DNS服务器设置 -- 配置ISA防火墙使用位于自己保护的网络中的DNS服务器；不要在多个网络适配器上配置相同的DNS服务器。这个是常见的问题，ISA防火墙应该只配置使用一个DNS服务器，并且最好配置为使用被保护的网络中的DNS服务器。不要在ISA防火墙的任何一个网络适配器接口上配置使用外部的DNS服务器，也不要多个网络适配器接口上配置使用相同的DNS服务器。

使用http://www.arin.net/等来决定入侵者的位置。你想知道发起攻击的数据包来自哪儿吗？你看到了ISA防火墙日志中的源IP地址，但是这个IP地址来自哪儿呢？访问http://www.arin.net/然后对这个IP地址进行一下whois查询。当你在你的ISA防火墙日志中发现了非法的活动时，这应该是你首先进行检查的地方。

网络后面的网络场景。网络后面的网络通常是在你的ISA防火墙的同个网络适配器后具有多个网络的情况，这个一个简单的概念，但是ISA防火墙和ISA Server 2000有些不一样。

规划配置。你必须提前对如何在你的网络中部署ISA防火墙进行规划。请记住，ISA防火墙是网络的一个重要组成元素，在你部署ISA防火墙之前，请仔细的考虑你应该如何对你的网络加以保护。在规划配置时， 你应该考虑以下几点：
确认基于用户/组的访问策略：考虑哪些用户需要访问什么资源，提前考虑如何创建你的ISA防火墙用户组以允许用户访问他们需要的资源。对每条策略都使用最小特权原则，并避免使用拒绝策略。
确认日志记录的需求：确认你需要什么类型的日志记录方式。当你位于一个控制严格的环境，你可能想要记录下所有的活动，那么你可以配置你的ISA防火墙为域成员并部署Web代理客户和防火墙客户。这不仅仅增强了ISA防火墙提供的安全级别，并且也对你的日志记录能力有显著的帮助。
　

确认使用的协议：你需要开放哪些协议？哪些协议是你的商业应用程序所需要的？

使用DMZ网络来区分安全区域：ISA防火墙支持无限 数量的网络接口，网络接口的数量只是受到物理硬件的限制。使用DMZ网络来对你的组织中进行安全区域的划分，在不同的安全区域间部署ISA防火墙并严格的加以控制，这样就可以保护入侵者的攻击。

不要在ISA防火墙安装其他的服务。ISA防火墙应该永远只是作为一个防火墙，而不再担当额外的服务器角色。不要把ISA防火墙作为文件服务器、Web服务器、Ftp服务器等等，唯一的例外是ISA防火墙安装在SBS 2003 SP1服务器之上，但是这样ISA防火墙的安全性会因为SBS服务器应用程序的安全性降低而降低。

使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。ISA防火墙应该总是安装在一个健壮的操作系统之上，不要在Windows server 2000上安装ISA防火墙，你应该总是在Windows server 2003上进行安装。使用Windows server 2003的安全配置向导来对操作系统进行强化配置，如果你不愿意，也可以按照ISA防火墙安全强化指南来对服务器进行配置，参见ISA Server 2004 安全强化指南。

安装网络分析软件用于故障调试。对于网络和防火墙调试的唯一方法是进行网络数据包分析。微软在Windows server 2000和Windows server 2003中提供了网络监视器，当然你也可以自己去购买一个商业版本的网络分析软件，因为商业版本的网络分析软件往往提供了更多的高级特性及分析特性。你可以在安装ISA防火墙之前或之后安装网络分析软件。

10. 唯一的默认网关。ISA防火墙只支持一个默认网关， 一个常见的问题是防火墙管理员在ISA防火墙的多个网络适配器接口上都配置了默认网关。ISA防火墙只支持一条默认路由，并且默认网关应该总是在靠Internet最近的网络适配器上进行设置。如果ISA防火墙需要访问不能通过默认网关访问的远程子网（如网络后面的网络），你可以通过手动添加路由来实现。 (责任编辑：admin)