ISA Server 2004 系統(tǒng)策略.doc

ISA Server 2004 系統(tǒng)策略Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一種默認(rèn)的系統(tǒng)策略配置，允許使用網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)正常運(yùn)行通常所需的服務(wù)。從安全角度來(lái)講，通常強(qiáng)烈建議用戶(hù)配置系統(tǒng)策略以便不允許訪問(wèn)非管理網(wǎng)絡(luò)所必需的服務(wù)。請(qǐng)?jiān)诎惭b后仔細(xì)查看配置的系統(tǒng)策略規(guī)則。同樣，請(qǐng)?jiān)趫?zhí)行完主要的管理任務(wù)后再次查看系統(tǒng)策略配置。本文檔將描述系統(tǒng)策略規(guī)則所啟用的一些服務(wù)。目錄l 網(wǎng)絡(luò)服務(wù) l 身份驗(yàn)證服務(wù) l 遠(yuǎn)程管理 l 防火墻客戶(hù)端共享 l 診斷服務(wù) l 連接驗(yàn)證程序 l SMTP l 預(yù)定下載作業(yè) l 訪問(wèn) Microsoft 網(wǎng)站 l 其他資源網(wǎng)絡(luò)服務(wù)安裝 ISA Server 時(shí)就啟用了基本網(wǎng)絡(luò)服務(wù)。安裝后，ISA Server 可訪問(wèn)名稱(chēng)解析服務(wù)器和內(nèi)部網(wǎng)絡(luò)上的時(shí)間同步服務(wù)。如果網(wǎng)絡(luò)服務(wù)由不同的網(wǎng)絡(luò)提供，應(yīng)當(dāng)修改適用的配置組源以應(yīng)用特定網(wǎng)絡(luò)。例如，假定 DHCP 服務(wù)器不在內(nèi)部網(wǎng)絡(luò)而在外圍網(wǎng)絡(luò)上。則修改 DHCP 配置組源，以應(yīng)用于該外圍網(wǎng)絡(luò)。用戶(hù)可修改系統(tǒng)策略，以便只可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的特定計(jì)算機(jī)?；蛘?，如果服務(wù)位于其他位置，也可以添加其他網(wǎng)絡(luò)。下表顯示了應(yīng)用于網(wǎng)絡(luò)服務(wù)的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱(chēng)規(guī)則描述DHCP允許從 ISA Server 到內(nèi)部網(wǎng)絡(luò)的 DHCP 請(qǐng)求允許從 DHCP 服務(wù)器到 ISA Server 的 DHCP 答復(fù)允許 ISA Server 計(jì)算機(jī)使用 DHCP（答復(fù)）和 DHCP（請(qǐng)求）協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。DNS允許從 ISA Server 到所選服務(wù)器的 DNS允許 ISA Server 計(jì)算機(jī)使用 DNS 協(xié)議訪問(wèn)所有網(wǎng)絡(luò)。NTP允許從 ISA Server 到受信任的 NTP 服務(wù)器的 NTP允許 ISA Server 計(jì)算機(jī)使用 NTP (UDP) 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。DHCP 服務(wù)如果 DHCP 服務(wù)器不在內(nèi)部網(wǎng)絡(luò)上，則必須修改系統(tǒng)策略規(guī)則以便其應(yīng)用于 DHCP 服務(wù)器所在的網(wǎng)絡(luò)。例如，如果 DHCP 服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”的控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹(shù)中，單擊“DHCP”。5. 在“來(lái)自”選項(xiàng)卡上，單擊“添加”。6. 在“添加網(wǎng)絡(luò)實(shí)體”中，選擇一個(gè)網(wǎng)絡(luò)對(duì)象。提示： 建議如果知道 DHCP 服務(wù)器的 IP 地址，則使用該 IP 地址創(chuàng)建一個(gè)計(jì)算機(jī)集并選擇該計(jì)算機(jī)集。強(qiáng)烈建議當(dāng) DHCP 服務(wù)器位于不受信任的網(wǎng)絡(luò)上時(shí)執(zhí)行以上操作。7. 單擊“添加”，然后單擊“關(guān)閉”。身份驗(yàn)證服務(wù)ISA Server 的一個(gè)基本功能是能夠?qū)⒎阑饓Σ呗詰?yīng)用到特定用戶(hù)。然而，要想驗(yàn)證用戶(hù)的身份 ISA Server 必須能夠與身份驗(yàn)證服務(wù)器通信。因此，ISA Server 默認(rèn)能夠與 Active Directory 服務(wù)器（用于 Windows 身份驗(yàn)證）和內(nèi)部網(wǎng)絡(luò)上的 RADIUS 服務(wù)器通信。下表顯示了應(yīng)用于身份驗(yàn)證服務(wù)的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱(chēng)規(guī)則描述Active Directory允許出于身份驗(yàn)證目的訪問(wèn)目錄服務(wù)允許從 ISA Server 到受信任的服務(wù)器的 RPC允許從 ISA Server 到受信任的服務(wù)器的 Microsoft CIFS允許從 ISA Server 到受信任的服務(wù)器的 Kerberos 身份驗(yàn)證允許 ISA Server 計(jì)算機(jī)使用各種 LDAP 協(xié)議、RPC（所有接口）協(xié)議、各種 Microsoft CIFS 協(xié)議以及使用 Active Directory 目錄服務(wù)的各種 Kerberos 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。RSA SecurID允許從 ISA Server 到受信任的服務(wù)器的 SecurID 身份驗(yàn)證允許 ISA Server 計(jì)算機(jī)使用 RSA SecurID 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。RADIUS允許從 ISA Server 到受信任的 RADIUS 服務(wù)器的 RADIUS 身份驗(yàn)證允許 ISA Server 計(jì)算機(jī)使用不同 RADIUS 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。證書(shū)吊銷(xiāo)列表允許從 ISA Server 到所有網(wǎng)絡(luò)的 HTTP 以下載 CRL身份驗(yàn)證服務(wù)：允許從 ISA Server 到所選網(wǎng)絡(luò)的 HTTP，以下載最新的證書(shū)吊銷(xiāo)列表 (CRL)。DCOM如果需要使用 DCOM 協(xié)議（例如，遠(yuǎn)程管理 ISA Server 計(jì)算機(jī)），則確保不啟用“強(qiáng)制嚴(yán)格符合 RPC”。要想驗(yàn)證“強(qiáng)制嚴(yán)格符合 RPC”沒(méi)被選中，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹(shù)中，單擊“Active Directory”。5. 驗(yàn)證“強(qiáng)制嚴(yán)格符合 RPC ”沒(méi)被選中。提示： 包括遠(yuǎn)程管理和自動(dòng)注冊(cè)等多種服務(wù)常常需要 DCOM。Windows 和 RADIUS 身份驗(yàn)證服務(wù)如果不需要 Windows 身份驗(yàn)證或 RADIUS 身份驗(yàn)證，應(yīng)當(dāng)執(zhí)行以下步驟禁用適用的系統(tǒng)策略配置組。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹(shù)中，單擊“Active Directory”。5. 在“常規(guī)”選項(xiàng)卡上，驗(yàn)證“啟用”沒(méi)被選中。注意： 當(dāng)禁用 Active Directory 系統(tǒng)策略配置組時(shí)，對(duì)所有 LDAP 協(xié)議的訪問(wèn)均被有效禁用。如果需要 LDAP 協(xié)議，則創(chuàng)建一條允許使用這些協(xié)議的訪問(wèn)規(guī)則。6. 對(duì) RADIUS 配置組重復(fù)步驟 4-5。提示： 如果只需要 Windows 身份驗(yàn)證，確保配置系統(tǒng)策略禁止使用所有其他身份驗(yàn)證機(jī)制。RSA SecurID 身份驗(yàn)證服務(wù)默認(rèn)狀態(tài)下不啟用與 RSA SecurID 身份驗(yàn)證服務(wù)器的通信。如果防火墻策略需要 RSA SecurID 身份驗(yàn)證，則確保啟用該配置組。 CRL 身份驗(yàn)證服務(wù)默認(rèn)狀態(tài)下不能下載證書(shū)吊銷(xiāo)列表 (CRL)。這是因?yàn)槟J(rèn)狀態(tài)下不啟用 CRL 下載配置組。要想啟用 CRL 下載，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹(shù)中，單擊“CRL 下載”。5. 在“常規(guī)”選項(xiàng)卡上，驗(yàn)證“啟用”已被選中。6. 在“到”選項(xiàng)卡上，選擇可從其下載證書(shū)吊銷(xiāo)列表的網(wǎng)絡(luò)實(shí)體。 將允許從本地主機(jī)網(wǎng)絡(luò)（ISA Server 計(jì)算機(jī)）到“到”選項(xiàng)卡上列出的網(wǎng)絡(luò)實(shí)體的所有 HTTP 流量。遠(yuǎn)程管理用戶(hù)常常要從遠(yuǎn)程計(jì)算機(jī)管理 ISA Server。小心確定允許哪些遠(yuǎn)程計(jì)算機(jī)管理和監(jiān)視 ISA Server。下表顯示了應(yīng)當(dāng)配置的系統(tǒng)策略規(guī)則。配置組規(guī)則名稱(chēng)規(guī)則描述Microsoft 管理控制臺(tái)允許從所選計(jì)算機(jī)使用 MMC 進(jìn)行遠(yuǎn)程管理允許到所選計(jì)算機(jī)的 MS 防火墻控制通信允許“遠(yuǎn)程管理計(jì)算機(jī)”計(jì)算機(jī)集中的計(jì)算機(jī)使用 MS 防火墻控制和 RPC（所有接口）協(xié)議訪問(wèn) ISA Server 計(jì)算機(jī)。終端服務(wù)器允許從所選計(jì)算機(jī)使用終端服務(wù)器進(jìn)行遠(yuǎn)程管理允許“遠(yuǎn)程管理計(jì)算機(jī)”計(jì)算機(jī)集中的計(jì)算機(jī)使用 RDP（終端服務(wù)）協(xié)議訪問(wèn) ISA Server 計(jì)算機(jī)。ICMP (Ping)允許從所選計(jì)算機(jī)到 ISA Server 的 ICMP (PING) 請(qǐng)求允許“遠(yuǎn)程管理計(jì)算機(jī)”計(jì)算機(jī)集中的計(jì)算機(jī)使用 Ping 協(xié)議訪問(wèn) ISA Server 計(jì)算機(jī)，反之亦然。默認(rèn)狀態(tài)下啟用允許遠(yuǎn)程管理 ISA Server 的系統(tǒng)策略規(guī)則?？赏ㄟ^(guò)運(yùn)行 Microsoft 管理控制臺(tái) (MMC) 管理單元或使用終端服務(wù)來(lái)管理 ISA Server。這些規(guī)則默認(rèn)應(yīng)用于內(nèi)置“遠(yuǎn)程管理計(jì)算機(jī)”計(jì)算機(jī)集。安裝 ISA Server 時(shí)將創(chuàng)建該空計(jì)算機(jī)集。將該空計(jì)算機(jī)集添加到所有將遠(yuǎn)程管理 ISA Server 的計(jì)算機(jī)中。在將該空計(jì)算機(jī)集添加到所有將遠(yuǎn)程管理 ISA Server 的計(jì)算機(jī)之前，不可以從任何計(jì)算機(jī)上有效使用遠(yuǎn)程管理。提示： 通過(guò)配置系統(tǒng)策略規(guī)則以?xún)H應(yīng)用于特定 IP 地址來(lái)限制到特定計(jì)算機(jī)的遠(yuǎn)程管理。要想啟用遠(yuǎn)程管理，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“工具箱”選項(xiàng)卡上，單擊“網(wǎng)絡(luò)對(duì)象”。4. 在“網(wǎng)絡(luò)對(duì)象”下方的工具欄上，右鍵單擊“計(jì)算機(jī)集”下方的“遠(yuǎn)程管理計(jì)算機(jī)”，然后單擊“屬性”。5. 單擊“添加”，然后單擊“計(jì)算機(jī)”。6. 在“名稱(chēng)”中，鍵入計(jì)算機(jī)名。7. 在“計(jì)算機(jī) IP 地址”中，鍵入可遠(yuǎn)程管理 ISA Server 的計(jì)算機(jī)的 IP 地址。遠(yuǎn)程監(jiān)視和日志記錄默認(rèn)狀態(tài)下禁用遠(yuǎn)程日志記錄和監(jiān)視。默認(rèn)狀態(tài)下禁用以下配置組：l 遠(yuǎn)程日志記錄 (NetBIOS) l 遠(yuǎn)程日志記錄 (SQL) l 遠(yuǎn)程性能監(jiān)視 l Microsoft 操作管理器 下表描述了這些配置組。配置組規(guī)則名稱(chēng)規(guī)則描述遠(yuǎn)程日志記錄 (NetBIOS)允許使用 NetBIOS 遠(yuǎn)程記錄到受信任的服務(wù)器允許 ISA Server 計(jì)算機(jī)使用各種 NetBIOS 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程日志記錄 (SQL)允許從 ISA Server 到所選服務(wù)器的遠(yuǎn)程 SQL 日志記錄允許 ISA Server 計(jì)算機(jī)使用 Microsoft (SQL) 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。遠(yuǎn)程性能監(jiān)視允許從受信任的服務(wù)器遠(yuǎn)程監(jiān)視 ISA Server 的性能允許“遠(yuǎn)程管理計(jì)算機(jī)”計(jì)算機(jī)集中的計(jì)算機(jī)使用各種 NetBIOS 協(xié)議訪問(wèn) ISA Server 計(jì)算機(jī)。Microsoft 操作管理器允許使用 Microsoft 操作管理器 (MOM) 代理從 ISA Server 遠(yuǎn)程監(jiān)視受信任的服務(wù)器允許 ISA Server 計(jì)算機(jī)使用 Microsoft 操作管理器代理訪問(wèn)內(nèi)部網(wǎng)絡(luò)。啟用遠(yuǎn)程日志記錄和監(jiān)視要想啟用遠(yuǎn)程監(jiān)視和日志記錄，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的“配置組”樹(shù)中，選擇以下配置組中的一個(gè)或多個(gè)：l 遠(yuǎn)程日志記錄 (NetBIOS)l 遠(yuǎn)程日志記錄 (SQL)l 遠(yuǎn)程性能監(jiān)視l Microsoft 操作管理器5. 在“常規(guī)”選項(xiàng)卡上，確認(rèn)“啟用”已被選中。防火墻客戶(hù)端共享如果在安裝 ISA Server 時(shí)安裝了防火墻客戶(hù)端共享組件，則默認(rèn)啟用防火墻客戶(hù)端安裝共享配置組。內(nèi)部網(wǎng)絡(luò)上的所有計(jì)算機(jī)均可以訪問(wèn)該共享文件夾。下表顯示了已啟用的系統(tǒng)策略配置組（及規(guī)則）。配置組規(guī)則名稱(chēng)規(guī)則描述防火墻客戶(hù)端安裝允許從受信任的計(jì)算機(jī)訪問(wèn) ISA Server 上的防火墻客戶(hù)端安裝共享允許內(nèi)部網(wǎng)絡(luò)上的計(jì)算機(jī)使用多種 Microsoft CIFS 和 NetBIOS 協(xié)議訪問(wèn) ISA Server 計(jì)算機(jī)。當(dāng)啟用該規(guī)則時(shí)，將允許從任何網(wǎng)絡(luò)或指定計(jì)算機(jī)上使用 SMB 訪問(wèn) ISA Server 計(jì)算機(jī)。不僅限訪問(wèn)防火墻客戶(hù)端安裝共享文件夾。如果沒(méi)有安裝防火墻客戶(hù)端共享組件，則不啟用該配置組。診斷服務(wù)默認(rèn)情況下啟用允許訪問(wèn)診斷服務(wù)的系統(tǒng)策略規(guī)則，帶有以下權(quán)限：l ICMP。 面向所有網(wǎng)絡(luò)允許該權(quán)限。該服務(wù)對(duì)于確定與其他計(jì)算機(jī)的連接至關(guān)重要。l Windows 網(wǎng)絡(luò)。 默認(rèn)允許內(nèi)部網(wǎng)絡(luò)上計(jì)算機(jī)間的 NetBIOS 通信。l Microsoft 錯(cuò)誤報(bào)告。 允許 HTTP 訪問(wèn) Microsoft 錯(cuò)誤報(bào)告站點(diǎn) URL 集，以允許報(bào)告錯(cuò)誤信息。該 URL 集默認(rèn)包含特定的 Microsoft 站點(diǎn)。l 連接驗(yàn)證程序。 允許 ISA Server 計(jì)算機(jī)使用 HTTP 和 HTTPS 協(xié)議檢驗(yàn)特定計(jì)算機(jī)是否有響應(yīng)。下表顯示了默認(rèn)啟用的系統(tǒng)策略配置組。配置組規(guī)則名稱(chēng)規(guī)則描述ICMP允許從 ISA Server 到所選服務(wù)器的 ICMP 請(qǐng)求允許 ISA Server 計(jì)算機(jī)使用多種 ICMP 協(xié)議和 Ping 協(xié)議訪問(wèn)所有網(wǎng)絡(luò)。Windows 網(wǎng)絡(luò)允許從 ISA Server 到受信任的服務(wù)器的 NetBIOS允許 ISA Server 計(jì)算機(jī)使用多種 NetBIOS 協(xié)議訪問(wèn)所有網(wǎng)絡(luò)。與 Microsoft（Microsoft 錯(cuò)誤報(bào)告）的通信允許 ISA Server 與指定 Microsoft 錯(cuò)誤報(bào)告站點(diǎn)間的 HTTP/HTTPS允許 ISA Server 計(jì)算機(jī)使用 HTTP 或 HTTPS 協(xié)議訪問(wèn) Microsoft 錯(cuò)誤報(bào)告站點(diǎn) URL 集成員。連接驗(yàn)證程序此外，默認(rèn)情況下不啟用以下診斷服務(wù)：HTTP 連接驗(yàn)證程序。創(chuàng)建連接驗(yàn)證程序時(shí)將啟用 HTTP 連接驗(yàn)證程序配置組，允許本地主機(jī)網(wǎng)絡(luò)使用 HTTP 或 HTTPS 訪問(wèn)任何其他網(wǎng)絡(luò)上的計(jì)算機(jī)。下表描述了 HTTP 連接驗(yàn)證程序配置組。配置組規(guī)則名稱(chēng)規(guī)則描述HTTP 連接驗(yàn)證程序針對(duì) HTTP 連接驗(yàn)證程序允許從防火墻到與所有網(wǎng)絡(luò)的 HTTP/HTTPS允許 ISA Server 計(jì)算機(jī)通過(guò)發(fā)送 HTTP GET 請(qǐng)求到特定計(jì)算機(jī)來(lái)檢查連接。建議將該訪問(wèn)限制到想要檢驗(yàn)其連接的特定計(jì)算機(jī)。要想限制該訪問(wèn)，請(qǐng)執(zhí)行以下步驟。1. 單擊“開(kāi)始”，指向“所有程序”，指向“Microsoft ISA Server”，然后單擊“ISA Server 管理”。2. 在“ISA Server 管理”控制臺(tái)樹(shù)中，單擊“Microsoft ISA Server 2004”，單擊 server_name，然后單擊“防火墻策略”。3. 在“任務(wù)”選項(xiàng)卡上，單擊“編輯系統(tǒng)策略”。4. 在“系統(tǒng)策略編輯器”上的配置組”樹(shù)中，單擊“HTTP 連接驗(yàn)證程序”。5. 在“到”選項(xiàng)卡上，單擊“所有網(wǎng)絡(luò)（及本地主機(jī)）”，然后單擊“刪除”。6. 單擊“添加”，然后選擇想要檢驗(yàn)其連接的網(wǎng)絡(luò)實(shí)體。將允許從本地主機(jī)網(wǎng)絡(luò)（ISA Server 計(jì)算機(jī)）到“到”選項(xiàng)卡上列出的網(wǎng)絡(luò)實(shí)體的所有 HTTP 流量。SMTP默認(rèn)情況下啟用 SMTP 配置組，允許從 ISA Server 到內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的 SMTP 通信。例如，當(dāng)想要在電子郵件中發(fā)送警報(bào)信息時(shí)需要啟用 SMTP 配置組。下表描述了 SMTP 配置組。配置組規(guī)則名稱(chēng)規(guī)則描述SMTP允許從 ISA Server 到受信任的服務(wù)器的 SMTP允許 ISA Server 計(jì)算機(jī)使用 SMTP 協(xié)議訪問(wèn)內(nèi)部網(wǎng)絡(luò)。預(yù)定下載作業(yè)默認(rèn)情況下禁用預(yù)定下載作業(yè)功能。下表描述了預(yù)定下載作業(yè)配置組。配置組規(guī)則名稱(chēng)規(guī)則描述預(yù)定下載作業(yè)允許從 ISA Server 到所選計(jì)算機(jī)的 HTTP 以進(jìn)行內(nèi)容下載作業(yè)允許 ISA Server 計(jì)算機(jī)使用 HTTP 協(xié)議訪問(wèn)所有網(wǎng)絡(luò)。創(chuàng)建內(nèi)容下載作業(yè)時(shí)將提示啟用該系統(tǒng)策略規(guī)則。ISA Server 將能夠訪問(wèn)內(nèi)容下載作業(yè)中指定的站點(diǎn)。訪問(wèn) Microsoft 網(wǎng)站默認(rèn)系統(tǒng)策略允許從本地主機(jī)網(wǎng)絡(luò)（即 ISA Server 計(jì)算機(jī)）到 網(wǎng)站的 HTTP 和 HTTP