Android Studio无线连接设备调试,比数据线更方便
- Putty 重新启动 linux sqlserver服务
- Dart学习笔记01:环境搭建与开发环境配置
- 基于 Octotree 的[码云]文件树插件
- 运营商级ICT项目建设之雪亮工程方案,提升群众安全感
- 百度有趣的面试智力题
- android 菜鸟面单打印_android菜鸟 实战项目之简单界面实现
- 大数据的一些基本概念
- 苹果手机更新后开不了机_苹果7突然黑屏,苹果7开不了机
- android MVC,MVP,MVVM
- h5前端调用android拍照功能,H5调用Android拍照和摄像以及选取相册
- 正则表达式判断手机号的运营商(电信移动联通)
- 考研数据结构学习笔记.树的常考性质
- 大数据科学相关岗位,需要具备哪些数学基础?
- 记录下服务器电源的功率计算
- PTA: 小H小W爱魔法
- 构造法 | 栈 | POJ3295.Tautology
- 卫生纸玫瑰花折法5步_卫生纸纸玫瑰的折法