作为一个ISA防火墙管理员......
    为了使用ISA防火墙,你应该掌握以下基础知识:
TCP/IP网络和路由基础 
Windows 网络基础服务(DNS、DHCP、WINS)
远程访问技术基础(×××)
为了更好的使用ISA防火墙和排除其故障,建议你掌握:
虚拟机: Virtual PC   Virtual Server
Sniffer:
WildPackets  EtherPeek/Omnipeek
NetworkInstruments Observer
Microsoft Network Monitor 3.1
使用ISA Server......
由于ISA Server的管理界面及操作非常人性化,ISA Server的配置非常简单
但是由于涉及的方面太广,要正确的配置ISA Server却不简单: Need  Why  How
ISA Server内核高度封装: 执行排错和故障分析比较困难
Troubleshooting ISA:
对ISA Server具有深入的了解是执行排错的基础
如果不能确定具体的原因,则从易到难、从简到繁执行排错;
熟悉排错工具的使用,并且了解这些工具的使用场景;
做任何修改之前,记得对ISA进行备份;
不要在ISA服务器上安装无必要的软件。
用于排错的支持工具: 警告  增强型日志查看  诊断日志  性能监视器  ISA最佳实践分析工具(BPA)  TCP/IP诊断工具  Sniffer
增强型日志查看:
需要安装KB 939455,  ISA 2006支持更新包
提供更为直观、清晰的日志查看: 日志说明窗格  日志着色 
诊断日志:
需要安装KB 939455, ISA 2006支持更新包;
提供ISA Server内部工作过程的跟踪信息;
防火墙策略访问: 提供有关防火墙策略规则评估的诊断事件;
身份验证: 提供有关ISA 服务器身份验证过程的信息。
对性能会有较大影响;
十大故障:
Windows 2003 SP2兼容性问题;
HTTP兼容性问题;
访问非443端口的HTTPS被拒绝;
SNAT不支持用户身份验证;
FTP无法上传;
无法访问外部网络;
Web发布-阻止高位字符;
Web发布-拒绝在HTTP上进行身份验证;
防火墙客户端无法正常连接到ISA
用户超出连接限制
ISA与Windows  2003 SP2的兼容性问题:
症状: 安装SP2之后,NAT无法正常工作或服务器无法正常通讯;
故障原因: 网络适配器硬件所计算出来的TCP哈希值与NAT所计算出来的TCP哈希值不一致,导致数据包无法正确识别;
解决方案: HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS = 0   在设备管理器硬件高级属性中关闭接收端调节功能。
HTTP兼容性问题:
症状:
访问web站点时出现: 通过其他路由器可以访问Web站点,但是通过ISA无法访问等
64找不到主机,但是DNS解析正常;
无法访问,在日志中显示被HTTP过虑器拒绝;
日志中显示失败的连接尝试;
不支持的HTTP头;
解压缩失败/不支持的压缩方式等;
......
故障原因:
ISA是应用层防火墙,可以根据访问的Web站点内容来进行访问控制; 
ISA严格按照RFC国际标准进行过滤;
目前很多Web站点不是严格按照RFC标准进行开发;
导致访问这些Web站点时,被ISA的应用层过滤所拒绝;
部分程序为了防止普通防火墙的封锁,通过TCP 80端口来传输非HTTP数据,例如QQ等
解决方案:
进行操作之前,考虑安全风险先;
针对此服务器使用自定义TCP 80出站协议访问: 不要配置客户为Web代理客户;
禁用HTTP压缩;
禁用对应的Web过滤器: HTTP压缩筛选器与缓存压缩内容筛选器;
禁用ISA的Web应用层过滤
访问非443端口的HTTPS被拒绝:
症状: Web代理客户在使用HTTPS访问非443端口的安全Web服务时,被ISA拒绝;
故障原因: 为了防止用户的非法访问,ISA的Web应用层过滤只允许基于标准HTTPS端口TCP 443的HTTPS连接。
解决方案: 配置客户为SNAT或者FWC客户   扩展SSL端口;
SNAT客户不支持用户身份验证:
症状: 当防火墙策略要求用户身份验证时,SNAT客户无法进行访问;
故障原因: SNAT客户不支持用户身份验证,因此当防火墙策略要求用户身份验证时,SNAT客户的访问请求被ISA拒绝。
解决方案: 取消用户身份验证  配置客户为Web代理客户或防火墙客户。
FTP无法上传:
症状: 当成功连接到FTP服务器(TCP 21端口)后,无法上传数据;错误显示为550,访问被拒绝;
故障原因: 为了保障企业网络的安全性,默认情况下,ISA的应用层过滤禁止FTP上传;
解决方案: 在防火墙策略的配置FTP中取消"只读"选项;
无法访问外部网络:
症状: 无法访问外部网络或部分程序无法访问;
故障原因: 防火墙策略未允许;
解决方案: 建立访问规则允许用户访问  分析防火墙日志,获取应用程序需要开放的端口;
Web发布-阻止高位字符:
症状: 无法使用包含非ANSI字符的URL地址(例如包含中文字符的URL)来访问发布的Web服务器;
故障原因: 为了保障Web服务器的安全性,ISA拒绝包含非ANSI字符的URL地址;
解决方案: 取消阻止高位字符;
Web发布-拒绝在HTTP上进行身份验证:
症状: 用户访问HTTP服务器,当要求用户身份验证,访问被ISA拒绝;
故障原因: 为了保障Web服务器的安全性,默认情况下,ISA 2006拒绝在HTTP上进行身份验证;
解决方案: 取消禁止在HTTP上进行身份验证;
防火墙客户端无法正常连接到ISA:
症状: 当FWC连接ISA时,测试返回无法解析的名字,从而不能正常的连接到ISA;
故障原因: 默认情况下,ISA使用自己的FQDN来作为返回给FWC的名字,但是如果FWC不能正确解析此名字,则提示上述错误;
解决方案: 配置ISA使用IP作为返回给FWC的名字  确保针对ISA域名的DNS解析成功;
用户超出连接限制:
症状: 用户无法进行访问  日志中出现"QUOTA_EXCEED"等信息;
故障原因: 用户超出了ISA的并发连接限制;
解决方案: 检查此用户是否使用P2P软件或中病毒  提高ISA并发连接限制;