多数 ISA Server 2000 访问策略规则都升级到 ISA Server 2004,详细信息如下所述。
ISA Server 2004 不支持带宽规则(以及相关联的策略元素)。将不对这些规则进行升级。
ISA Server 2000 数据包筛选器在 ISA Server 2004 中不是明确可配置的。ISA Server 2000 中的数据包筛选器用于:
如果在 ISA Server 2000 上禁用数据包筛选,则将允许本地主机和外围网络的所有通讯,并且将忽略数据包筛选器。迁移 ISA Server 2000 的配置时,ISA Server 2000 数据包筛选器将随之迁移到 ISA Server 2004。
下表列出了自定义 ISA Server 2000 数据包筛选器如何升级为 ISA Server 2004 访问规则。
属性 | ISA Server 2000 数据包筛选器 | ISA Server 2004 访问规则 |
---|---|---|
名称、描述、服务器,启用 | 与 ISA Server 2000 的值相同 | |
ISA Server 2000 IP 协议升级为 ISA Server 2004:协议定义 | TCP、UDP、ICMP 或自定义 IP 协议 | 相同的协议 |
任意 | 无新协议,并且迁移工具将协议设置为“所有出站 IP 通讯” | |
协议号 | 相同的协议号 | |
本地端口 | 在访问规则中定义的源端口,以及在协议连接中定义的目标端口(或源端口,取决于协议方向) | |
本地端口号 | 源端口范围(位于访问规则的“协议”选项卡) | |
方向 | 出站 | 出站 |
入站 | 出站(“到”和“从”字段相应发生变化) | |
发送接收 | 发送接收 | |
接收发送 | 发送接收(“到”和“从”字段相应发生变化) | |
ISA Server 2000:“本地计算机(应用于)”升级为 ISA Server 2004:访问规则“到”属性 | 默认 IP 地址 | 本地主机网络 |
本地计算机设置为 ISA Server 2000 计算机的 IP 地址 | 具有 ISA Server 2004 计算机 IP 地址的计算机元素 | |
设置为特定 IP 地址的本地计算机 | 具有特定 IP 地址的计算机元素 | |
设置为外围网络的本地计算机 | 具有外围网络 IP 地址的地址范围对象 | |
ISA Server 2000:“远程计算机(应用于)”升级为 ISA Server 2004:访问规则“从”属性 | 所有远程计算机 | 所有外部网络 |
此远程计算机 | 设置为远程计算机 IP 地址的计算机对象 | |
此计算机范围 | 具有指定地址范围的子网 |
注意
拒绝访问的访问规则(创建用于替换 ISA Server 2000 数据包筛选器)将被首先排序。随后对允许访问的规则进行排序,如下表所述。
ISA Server 2000 | ISA Server 2004 |
---|---|
具有下列属性的数据包筛选器
|
具有下列属性的访问规则:
|
ISA Server 2000 包含若干预定义的 IP 数据包筛选器。迁移工具基于这些 IP 数据包筛选器创建系统策略规则。详细信息如下表所述。
ISA Server 2000 IP 数据包筛选器 | ISA Server 2004 系统策略规则 |
---|---|
DHCP Client | 允许来自防火墙的 DHCP 请求 |
DNS 筛选器 | 从本地主机到任何位置的 DNS |
ICMP 出站 | 从防火墙到任何位置的 ICMP |
ICMP Ping 响应(入)、ICMP 超时(入)、ICMP 源抑制、ICMP 无法连接(入) | 允许从防火墙到网络的所有 ICMP |
IP 回复(超时) | 允许从信任服务器到防火墙的所有 ICMP (PING) |
运行 ISA 服务器迁移工具时,可以选择是否允许从内部网络到 ISA 服务器计算机的通讯。如果选择此选项,将创建允许从内部网络到本地主机网络以及相反方向上的通讯的规则。
ISA Server 2000 访问策略包括协议规则、站点和内容规则。ISA Server 2004 仅包括访问规则(基于初始协议规则的组合)、站点和内容规则。
ISA Server 2000 协议规则升级为 ISA Server 2004 访问规则。大多数属性直接升级到 ISA Server 2004。“应用于”属性升级的详细情况如下表所示。
ISA Server 2000 协议规则 | ISA Server 2004 访问规则 |
---|---|
任何请求 | 源网络设置为“内部”和“本地主机”。 |
客户端地址组 | “从”被设置为一个有特定 IP 地址的计算机集,该地址在初始客户端地址组内。 源网络设置为“内部”。 |
用户和组 | “从”被设置为一个用户集,该用户集拥有最初指定的特定用户。 源网络被设置为“内部”。 |
请注意,第三方应用程序筛选器不升级。类似情况,任何使用这些应用程序筛选器安装的协议定义也不升级。任何应用于这些协议定义的规则不升级。
您可以配置 ISA Server 2000 注册表项 IgnoreContentTypeIfNotApplicable,来确定没有应用于 HTTP 的协议规则是否忽略了内容组。如果启用此注册表项,则迁移工具将为应用于 HTTP 和其他协议的任何协议规则创建两个访问规则。例如,如果 ISA Server 2000 包括一个应用于 POP3 和 HTTP 协议的协议规则,则迁移工具将在 ISA Server 2004 上创建两个访问规则:一个用于 POP3,另一个用于 HTTP。
ISA Server 2000 访问策略包括协议规则、站点和内容规则。ISA Server 2004 仅包括访问规则(基于初始协议规则的组合)、站点和内容规则。
ISA Server 2000 站点和内容规则升级为 ISA Server 2004 访问规则。大多数属性直接升级到 ISA Server 2004。“应用于”属性升级的详细情况如下表所示。
ISA Server 2000 站点和内容规则 | ISA Server 2004 访问规则 |
---|---|
任何请求 | 源网络设置为“内部”和“本地主机”。 |
客户端地址组 | “从”被设置为一个有特定 IP 地址的计算机集,该地址在初始客户端地址组内。 源网络设置为“内部”和“本地主机”。 |
用户和组 | “从”被设置为一个用户集,该用户集拥有最初指定的特定用户。 源网络被设置为“内部”。 |
您可以配置 ISA Server 2000 注册表项 IgnoreContentTypeIfNotApplicable,来确定没有应用于 HTTP 的协议规则是否忽略了内容组。如果启用此注册表项,则迁移工具将为应用于 HTTP 和其他协议的任何协议规则创建两个访问规则。例如,如果 ISA Server 2000 包括一个应用于 POP3 和 HTTP 协议的协议规则,则迁移工具将在 ISA Server 2004 上创建两个访问规则:一个用于 POP3,另一个用于 HTTP。
当升级到 ISA Server 2004 时,某些协议规则以及站点和内容规则将合并成一个访问规则。
下表详细说明了新访问规则的命名约定。
ISA Server 2000 规则 | ISA Server 2004 规则名称 | 示例 |
---|---|---|
协议拒绝规则 | ISANumber-ISA_Rule_Name | ISA12-DenyNimda |
站点和内容拒绝规则 | ISANumber-ISA_Rule_Name | ISA13-BlockBadStuff |
数据包筛选器 | ISANumber-ISA_Rule_Name | ISA14-ICMP |
双向数据包筛选器 | ISANumber-ISA_Rule_Name(Inbound) ISANumber-ISA_Rule_Name(Outbound) |
ISA18-NNMP(Inbound) ISA19-NNMP(Outbound) |
合并后的协议以及站点和内容规则 | ISANumber-ISA_Rule_Name+ISA_Rule_Name | ISA15_InternetAccess+BlockBadStuff |