这几天都在isa2000

搞了一些经验大家分享..

1.首先isa2000的规则过滤顺序.
protocol rules—>site and content rules—->ip packet filters

除了ip packet filters,其他的规则都是只要有一条不允许数据报通过.那么这个数据包就不能通过
我们可以根据需求把isa2000配置成open模式(建立一条all的protocol和site规则,见具体操作示范)
然后慢慢加deny的规则…或者正好相反..做成close模式..然后慢慢加allow规则..
(我的环境是很多网络应用程序要运行,如果作close模式,那么我开放端口就要开到吐血死,所以我做open模式)

而ip packet filters规则..是定义后这个端口就永久打开和关闭了.所以不设置也可以.让系统动态的打开
和关闭需要的端口.

所以isa2000首次安装完毕后要手动添加一个all的规则在protocol规则中…这样系统才能正常上网

2.为了让isa firewall client能正常识别isa服务器..请在非isa2000的主机上安装win2k的wins服务,然后把客户端的wins
服务的ip统统指向这个wins服务器地址.

3.为了能发信…请打开extensions—>application filters—>smtp filter的功能

4.为了能能让windows update功能正常..请临时把extensions—>application filters—>http redirector filter的option改成
send to requested web server
(就是让web请求调过proxy..走firewall)

5.不要管你的内部ip怎么变..lat表都可以在network cofiguration—->local address table中修改

6.内部通信如果用ficq..那么请在client configuration中作小修改.(见操作)

7.用isa2000很多功能不是实时生效..都要重起一下isa2000的服务…

8.用isa2000要坚持…因为isa2000并不是一个实时生效的系统..很多东西需要重新刷新页面和关掉应用程序重新打开才能见效果..
所以用isa2000一定要坚持..如果你打算对内部网进行改造..那么你还要顶住很多不能上网的抱怨声..所以顶住是最关键的…
怎么说也是微软的东西..烂也是有人用..

9.不要相信isa2000的什么back和restore…要用精品兄弟推荐的工具
http://bbs.et8.net/bbs/showthread.php?s=&threadid=87168

10.流量报告是很重要的..isa2000只是傻傻的生成昨天的..所以第一次你装的时候没有东西report出来..不要急..明天就有了..