ISA服务器的用户管理和客户端密码验证

接下来测试ISA服务器的用户管理能力，首先在ISA服务器上建立一个用户firewall，并建立一个用户组luyouqiwang，把用户加入这个用户组。在ISA的用户设置中，把luyouqiwang这个用户组加入，在修改先前配置的策略，把所有用户改为luyouqiwang这个组。通过Webxp机器来访问Internet时，会自动弹出输入用户名和密码的框，只要输入正确的用户名和密码就可以上网了。

ISA还支持一些验证方法，用来保护输入用户名和密码时加密工作。这些看看就可以啦，这个方法已经脱离了路由器学习的范畴了，所以这里不做这个实验。

当使用ISA自己默认的协议类型时，有时候不大方便，因为它所定义的http指的就是80端口，如果有特殊端口的web服务器，不是就不能访问了吗？！所有要在协议工具箱中自己定义一个特殊端口的协议。

在ISA中有一个小功能是连接性验证，可以验证ISA服务器和其他服务器的连通性。ISA还可以生成一个一段时间的报告，报告内容详细而且便于查找，可以在监视选项卡下找到。要生成一个报告看报告中的内容都包括哪些。

如果内网有使用即时通讯软件的需求，就需要开放软件的相关端口，同时要开放SOCKS V4筛选器。关键的问题是如何阻止部分内网机器使用即时通讯软件，首先要关闭即时通讯软件使用的端口，如果可能要的话，要关闭SOCKS V4筛选器。再有就是使用阻止签名字符串的方式和阻挡内容类型的方式了。这两个是应用性防火墙的优势所在。这些设置是在规则的内容类型和http筛选里面做的。由于QQ使用的是443来连接服务器，而443是SSL的端口，也就是这个连接是加了密的，因此不能使用签名和内容类型来阻止了，只能使用IP地址来阻止，所有要收集腾讯服务器的IP地址，还要随时观察IP的变化。很是麻烦，不过可以使用组策略的方式来阻止使用QQ软件，这个设计到域的内容，不过我接的组策略的阻止功能也一般，很容易绕过的。

ISA服务器可以针对某个特定的规则来要求客户端必须验证身份。因为使用IE的时候会弹出输入用户名和密码的框，所有只要你有正确的用户名和密码就可以浏览网页，但是大部分的聊天软件并不会弹出这个框，所有也就阻止了他们访问网络。但是这个阻止不好用，老是弹出用户名和密码是很麻烦的。