ISA防火墙的默认系统策略和防火墙设置

序号/注释

名称

动作

协议

从/侦听器

To

条件

1

ISA防火墙是域成员吗？如果不是，禁止此规则。

允许为了进行身份认证而访问目录服务

允许

LDAP

LDAP (UDP)

LDAP GC
(global catalog)

LDAPS

LDAPS GC
(Global Catalog)

本地主机

内部

所有用户

2

如果没有人使用MMC远程管理ISA防火墙，禁止此规则。

允许从选择的计算机上使用MMC远程管理ISA防火墙

允许

Microsoft Firewall Control

NetBIOS数据报

NetBIOS名字服务

NetBIOS会话

RPC (all interfaces)

远程管理计算机组

本地主机

所有用户

3

确认远程管理计算机组中的IP地址是否正确进行了配置。如果没有人使用终端服务进行远程管理ISA防火墙，禁止此规则。

允许从选择的计算机上使用终端服务远程管理ISA防火墙

允许

RDP (终端服务)

远程管理计算机组

本地主机

所有用户

4 （默认禁止）

如果你想记录日志到SQL server上，启用此规则。

允许使用NetBIOS来远程记录日志到信任的服务器上

允许

NetBIOS 数据报

NetBIOS 名字服务

NetBIOS 会话

本地主机

内部

所有用户

5

你要使用RADIUS 认证吗？如果不是，禁止此规则。

允许从ISA防火墙到信任的RADIUS服务器的RADIUS认证

允许

RADIUS

RADIUS 记账

本地主机

内部

所有用户

6

ISA防火墙将认证用户吗？如果没有，禁止此规则。

允许从ISA防火墙到信任的服务器的Kerberos认证

允许

Kerberos-Sec (TCP)

Kerberos-Sec (UDP)

本地主机

内部

所有用户

7

允许此规则后ISA防火墙才能进行DNS查询。

允许从ISA防火墙到选择的服务器的DNS协议

允许

DNS

本地主机

所有网络（和本地主机）

所有用户

8

如果ISA防火墙不是DHCP客户，那么禁止此规则。

允许从ISA防火墙到所有网络的DHCP请求

允许

DHCP 请求

本地主机

任何地点

所有用户

9

如果ISA防火墙不是DHCP客户，那么禁止此规则。

允许从DHCP服务器到ISA防火墙的DHCP回复

允许

DHCP 回复

内部

本地主机

所有用户

10

确认远程管理计算机组中的IP是否正确配置。

允许从选择的计算机到ISA防火墙的Ping协议

允许

Ping

远程管理计算机组

本地主机

所有用户

11

如果ISA防火墙需要使用ICMP协议，那么必须启用。

允许从ISA防火墙到选择的计算机的ICMP（Ping）协议

允许

ICMP Information Request

ICMP Timestamp

Ping

本地主机

所有网络（和本地主机）

所有用户

12 （默认禁止）

如果你启用ISA防火墙的VPN服务器，那么此规则将会自动启用。

VPN客户访问ISA防火墙

允许

PPTP

外部

本地主机

所有用户

13 （默认禁止）

如果你启用ISA防火墙的站点到站点的VPN连接，那么此规则将会自动启用。

允许到ISA防火墙的VPN站点到站点的数据传输。

允许

（空）

外部

IPSec远程网关

本地主机

所有用户

14 （默认禁止）

如果你启用ISA防火墙的站点到站点的VPN连接，那么此规则将会自动启用。

允许从ISA防火墙发出的VPN站点到站点的数据传输。

允许

（空）

本地主机

外部

IPSec远程网关

所有用户

15

你想从ISA防火墙上访问文件共享吗？如果不，禁止此规则

允许从ISA防火墙到信任的服务器的Microsoft CIFS协议

允许

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

本地主机

内部

所有用户

16 （默认禁止）

如果你使用SQL日志记录，启用此规则。

允许从ISA防火墙到选择的服务器的远程SQL日志记录

允许

Microsoft SQL (TCP)

Microsoft SQL (UDP)

本地主机

内部

所有用户

17

如果你不想让ISA防火墙访问Windows更新，就禁止此规则。

允许从ISA防火墙使用HTTP/HTTPS访问指定的站点

允许

HTTP

HTTPS

本地主机

系统策略允许的站点

所有用户

18 （默认禁止）

当你建立HTTP/HTTPS链接性验证时，此规则将自动启用。

允许为了验证链接性而从ISA防火墙使用HTTP/HTTPS访问指定的站点

允许

HTTP

HTTPS

本地主机

所有网络（和本地主机）

所有用户

19 （默认禁止）

当安装ISA防火墙的防火墙客户端安装文件时，会自动启用此规则。

允许从信任的计算机访问ISA防火墙上的防火墙客户端安装共享

允许

Microsoft CIFS (TCP)

Microsoft CIFS (UDP)

NetBIOS数据报

NetBIOS名字服务

NetBIOS会话

内部

本地主机

所有用户

20 （默认禁止）

如果你想远程监控ISA防火墙的性能日志，启用此规则。

允许从信任的服务器到ISA防火墙的远程性能监视

允许

NetBIOS数据报

NetBIOS名字服务

NetBIOS会话

远程管理计算机组

本地主机

所有用户

21

你想从ISA防火墙上访问文件共享吗？如果不，禁止此规则

允许从ISA防火墙到信任计算机的NetBIOS协议

允许

NetBIOS数据报

NetBIOS名字服务

NetBIOS会话s

本地主机

内部

所有用户

22

如果你不在ISA防火墙上使用RPC来连接其他服务器，禁止此规则。

允许从ISA防火墙到信任计算机的RPC协议

允许

RPC (all interfaces)

本地主机

内部

所有用户

23

此规则允许ISA防火墙向微软发送错误报告。

允许从ISA防火墙到微软错误报告站点的HTTP/HTTPS

允许

HTTP

HTTPS

本地主机

微软错误报告站点

所有用户

24 （默认禁止）

如果使用SecurID认证，启用此规则。

允许从ISA防火墙到信任服务器的SecurID认证

允许

SecurID

本地主机

内部

所有用户

25 （默认禁止）

如果你使用MOM，那么启用此规则。

允许从ISA防火墙到信任的服务器使用Microsoft Operations Manager (MOM)代理进行远程监视

允许

Microsoft Operations Manager Agent

本地主机

内部

所有用户

26 （默认禁止）

如果你想让ISA防火墙访问CRL，则启用此规则。

为了下载CRL，允许从ISA防火墙到所有网络的HTTP协议

允许

HTTP

本地主机

所有网络（和本地主机）

所有用户

27

可能你需要根据你的NTP服务器的位置来修改规则。

允许从ISA防火墙到信任的NTP服务器的NTP协议

允许

NTP (UDP)

本地主机

内部

所有用户

28

如果你没有部署使用SMTP来发送警告，可以禁止此规则。

允许从ISA防火墙到信任的服务器的SMTP协议

允许

SMTP

本地主机

内部

所有用户

29 （默认禁止）

当启用内容下载任务时，此规则会自动启用。

为了完成内容下载任务，允许从ISA防火墙到选择的计算机的HTTP协议

允许

HTTP

本地主机

所有网络（和本地主机）

本地系统账户和网络服务账户

30

如果你不使用远程MMC进行管理，禁止此规则

允许微软防火墙控制服务和选择的计算机进行通信。

允许

所有出站通讯

本地主机

远程管理计算机组

所有用户

项目

默认设置

用户权限

本地计算机上的管理员组可以配置防火墙策略。如果ISA防火墙是域成员，域管理员全局组自动包含在本地计算机管理员组中。

定义内部网络

内部网络包含了你在安装过程中指定的IP地址范围。

网络规则

• 本地主机访问
  在本地主机和所有网络之间定义路由关系为路由； 在内部网络、隔离的VPN客户网络和VPN客户网络到外部网络之间定义路由关系为NAT； 在VPN客户网络和内部网络间定义路由关系为路由。
• Internet访问
  
• VPN客户端到内部网络
  

防火墙策略

只有一个默认规则，拒绝所有网络间的通讯。

系统策略

ISA防火墙默认配置只允许某些重要的服务进行访问，还是比较安全。在安装过程中，为了访问某些必需的服务，会启用某些必需的系统策略。我们推荐你检查系统策略，并根据你的网络环境进行自定义。

Web链

一个默认规则指定所有Web代理客户直接从Internet获取数据。

缓存

默认缓存尺寸设置为0（禁用缓存功能）。

警告

大部分警告是启用的。我们推荐你根据你的网络环境来进行自定义。

客户端配置

在安装和配置的时候，防火墙客户和Web代理客户都是启用了自动发现。防火墙客户上的Web浏览器程序在安装防火墙客户端时会自动进行配置。