被隔离的 VPN 客户端的防火墙策略

防火墙策略用于控制被隔离的 VPN 客户端网络可以对网络资源执行的访问。这些资源可能包括验证用户身份的 RADIUS 服务器或域控制器、提供防病毒软件和签名更新的服务器，以及向 VPN 客户端提供 IP 地址的 DHCP 服务器。

要允许访问某项资源，可以创建访问规则，以被隔离的 VPN 客户端网络为源，并以需要访问的服务器为目标。为此，需要为每台服务器创建计算机规则元素，以便它可以在访问规则中使用。或者可以创建一个计算机集，其中包含已隔离客户端需要访问的所有计算机；同时创建访问规则，以被隔离的 VPN 客户端网络为源，并以计算机集为目标。另外一种方法是，对网络进行设计，使需要访问的所有服务器都属于一个子网，然后定义一个在访问规则中使用的子网规则元素。

有关防火墙策略的更多信息，请参阅防火墙策略规则概述。

下面是一些相关的示例，用于说明可以赋予被隔离的 VPN 客户端网络的访问类型。该列表中的前三项表示网络策略需求脚本所需的访问。如果没有该脚本，则无法将客户端发布到 VPN 客户端网络。请记住，特定于客户端的连接管理器可能需要通过指定的协议对指定的服务器进行访问。请向连接管理器的创建者咨询，以便确定所需的访问规则。

允许对内部网络中的 LDAP 服务器进行查询。
允许与域控制器进行通讯。
允许被隔离的 VPN 客户端对 DNS 服务器执行 DNS 查询。
允许被隔离 VPN 客户端与 WINS 服务器进行 WINS 通讯。

注意

可以从 ISA 服务器网站上获得 ConfigureRQSForISA.vbs 脚本。该脚本用于创建 ISA 服务器访问规则。借助这个规则，VPN 客户端网络和被隔离 VPN 客户端网络可以在 RQS 端口 (7250) 上与本地主机网络进行通讯。要使 ISA 服务器计算机能够收到客户端已满足连接要求的通知，就必须这样做。

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。