21. 在Windows XP SP2客户环境下使用DHCP部署WPAD。WPAD（Web Proxy Automatic Discovery）允许你为你的客户自动配置Web代理和防火墙客户端。WPAD项可以在DNS或者DHCP中进行配置，但是对于使用DNS部署WPAD的情况而言，当分部的用户和总部的用户位于相同的域中时，会解析出和总部用户相同的WPAD项，这导致分部的用户不能正常连接到位于分部的ISA防火墙；对于使用DHCP部署WPAD的情况而言，为了通过DHCP来获得WPAD信息，用户必须作为管理员身份登录。不过有个好消息是Windows XP SP2支持非管理员身份登录时通过DHCP获得WPAD信息。这解决了分部和总部的用户位于相同的域时，不能使用DNS解析WPAD项的问题。你只需要在分部部署一个DHCP服务器，并配置DHCP WPAD项，指向位于分部的ISA防火墙即可。

22. 不要使用ISA防火墙作为客户机---不要运行任何客户端应用程序。我已经在前面说过了，但是我还想再次（不仅仅是再次，而是一直）提醒你。我知道这可能是你难以打破的习惯，但是请记住，避免在ISA防火墙运行客户端应用程序， 这可以极大的增强它的安全性。

23. 不要允许访问本地主机网络。你应该永远也不要允许到本机主机网络或者从本地主机网络的访问，除非你有特殊的需求。如果你真正需要时，请配置ISA的系统策略来实现，而不要自己创建访问规则来允许，系统策略已经设计为控制ISA防火墙的合法访问。

24. 配置连接限制。通过连接限制，ISA防火墙可以减轻蠕虫病毒或其他自动攻击所带来的影响。你可以在ISA防火墙管理控制台的常规节点下的定义连接限制中配置连接限制，如果你发现部分服务器需要更高的连接限制数，那么你可以为它们进行自定义连接限制。

25. 阻止防火墙客户访问远程端口（只有企业版具有）。防火墙客户端软件增强了ISA防火墙的安全性和可扩展性，它具有的一个功能是可以阻止客户访问指定端口，你可以配置防火墙客户端设置中的DontRemoteOutboundTcpPorts键值来阻止防火墙客户访问部分蠕虫病毒所访问的端口，例如445、1434、5554等等。当客户中了蠕虫病毒时，当病毒发起了针对这些端口的连接，就将被防火墙客户端软件所阻止。

Figure 10

26. 使用远程桌面来管理ISA防火墙。你可以通过两种方式来管理ISA防火墙：加密的RDP通讯或者远程管理MMC。我总是使用RDP来进行管理，因为这样监视和配置更为有效，最重要的是，这样更为安全。RDP通讯使用128位的加密，并且只允许信任的管理计算机到ISA防火墙的3389端口的通讯。或许有人会认为RDP服务不够安全，这是错误的想法，不要听信。

27. 当安装ISA防火墙时，不要连接到Internet。我也已经在前面提过了，但是它值得我再次提及：在配置完成ISA防火墙之前，不要将ISA防火墙连接到Internet。ISA防火墙所在的服务器只有当ISA防火墙安装完成后，它才是安全的。