防火墙的需求,规划,架构,选型,策略配置

VPN 客户端和防火墙策略要通过使用 ISA Server 2004 来允许远程虚拟专用网络 (VPN) 客户端，必须启用 VPN 客户端访问。有关说明，请参阅启用远程 VPN 客户端访问。当启用 VPN 客户端访问时，ISA 服务器启用适当的网络和防火墙策略规则以允许初始访问。

当允许远程 VPN 客户端连接时，ISA Server 2004 使这些客户端成为 VPN 客户端网络的成员。默认系统策略规则允许这些客户端访问 ISA 服务器计算机（本地主机网络）。

系统策略规则
启用 VPN 客户端访问时，将启用名为“允许 ISA 服务器的 VPN 客户端通讯”的系统策略规则。根据您为远程客户端访问配置的协议，系统策略规则允许使用点到点隧道协议 (PPTP) 和/或第 2 层隧道协议 (L2TP) 来从外部网络（VPN 客户端的假定位置）连接到 ISA 服务器计算机（本地主机）。当配置下列远程 VPN 客户端访问属性时，可以修改这一规则：

VPN 访问网络。最初设置为外部网络，您可以修改这一属性。可以为能够连接到 ISA 服务器的 VPN 客户端指定一个或多个网络。当修改此属性时，系统策略规则自动更改，以便可以适用于额外的或其他的网络。
VPN 协议。用于远程 VPN 客户端访问的 VPN 协议可以是 PPTP 和/或 L2TP。当修改此设置时，系统策略规则得到更新以便允许使用适当的协议。
网络规则
安装 ISA 服务器时创建的默认网络规则定义了内部网络与 VPN 客户端网络之间的路由关系。当安装 ISA 服务器时，还会创建另一条默认规则，允许从 VPN 客户端网络访问外部网络。可以创建新的网络规则，以便允许从 VPN 客户端网络到其他网络的通讯。有关网络规则的详细信息，请参阅网络规则。

ISA 服务器可以充当 VPN 客户端的地址解析协议 (ARP) 代理。例如，如果分配给 VPN 客户端网络的地址是内部网段的一部分，则无论地址是从静态池中分配的还是由 DHCP 服务器分配的，内部网络中的计算机都会向 VPN 客户端发送 ARP 查询。ISA 服务器将拦截查询，并代表已连接的 VPN 客户端作出答复。

您不