防火墙的需求,规划,架构,选型,策略配置

客户端和防火墙策略要通过使用 ISA Server 2004 来允许远程虚拟专用网络 () 客户端，必须启用 客户端访问。有关说明，请参阅启用远程 客户端访问。当启用 客户端访问时，ISA 服务器启用适当的网络和防火墙策略规则以允许初始访问。
当允许远程 客户端连接时，ISA Server 2004 使这些客户端成为 客户端网络的成员。默认系统策略规则允许这些客户端访问 ISA 服务器计算机（本地主机网络）。
系统策略规则
启用 客户端访问时，将启用名为“允许 ISA 服务器的 客户端通讯”的系统策略规则。根据您为远程客户端访问配置的协议，系统策略规则允许使用点到点隧道协议 (PPTP) 和/或第 2 层隧道协议 (L2TP) 来从外部网络（ 客户端的假定位置）连接到 ISA 服务器计算机（本地主机）。当配置下列远程 客户端访问属性时，可以修改这一规则：
访问网络。最初设置为外部网络，您可以修改这一属性。可以为能够连接到 ISA 服务器的 客户端指定一个或多个网络。当修改此属性时，系统策略规则自动更改，以便可以适用于额外的或其他的网络。
协议。用于远程 客户端访问的 协议可以是 PPTP 和/或 L2TP。当修改此设置时，系统策略规则得到更新以便允许使用适当的协议。
网络规则
安装 ISA 服务器时创建的默认网络规则定义了内部网络与 客户端网络之间的路由关系。当安装 ISA 服务器时，还会创建另一条默认规则，允许从 客户端网络访问外部网络。可以创建新的网络规则，以便允许从 客户端网络到其他网络的通讯。有关网络规则的详细信息，请参阅网络规则。
ISA 服务器可以充当 客户端的地址解析协议 (ARP) 代理。例如，如果分配给 客户端网络的地址是内部网段的一部分，则无论地址是从静态池中分配的还是由 DHCP 服务器分配的，内部网络中的计算机都会向 客户端发送 ARP 查询。ISA 服务器将拦截查询，并代表已连接的 客户端作出答复。
您不必将 客户端网络子网与内部网络分隔开来。
防火墙策略规则
要允许远程 客户端访问内部网络上的资源，必须创建允许适当访问权限的访问规则。如果您认为从防火墙策略的角度看， 客户端网络与内部网络完全相同，可能还想创建一条访问规则以便允许从内部网络到 客户端网络的所有通讯。有关防火墙策略的更多信息，请参阅防火墙策略规则概述。
如果要启用并配置隔离，必须针对被隔离的 客户端网络创建一条访问规则，以便允许适当的权限。有关隔离的详细信息，请参阅 与隔离。
当 ISA 服务器处理规则，以确定是否允许来自 客户端的请求时，将使用 凭据。
防火墙客户端与 Web 代理客户端
如果 ISA 服务器配置为 服务器并充当防火墙客户端的防火墙服务器，那么安装了防火墙客户端的 客户端计算机将使用 ISA 服务器内部网络接口的端口 1745。有关防火墙客户端的详细信息，请参阅防火墙客户端。
类似地，如果 ISA 服务器配置为 服务器并充当 Web 代理客户端的代理服务器，那么将 ISA 服务器用作代理的 客户端计算机将使用 ISA 服务器内部网络接口的端口 8080。有关 Web 代理客户端的详细信息，请参阅 Web 代理客户端。
默认情况下，如果定义允许从 客户端网络访问内部网络的规则，将允许访问所有端口。但是，如果选择限制端口，则必须允许访问端口 1745（对于防火墙客户端）和 8080（对于 Web 代理客户端）。
配置为防火墙客户端的 客户端计算机将在身份验证时提供防火墙客户端凭据（已登录的用户），而不是 会话凭据。基于 凭据的访问规则将生效。
连接到 ISA 服务器的防火墙客户端无法连接到另一台 服务器。这是因为防火墙客户端应用程序通过 ISA 服务器发送所有通讯，其中包括 通讯。因此，在连接到 服务器时应禁用防火墙客户端。或者，在为防火墙客户端配置的网络中包括远程网络中的所有地址。
--------------------------------------------------------------------------------
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。

1、打开控制面板，选择并进入“程序”，双击“打开或关闭Windows服务”，在d出的窗口中选择“Internet信息服务”下面所有地选项，点击确定后，开始更新服务。

2、更新完成后，打开浏览器，输入“>

3、当web服务器搭建成功后，我们下一步所要做的就是把我们开发的网站安装到Web服务器的目录中。一般情况下，当Web服务器安装完成后，会创建路径“%系统根目录%inetpub/>

4、设置防火墙，让局域网当其它计算机也能访问本地网站资源。具体方法：打开控制面板，选择“系统和安全”，点击“允许程序通过Windows防火墙”，在d出的对话框中勾选“万维网服务>

5、在局域网中其它计算机上，打开浏览器，输入 “>

扩展资料：

入门级服务器所连的终端比较有限（通常为20台左右），况且在稳定性、可扩展性以及容错冗余性能较差，仅适用于没有大型数据库数据交换、日常工作网络流量不大，无需长期不间断开机的小型企业。

不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次，其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器"，这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义，不过这种划分的还是比较少。

还有一点就是，这种服务器一般采用Intel的专用服务器CPU芯片，是基于Intel架构（俗称"IA结构"）的，当然这并不是一种硬性的标准规定，而是由于服务器的应用层次需要和价位的限制。

我说的不一定对，供你参考，因我也遇到这个问题，因我用的是win2003自带的防火墙，明明已经开启21端口，并打开防墙就行，关闭就不能访问，百思不得其解。
后来在“防火墙”－－“高级”选项里“FTP”一项上打上钩，就可以。

---