 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
当启用系统策略配置组时,启用一个或多个系统策略规则。在安装过程中,规则适用于下表中列出的特定网络。可以随后修改这些规则所适用的网络。
当禁用系统策略配置组时,不需要阻止使用特定协议。这是因为不同配置组启用的不同规则中可能指定了相同的协议。
可以在“防火墙策略”详细信息窗格中显示或隐藏系统策略规则。有关说明,请参阅显示系统策略规则。
下表列出系统策略方案组、配置组、与每个类别相关的规则名称以及每个规则的简短说明。
| 方案组 | 配置组 | 规则名称 | 规则说明 |
|---|---|---|---|
| 网络服务 | DHCP | 允许将来自 ISA 服务器的 DHCP 请求发送到内部网络 允许将来自 DHCP 服务器的 DHCP 回复发送到 ISA 服务器 |
允许 ISA 服务器计算机使用 DHCP(回复)和 DHCP(请求)协议访问内部网络。 |
| 网络服务(使用 DNS 的名称解析) | DNS | 允许从 ISA 服务器到所选服务器使用 DNS |
允许 ISA 服务器计算机使用 DNS 协议访问所有网络。 |
| 网络服务(时间配置) | NTP | 允许从 ISA 服务器到受信任的 NTP 服务器使用 NTP | 允许 ISA 服务器计算机使用 NTP (UDP) 协议访问内部网络。 |
| 身份验证(Windows 用户身份验证) | Active Directory | 允许为了进行身份验证而访问目录服务 允许从 ISA 服务器到受信任的服务器使用 RPC 允许从 ISA 服务器到受信任的服务器使用 Microsoft CIFS 允许从 ISA 服务器到受信任的服务器使用 Kerberos 身份验证 |
允许 ISA 服务器计算机使用各种 LDAP 协议、RPC(所有接口)协议、各种 Microsoft CIFS 协议、各种 Kerberos 协议并使用 Active Directory® 目录服务来访问内部网络。 |
| 身份验证服务 | RSA SecurID | 允许从 ISA 服务器到受信任的服务器使用 SecurID 身份验证 | 允许 ISA 服务器计算机使用 RSA SecurID® 协议访问内部网络。 |
| 身份验证服务 | RADIUS | 允许从 ISA 服务器到受信任的 RADIUS 服务器使用 RADIUS 身份验证 | 允许 ISA 服务器计算机使用各种 RADIUS 协议访问内部网络。 |
| 身份验证服务 | 证书吊销列表 | 允许从 ISA 服务器到所有网络使用 HTTP 来进行 CRL 下载 | 身份验证服务:允许从 ISA 服务器到所选网络使用 HTTP 来下载更新的证书吊销列表 (CRL) |
| 远程管理 | Microsoft Management Console | 允许使用 MMC 从所选计算机进行远程管理 允许 MS 防火墙控制与所选计算机进行通信 |
允许内部网络中的计算机使用 MS 防火墙控制和 RPC(所有接口)协议访问 ISA 服务器计算机。 |
| 远程管理 | 终端服务器 | 允许使用终端服务从所选计算机进行远程管理 | 允许内部网络中的计算机使用 RDP(终端服务)协议访问 ISA 服务器计算机。 |
| 远程管理 | ICMP (ping) | 允许将来自所选计算机的 ICMP (PING) 请求发送到 ISA 服务器 | 允许内部网络中的计算机使用 Ping 协议访问 ISA 服务器计算机,反之亦然。 |
| 防火墙客户端(访问防火墙客户端共享) | 防火墙客户端设置 | 允许从受信任的计算机访问到 ISA 服务器上的防火墙客户端安装共享 | 允许内部网络中的计算机使用各种 Microsoft CIFS 和 NetBIOS 协议访问 ISA 服务器计算机。启用此规则之后,允许从在此指定的任何网络或计算机访问使用 SMB 的 ISA 服务器计算机。也就是说,访问不只限于防火墙客户端安装共享文件夹。 |
| 诊断服务 | ICMP | 允许将来自 ISA 服务器的 ICMP 请求发送到所选服务器 | 允许 ISA 服务器计算机使用各种 ICMP 协议和 Ping 协议访问所有网络。 |
| 诊断服务 | Windows 网络 | 允许从 ISA 服务器到受信任的服务器使用 NetBIOS | 允许 ISA 服务器计算机使用各种 NetBIOS 协议访问所有网络。 |
| 诊断服务(Microsoft 错误报告) | 与 Microsoft 的通讯 | 允许从 ISA 服务器到指定的 Microsoft 错误报告站点使用 HTTP/HTTPS | 允许 ISA 服务器计算机使用 HTTP 或 HTTPS 协议访问 Microsoft 错误报告站点 URL 集的成员。 |
| 日志 | 远程日志记录 (NetBIOS) | 允许使用 NetBIOS 远程登录到受信任的服务器 | 允许 ISA 服务器计算机使用各种 NetBIOS 协议访问内部网络。 |
| 日志 | 远程日志记录 (SQL) | 允许从 ISA 服务器到所选服务器使用远程 SQL 日志记录 | 允许 ISA 服务器计算机使用 Microsoft (SQL) 协议访问内部网络。 |
| 远程监视 | 远程性能监视 | 允许从受信任的服务器对 ISA 服务器进行远程性能监控 | 允许内部网络中的计算机使用各种 NetBIOS 协议访问 ISA 服务器计算机。 |
| 远程监视 | Microsoft Operations Manager | 允许使用 Microsoft Operations Manager (MOM) 代理,从 ISA 服务器到受信任的服务器进行远程监控 | 允许 ISA 服务器计算机使用 Microsoft Operations Manager 代理访问内部网络。 |
| 远程监视(邮件警报) | SMTP | 允许从 ISA 服务器到受信任的服务器使用 SMTP | 允许 ISA 服务器计算机使用 SMTP 协议访问内部网络。 |
| 各种(缓存) | 计划的下载任务 | 允许从 ISA 服务器到所选的计算机使用 HTTP 执行内容下载任务 | 允许 ISA 服务器计算机使用 HTTP 协议访问所有网络。 |
| 各种(对 Microsoft 站点的访问) | 允许的站点 | 允许将来自 ISA 服务器的 HTTP/HTTPS 请求发送到指定站点 | 允许 ISA 服务器计算机使用 HTTP 和 HTTPS 协议访问“系统策略允许的站点 URL”集的成员。 |
除了上表中列出的规则,系统策略还包括适用于虚拟专用网络 (VPN) 配置的下列规则:
当启用虚拟专用网络时启用这些规则。有关说明,请参阅启用远程 VPN 客户端访问。
当创建 HTTP 连接性验证程序时,ISA 服务器通过向指定的计算机发送 HTTP GET 请求来检查连接性。根据需要配置名为“对于 HTTP 连接性验证程序,允许从防火墙到所有网络的 HTTP/HTTPS”的系统策略规则,以允许这些请求。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|