ISA防火墙优化方法及使用技巧(2)
时间:2009-02-09 14:54来源: 作者: 点击:
次
在ISA防火墙的外部接口上禁止NetBIOS over TCP/IP 。通常在ISA防火墙的外部网络适配器上启用NetBIOS over TCP/IP没有什么意义,你可以禁止它。 对于国内最常见的
在ISA防火墙的外部接口上禁止NetBIOS over TCP/IP。通常在ISA防火墙的外部网络适配器上启用NetBIOS over TCP/IP没有什么意义,你可以禁止它。 对于国内最常见的ADSL拨号环境,连接ADSL Modem的网卡上也可以直接取消TCP/IP协议的绑定,详情参见在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题。
-
在ISA防火墙的外部网络适配器上禁止服务器服务。服务器(Server)服务用于允许别人访问你的共享资源,通常情况下不应该允许外部客户访问ISA防火墙上的共享资源。ISA防火墙通过服务器服务来允许内部客户访问防火墙客户端软件安装共享,不过建议你最好把防火墙客户端软件安装共享 文件复制到企业内部的文件服务器上,然后在ISA防火墙上禁止文件共享。只是完全停止服务器服务还会带来其他的影响,如RRAS管理控制台不能正常访问,所以你最好在外部网络适配器上禁止服务器服务,而不是完全禁止服务器服务。
-
禁止Alerter和Messenger服务。在Windows server 2000中,Alerter和Messenger服务默认是开启的,Windows server 2003中这两个服务是默认禁止的,当然你也可以通过安全配置向导来禁止它们。
-
不要通过ISA防火墙来浏览网页,也不要禁止ISA防火墙上的增强的IE安全性。ISA防火墙不是客户机,也不是服务器,它是你网络基础的一个重要部分,也是你网络安全的重要组成部分。不要在ISA防火墙运行任何客户端软件,例如IE,也不要在ISA防火墙上取消增强的IE安全性。如果你需要在ISA防火墙上下载文件,请在某台客户机上进行下载, 然后对此文件进行病毒扫描,最后安装进行测试,确保没有问题后,通过可靠的方式例如加密的RDP会话将此文件复制到ISA防火墙上。
-
配置Web代理客户通过代理连接使用HTTP 1.1。我常听人说通过ISA防火墙后,Web浏览的性能降低了,其实这只是配置的问题。你可以通过两种配置来为你的用户增强Web浏览性能:1. 配置客户为客户代理客户;2. 配置Web浏览器通过代理使用HTTP 1.1。你可以在Internet Explorer的Internet选项的高级标签中进行设置。
-
配置对本地地址进行直接访问。直接访问允许Web代理客户不使用Web代理而直接访问资源,你永远也不要让ISA防火墙出现回环访问的情况,直接访问用于避免这一点。配置ISA防火墙为你的企业域名和企业网络中的所有IP地址进行直接访问,唯一的例外是你的ISA防火墙具有多个网络适配器并且你配置ISA防火墙对这些适配器之间的访问进行控制。这种时候,你需要仔细的考虑是否需要直接访问。
Figure 4
-
在安装ISA防火墙之前对操作系统进行更新。这看起来很简单,但是许多ISA防火墙管理员都忘记了对操作系统进行更新。在安装ISA防火墙之前,你应该把这台将要安装ISA防火墙的服务器放置在安全的内部网络中进行更新,当一切补丁都更新完成后,再安装ISA防火墙。只有当ISA防火墙配置完成后,你才能将这台服务器直接连接到Internet。
-
修改ISA防火墙网络适配器的名称。这是我必定使用的技巧,在网络连接文件夹,你可以修改ISA防火墙的网络适配器的名称。这对于你配置ISA防火墙时有很显著的帮助。
-
配置网络适配器在任务栏显示图标。说起网络适配器,我很愿意在任务栏看到ISA防火墙上所有网络适配器的状态, 虽然它只能给你一个很简略的网络通讯状态。你只需要在网络适配器属性中勾选连接后在通知区域显示图标即可。
-
使用Ipconfig、Netstat、Arp和Nbtstat进行调试。和路由器、交换机一样,ISA防火墙是网络基础的一个重要组成部分。当出现问题时,你需要一些工具来帮助调试网络问题。我在前面提到了网络分析软件,另外这些工具也可以帮助你:Ipconfig、Netstat、Arp和Nbtstat。
(责任编辑:admin) |
织梦二维码生成器
------分隔线----------------------------