信息安全之防火墙评测:软件(3)

---- 测试中我们发现，设置ISA Server 2000所需的时间是最短的，因为在安装结束时，系统提供了交互式的设置向导。

---- 我们首先需要设置的是安全策略所使用的元素（elements），这里的元素相当于Firewall-1中的对象，基本元素包括用户群组，客户机名及IP、时间和目的地址集等，如图4所示。然后是具体的各类元素设置。首先是时间元素，我们发现，系统已经内置了周末和工作时间，我们需要做的只是对工作时间进行微调，然后定义一个新元素所有时间。随后是定义客户及地址集合，我们定义了典型平安软件公司的内部网段，即192.168.1.1～192.168.1.254。

---- 然后是整个ISA Server 2000设置中最为关键的部分，即协议规则的定义，用来确定哪些协议能够通过防火墙。这部分包括Internet访问协议规则和普通协议规则，如图5所示。我们在Internet访问协议规则中选择了HTTP和HTTPS，满足员工访问Web的需求，然后随着向导的指引，选择规则的作用时间为工作时间，应用范围为特定的用户和组，随即选择了预先在域中定义好的全体员工组（allusers），而不需要单独添加防火墙用户和组。完成后，我们又设定了若干协议规则，允许特权小组、部门领导等用户组的访问。例如在设置特权小组访问规则时，选择时间为所有时间（all），允许协议为所有IP交通，作用对象为特权小组。

---- 随后是目的地址的设定，用来在规则中定义不同的目的地址集合。我们定义了典型平安网络公司的Web服务器网段。最后是站点和内容规则，用来决定特定的站点和内容是否可访问。我们只添加了允许规则。

 --- 随向导设置后，我们已经完成了绝大部分安全策略设定工作。随后，只要在访问策略中略为修改即可。值得一提的是，所有的设置都是在MMC风格的ISA管理程序中进行的，即使是第一次安装，也没有陌生的感觉。

---- 如果仅仅访问Web，内部网用户只要登录到域，设置HTTP代理为防火墙即可，系统的默认端口为8080。如果需要使用非缓存协议，则客户端需要安装客户端程序，通常在ISA Server的共享目录mspclnt下，MS Proxy 2.0的用户一定对此非常熟悉。