概述
在某些配置中,您可能想在一台 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文档将设法解决您在配置这样一个方案时可能会遇到的问题。
创建 DHCP 规则
默认情况下,当您在一台 DHCP 服务器上安装 ISA 服务器时,DHCP 服务器不会对请求做出响应。要使 DHCP 服务器运行,您需要创建下列规则:
| • | 一条允许从 DHCP 客户端所在的网络向本地主机网络发送 DHCP 请求的规则。 |
| • | 一条允许从本地主机网络向 DHCP 客户端所在的网络发送 DHCP 答复的规则。 |
允许 DHCP(请求)协议
在此过程中,DHCP 客户端位于内部网络中。要允许 DHCP(请求)协议,请执行以下步骤。
1. | 在“ISA 服务器管理”的“防火墙策略”节点中,右键单击“防火墙策略”,指向“新建”,然后单击“访问规则”。 |
2. | 在“新建访问规则向导”中,为该规则键入一个名称。例如:允许 DHCP 请求。然后,单击“下一步”。 |
3. | 在“规则操作”页上,单击“允许”。然后,单击“下一步”。 |
4. | 在“协议”页上,在“此规则应用于”中,单击“所选的协议”。然后单击“添加”。 |
5. | 在“添加协议”中,在“所有协议”部分单击“DHCP(请求)”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
6. | 在“访问规则来源”页上,单击“添加”。 |
7. | 在“添加网络实体”中,在“网络”部分单击“内部”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
8. | 在“访问规则目标”页上,单击“添加”。 |
9. | 在“添加网络实体”中,在“网络”部分单击“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
10. | 在“用户设置”页上,默认情况下“所有用户”已选中。单击“下一步”,然后单击“完成”。 |
允许 DHCP(答复)协议
在此过程中,DHCP 客户端位于内部网络中。要允许 DHCP(答复)协议,请执行以下步骤。
1. | 在“ISA 服务器管理”的“防火墙策略”节点中,右键单击“防火墙策略”,指向“新建”,然后单击“访问规则”。 |
2. | 在“新建访问规则向导”中,为该规则键入一个名称。例如:允许 DHCP 答复。然后,单击“下一步”。 |
3. | 在“规则操作”页上,单击“允许”。然后,单击“下一步”。 |
4. | 在“协议”页上,在“此规则应用于”中,单击“所选的协议”。然后单击“添加”。 |
5. | 在“添加协议”中,在“所有协议”部分单击“DHCP(答复)”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
6. | 在“访问规则来源”页上,单击“添加”。 |
7. | 在“添加网络实体”中,在“网络”部分单击“本地主机”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
8. | 在“访问规则目标”页上,单击“添加”。 |
9. | 在“添加网络实体”中,在“网络”部分单击“内部”。单击“添加”,单击“关闭”,然后单击“下一步”。 |
10. | 在“用户设置”页上,默认情况下“所有用户”已选中。单击“下一步”,然后单击“完成”。 |
排序 DHCP 请求规则
DHCP 请求目标是一个广播地址。ISA 服务器不会对广播通讯执行名称解析,而会拒绝这种通讯。如果有一条允许或拒绝规则匹配 DHCP 请求并要求进行名称解析,并且此规则在规则顺序中高于您所创建的 DHCP 请求规则,则 DHCP 通讯可能会被拒绝。
要求进行名称解析的规则在目标(至)条件中包含一个域名称集或一个 URL 集。请注意,如果在此规则中有其他不匹配 DHCP 请求的条件,就不会发生冲突。
为避免冲突,应确保您配置的允许 DHCP 请求的规则在规则排序中高于其他任何匹配 DHCP 请求的、使用名称解析的规则。从下面的例子中可以看出此原则。
此规则将不会生效:
1. | 拒绝所有来自 www.attack.com 的协议 |
2. | 允许从内部向本地主机发送的 DHCP 请求 |
此规则将会生效:
1. | 拒绝来自 www.attack.com 的 HTTP 协议 |
2. | 允许从内部向本地主机发送的 DHCP 请求 |
此规则将会生效:
1. | 允许从内部向本地主机发送的 DHCP 请求 |
2. | 拒绝所有来自 www.attack.com 的协议 |
Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论
