ISA网络防火墙使用故障解决方法(图)

ISA 2004是一个不错的防火墙安全服务工具，可以帮助我们保护校内计算机的安全，让校内用户在规定权限内安全访问Internet。笔者在配置ISA 2004时，却遇到了许多小麻烦，如自己的DNS服务器不能使用、无法用远程桌面登录自己的ISA 2004服务器、客户端计算机无法向外面的FTP服务器上传文件等。
　　问题1：不能使用自己的DNS服务器

　　安装好ISA 2004并创建了“允许内网对外的访问规则”后，校内客户端计算机不能使用域名访问Web，但可以使用IP地址访问。想来想去应该是DNS服务器没能起作用。为了让校内计算机能在局域网中使用域名，笔者在服务器上启用了DNS服务。为方便客户端计算机DNS的设置，我的DNS服务器还起到转向的作用，客户端计算机的DNS只设置为学校内DNS服务器IP地址：192.168.0.1，这样，校内的计算机只能通过学校的DNS服务器转向到“Internet服务供应商（ISP）”提供的DNS上。问题应该出在策略的建立上，因为ISA 2004的访问控制规则和ISA 2000是有区别的，默认为所有的访问都是拒绝的，所以解决的办法是建立一个从内部对本地主机（DNS服务器）的访问策略。

　　选择“创建新的访问规则”，打开“新建访问规则向导”，创建“内部到本地主机的访问规则”；点击[下一步]，在“符合规则条件时要执行的操作”中选择“允许”，在“此规则应用到”中选择“所选的协议”，然后为其添加DNS等协议，或选择“所有出站通讯”让所有的协议通过；单击[下一步]，在“访问规则源”中选择添加“网络→内部”，在“访问规则目标”中选择添加“网络→本地主机”，在“用户集”中添加“所有用户”，选择“完成→应用”。经过以上设置，本地客户端计算机就可以使用本地主机的DNS服务器了。

　问题2：无法用远程桌面登录

　　管理自己的ISA服务器

　　为了便于管理，我需要在校内或校外的其他计算机上用“远程桌面”登录到我的ISA服务器上来。可是ISA服务器设置好后，却无法使用远程桌面从其他计算机登录ISA服务器。按照DNS问题处理的思路，也应该是ISA 2004策略的问题，经实验证明可以通过增加访问规则解决。远程桌面使用的是“协议→远程终端→RDP（终端服务）”协议，端口为3389。方法是创建一个“内部”和“外部”都可以访问“本地主机”的规则，在“此规则应用到”中选择“所选的协议”，然后为其添加“远程终端→RDP（终端服务）协议”（图1）。
图1
　　问题3：客户端计算机无法进行FTP上传

　　ISA 2004安装后不久，在学校向教育局的FTP服务器上传材料时，发现内部客户端计算机无法进行FTP上传？仔细检查已经建立可以让FTP协议通过的策略，应当没有问题，可是不管我怎样调试就是不行（内部客户端的计算机可以使用FTP下载文件）。最后在“配置FTP协议策略”属性对话框中，我找到了问题的缘由。在出站的策略“内网对外的访问规则”中添加FTP协议后，右键单击相应的规则，这时在快捷菜单中出现“配置FTP”（图2），选择“配置FTP”，打开“配置FTP协议策略”对话框，把“只读”前的勾选去掉（图 3），问题解决。原来因为默认选择只读，FTP上传也就被阻止了。
图2
图3
　　总之，我们在使用ISA 2004时，会遇到一些意想不到的问题，关键是我们要多动脑子，有一个好的解决问题的思路。只要我们合理地创建防火墙策略，可以让其为我们的校园网管理发挥更大的作用。

上一个：通过ISA防火墙允许FXP
下一个：在ISA Server 2004中发布安全Web服务