关闭

关闭

关闭

封号提示

内容

首页 两个小时成为ISA2004专家.pdf

两个小时成为ISA2004专家.pdf

两个小时成为ISA2004专家.pdf

上传者: 忐忑不安 2010-12-18 评分 0 0 0 0 0 0 暂无简介 简介 举报

简介:本文档为《两个小时成为ISA2004专家pdf》,可适用于IT/计算机领域,主题内容包含CopyrightbyISACNorghttp:wwwisacnorg第页共页两个小时成为ISAServer专家作者:风间子ISA中文站荣誉出品ht符等。

CopyrightbyISACNorghttp:wwwisacnorg第页共页两个小时成为ISAServer专家作者:风间子ISA中文站荣誉出品http:wwwISACNorgCopyrightbyISACNorghttp:wwwisacnorg第页共页目录一、ISA王者归来、新功能概述、全新的多网络架构支持、增强的虚拟专用网络(VPN)、更方便的管理()全新的管理界面()策略模板支持()配置的导出和导入()其他管理增强、全面的协议支持、让网络更安全()基于每个策略的HTTP过滤()阻止对所有可执行文件的访问()扩展名决定是否可以下载()“HTTP签名”控制HTTP访问()FTP只读策略二、安装ISAServer一、系统及网络需求二、建立内部的DNS服务器()安装内部的DNS服务器、配置内部客户使用内部的DNS服务器四、配置允许所有内部用户访问Internet的所有服务的访问规则、网络规则、访问规则()防火墙系统策略()建立访问策略、配置请求拨号五、使用边缘防火墙模板:五步建立访问策略六、两步启用HTTP缓存、设置缓存所用的驱动器、设置缓存规则七、ISAServer的系统和网络监控、报告、系统和网络监控、报告八、使用访问规则向导来禁止某些内部用户访问某些网站、新建网络对象、建立访问规则九、禁止使用PP软件QQ十、发布内部网络中的服务器、使用Web发布向导发布内部的Web站点CopyrightbyISACNorghttp:wwwisacnorg第页共页、使用服务器发布向导发布非标端口的内部ftp站点、使用邮件服务器发布向导发布内部的邮件服务器十一、利用ISAServer四步建立你自己的VPN服务器、启用VPN服务器、配置远程访问属性、给予用户拨入权限、建立访问规则十二、ISAServer的无人值守安装十三、远程管理ISAServer、允许计算机可以远程控制ISAServer、授权用户远程管理ISAServer十四、ISAServer的故障恢复CopyrightbyISACNorghttp:wwwisacnorg第页共页一、ISA王者归来作为著名路由级网络防火墙MicrosoftInternetSecurityandAccelerationServer(以下简称为ISAServer)的升级版微软已经在年月日发布了MicrosoftInternetSecurityandAcceleration(ISA)Server(以下简称为ISAServer)。它和ISAServer相比到底有哪些值得我们期待的新功能呢?本节详细地介绍ISAServer的新特性并且图文并茂的介绍了ISAServer中新增加的重要功能。图注ISAServer的天评估版安装界面、新功能概述和ISAServer相比ISAServer中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。CopyrightbyISACNorghttp:wwwisacnorg第页共页ISAServer新特性一览应用层过滤功能描述基于每个策略的HTTP过滤允许防火墙执行更深层次的HTTP协议状态检查并且可以基于每个策略来配置。阻止访问可执行文件禁止用户通过HTTP协议访问Windows下的可执行文件(比如Cmdexe)通过文件扩展名来控制HTTP策略可以基于文件扩展名来定义准许或者禁止访问HTTP过滤应用到所有的客户连接通过HTTP策略你可以控制所有的ISAServer客户连接HTTP签名可以建立“HTTP签名”来和客户请求的URL进行比较从而精确地控制内部和外部用户控制允许的HTTP方式控制用户HTTP访问的方式。例如你可以限制HTTPPOST来阻止用户向Web站点上传数据支持Outlook的RPC连接ISAServer允许Internet用户通过Outlook访问内部Exchange服务器。FTP策略FTP策略甚至可以让用户只能下载数据安全与防火墙功能描述协议支持支持对任何协议(包括IP等级协议)访问和使用的控制。支持需要多个主连接的复杂协议许多流媒体和音频视频应用这种复杂协议在ISAServer中也提供了支持。你可以管理它们也可以通过易于使用的协议向导轻松建立协议。可自定义的协议允许控制任何协议的源和目的端口这让你可以从更高级别上管理允许进入和流出的数据包。方便的Hotmail支持通过简单的防火墙设置即可访问Hotmail而不需要其他在客户端或者防火墙上进行特殊设置防火墙规则向导ISAServer包含的新规则向导集让你建立策略更轻松。OWA发布向导OutlookWebAccess发布向导可以很方便地建立Exchange服务器的SSL访问规则。FTP支持允许访问非标准端口的InternetFTP服务。多网络功能描述多网络配置可以配置一个或多个网络并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的而不必相对于给定的内部网络。唯一的基于网络的策略ISA服务器的多网络功能使您可以限制客户端(甚至您自己组织内部的客户端)之间的通讯从而防止网络受到内部和外来的安全威胁。CopyrightbyISACNorghttp:wwwisacnorg第页共页网络模板ISA服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的通讯配置防火墙策略。NAT和路由网络关系ISAServer中可以根据网络之间所允许的访问和通讯类型来定义网络关系。主要包括NAT和路由两种关系。监视和报告功能描述实时日志监控可以实时监控防火墙、WebProxy和SMTP邮件的日志。内建日志查询工具支持使用内建的日志查询工具来查询日志文件。对防火墙会话的实时监控和过滤可以即时监控所有活动的防火墙会话也可以使用内建的会话过滤工具来对会话进行过滤连接验证器你可以通过连接验证器来验证到一个指定的计算机或者URL之间是否连通。你可以通过以下方式来决定连通性:Ping、连接到特定端口的TCP或者HTTPGET。你可以通过IP地址、计算机名字或者URL来指定验证的对象。自定义ISAServer报告ISAServer包含了一个增强的报告自定义特性允许你在报告中记录更多信息。报告发布ISAServer报告生成工具可以自动保存一个副本在本地目录或者网络共享文件目录方便其他用户访问。报告完成后的Email通知你可以配置报告生成工具在某个报告完成后给你发送一个电子邮件。可以自定义报告跨越的时限ISAServer可以让你自定义报告所跨越的时限这给你更多的可扩展性。增强的SQL服务器记录你可以把日志记录在内部网络中另外一台运行SQLServer数据库的计算机上。记录到MSDE数据库日志可以存储为MSDE格式记录在本地数据库增强了速度和扩展性。管理功能描述管理ISAServer包含了新的管理特性新的用户界面包含任务面板、帮助面板、一个改进的开始向导和和全新的防火墙策略编辑器。导入和导出ISAServer引入了导入和导出配置信息的能力从而大大简化了重复的配置工作。防火墙管理员权限委派向导防火墙管理员权限委派向导帮助你给用户或用户组分配管理角色。这些预定义的角色可以让你委派不同级别的管理任务到用户。VPN网络功能描述CopyrightbyISACNorghttp:wwwisacnorg第页共页VPN状态过滤和检测VPN客户端被配置为单独的网络你可以为VPN客户端创建单独的策略。规则引擎会有区别地检查来自VPN客户端的请求对这些请求进行状态检查并基于访问策略动态地打开连接。SitetoSite的VPN隧道的通信状态检查和过滤ISAServer对SitetoSite的VPN隧道连接引入了状态检查和过滤机制。VPN隔离控制在确认符合公司的安全要求前可以将VPN客户端隔离到“被隔离的VPN客户端”网络中。发布VPN服务器使用ISAServer服务器发布策略来发布VPN服务器让ISAServer中智能的PPTP应用过滤器执行负责的连接管理。支持SitetoSiteVPN链路上的IPSec隧道模式ISAServer中可以使用IPSec隧道模式作为VPN协议而且它可以和许多第三方VPN解决方案一同工作。、全新的多网络架构支持通常来说内部网络的概念是指公司内部网络中的所有计算机外部网络是指公司内部网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的用户的出现从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部并希望像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器(尤其是Web服务器)可接受公开访问但希望将这些服务器组织成一个单独的网络(DMZ网络)。ISAServer服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。多网络支持影响到大部分ISAServer服务器的防火墙功能。使用ISAServer服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯从而防止网络受到内部和外来的安全威胁。可以通过在ISAServer服务器中定义各个网络之间的关系从而确定各个网络中的计算机如何通过ISAServer服务器相互进行通信。还可以将计算机组织成ISAServer服务器网络对象(如计算机集和地址范围)并针对各个网络对象配置相应的访问策略。在常见的服务器发布方案中您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。ISAServer服务器的多网络功能支持这样的方案让你可以很方便的配置公司网络中的客户端如何访问DMZ网络以及Internet上的客户端如何访问DMZ网络。你也可以配置各个不同网络之间的关系从而在各个网络之间定义不同的访问策略。ISAServer服务器中新增了网络模板和网络模板向导的功能使得你可以很方便的配置你的网络拓扑结构。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注多网络的公司网络架构在该图中ISAServer服务器连接Internet(外部网络)、公司网络(内部网络)和DMZ网络。ISAServer服务器上有三个网络适配器每个网络适配器都连接到其中的一个网络。通过使用ISAServer服务器你可以在任何网络之间配置不同的访问策略也可以确定各个网络中的计算机是否可以相互进行通讯以及如果是将采用什么方式。网络间是独立的只有在你配置了允许通讯的规则时才是可访问的。为了实施多网络方案ISAServer服务器引入了下列概念:l网络:从ISAServer服务器的角度看网络是可以包含一个或多个IP地址范围或域的元素。网络包含一台或多台计算机并且始终对应于ISAServer服务器上的特定网络适配器。您可以对一个或多个网络应用规则。l网络对象:创建网络后可以将其组织成网络对象集(子网、地址范围、计算机集、URL集或域名集)。规则可以应用于网络或网络对象。l网络规则:可以配置网络规则以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转换(NAT)或路由(Route)。、增强的虚拟专用网络(VPN)ISAServer服务器改进后的VPN管理功能可以帮助您轻松的设置虚拟专用网络(VPN)并且由于支持产业标准Internet协议安全(IPSec)所以ISAServer可以加入到其他供应商提供的已有VPN基础结构的环境中其中包括那些对站点到站点连接采用IPSec隧道模式配置的环境。通过ISAServer中极具人性化的向导你可以很轻松的建立自己的VPN服务器。在后面我们可以看到只需要四个步骤你就可以为外部用户提供VPN接入服务。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注ISAServer中全面增强了VPN功能在ISAServer中有两种类型的VPN连接:l远程访问VPN连接。客户端建立远程访问VPN连接以连接到专用网络。ISAServer服务器作为VPN接入服务器远程客户通过连接它来进入内部网络。l站点到站点的VPN连接。两个VPN服务器之间建立站点到站点的VPN连接将专用网络的两个部分安全地连接起来。将ISAServer服务器作为VPN服务器的好处是可以防止公司网络受到恶意VPN连接的威胁。通过新增的多网络支持和对VPN监控状态的检查ISAServer能很好的保证VPN的安全。同时VPN服务器集成到了防火墙功能中所以为预配置的VPN客户端网络定义的ISAServer服务器访问策略都适用于VPN用户。所有VPN客户端都属于VPN客户端网络并且受到防火墙策略的限制。ISAServer服务器中新增的隔离模式可以确保在允许客户端加入VPN客户端网络(通常具有不受限制的内部网络访问权限)之前先检查其是否符合公司的软件策略。通过使用隔离控制可以在真正地允许远程(VPN)客户端访问网络之前将其限定为隔离模式从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后会依照您指定的隔离类型对连接应用标准的VPN策略。例如隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范攻击者但是已授权的用户在访问网络前其计算机配置可以得到验证如有必要也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。可以为每个VPN客户端网络创建两个不同的策略:CopyrightbyISACNorghttp:wwwisacnorg第页共页l被隔离的VPN客户端网络。将访问限制在某些服务器的范围内客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。lVPN客户端网络。可以允许访问所有公司(内部网络)资源或者根据需要限制访问。VPN客户端网络将拥有与外部网络的NAT关系。系统将配置一个定义VPN网络与外部网络之间的NAT关系的网络规则。、更方便的管理ISAServer在管理方面进行了极大的改进使用起来更加的方便。()全新的管理界面为了方便管理ISAServer的管理主界面看上去更加简洁给用户一种亲切感。图注ISAServer管理控制台的监视节点界面清爽易用()策略模板支持ISAServer在网络方面一个重要的新增功能是提供了网络配置模板可以让你轻松的设置防火墙策略。ISAServer提供了个预定义的网络模板:边缘防火墙、CopyrightbyISACNorghttp:wwwisacnorg第页共页向外围网络(含DMZ)、前端防火墙、背部防火墙、单网络适配器。图注ISAServer中的模板大大降低了配置难度()配置的导出和导入ISAServer服务器新增了配置的导出和导入功能您可以使用该功能将服务器配置参数保存到一个xml文件中然后将该信息从文件导入到另一台服务器中。你可以将配置保存到您拥有写入权限的任何目录和文件中。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注备份、还原可以免除你重装系统之后的重复配置之苦()其他管理增强ISAServer在管理方面还增加了很多人性化的功能让我们在管理、配置ISAServer时更方便。仪表板仪表板是ISAServer中的一个新颖的设计通过它你可以对ISAServer当前的状态一清二楚。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注一目了然的仪表盘实时的日志监控ISAServer的日志系统是通过简化版的SQLServer来实现的不但高效而且性能卓越。可用于查询的条件达到了几十项如ClientIP、连接状态等等。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注ISAServer中新增的”实时日志监控”强大的报告功能报告是ISAServer日志系统中一个划时代的改进。简单的操作、丰富的选项和发布的容易让ISAServer的报告功能成为了让网管选择ISAServer的一大杀手锏。ISAServer生成的报告是纯html文件非常方便你共享给其他用户观看。而且报告内容的详细程度会令你大吃一惊。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注ISAServer的报表功能十分强大、全面的协议支持ISAServer中定义了绝大部分的通用协议有上百种之多。另外作为与ISAServer相比在协议支持上最大的改进ISAServer并不需要用户访问的服务必须在ISAServer的协议中有定义。例如过去在ISAServer中如果想使用QQ那么必须为QQ新建一个协议定义但是在ISAServer中你只需要简单的允许内部用户访问外部网络的所有服务就可以正常的使用QQ了。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注ISAServer支持上百种协议、让网络更安全作为一款企业级的防火墙软件ISAServer在安全方面也有了长足的改进。()基于每个策略的HTTP过滤ISAServer中的HTTP过滤策略是基于每条防火墙策略进行配置的只要这防火墙策略中包含了HTTP协议就可以配置该防火墙策略的HTTP策略。如下面两张图第二条和第三条两个不同的策略都包含有HTTP协议(协议为所有出站通讯包含HTTP协议)所以都可以”配置HTTP”。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注基于策略的HTTP过滤()阻止对所有可执行文件的访问我们知道对于WindowsXP下的攻击很多时候是以得到服务器的Shell为目标的这就需要执行服务器上的Cmdexe。ISAServer中可以明确禁止访问服务器上的Exe可执行文件这样类似的攻击就不防而灭了……CopyrightbyISACNorghttp:wwwisacnorg第页共页图注禁止访问服务器上的可执行文件从而防止对服务器发动特定攻击()扩展名决定是否可以下载通过配置HTTP过滤你可以通过文件的扩展名来控制用户可以访问的Web内容。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注只允许用户访问有限的Web内容()“HTTP签名”控制HTTP访问ISAServer的深层HTTP检查机制可以让你建立”HTTP签名”来和客户请求的URL进行比较这样可以让你精确的控制通过ISAServer防火墙进行访问的内部和外部用户例如微软安全公告MS中的OE溢出漏洞是通过在HTTP头中的路径名来进行。你可以在”配置HTTP”中阻止带有这个特征的HTTP数据。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注“HTTP签名”可以防止类似”DownloadJet”的蠕虫攻击()FTP只读策略在ISAServer提供了一个FTP的只读策略可以设置是否允许用户上传数据到FTP服务器中。CopyrightbyISACNorghttp:wwwisacnorg第页共页图注如果选择只读则用户只能从FTP服务器上下载数据而不能上传作为一次全新架构的升级和ISAServer相比ISAServer也不仅仅是增加和改进功能在管理的易用性方面也有了长足的进步接下来让我们进入ISAServer的配置!CopyrightbyISACNorghttp:wwwisacnorg第页共页二、安装ISAServer一、系统及网络需求要使用ISAServer服务器您需要:lCPU:至少MHz最多支持四个CPUl内存:至少MB(不过在实际情况中M的内存下都可以运行ISAServer只是性能没有那么好)l硬盘空间:MB不含缓存使用的磁盘空间l操作系统:WindowsServer或WindowsServer操作系统强烈推荐在WindowsServer上安装。如果在运行WindowsServer的计算机上安装ISAServer服务器那么必须达到以下要求:Ø必须安装WindowsServicePack或更高版本Ø必须安装InternetExplorer或更高版本Ø如果您使用的是WindowsSP整合安装还要求打KB补丁(关于EventsforAuthorizationRolesAreNotLoggedintheSecurityLogWhenYouConfigureAuditingforWindowsAuthorizationManagerRuntime可在http:gomicrosoftcomfwlinkLinkId=下载)l网络适配器:必须为连接到ISAServer服务器的每个网络单独准备一个网络适配器至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISAServer服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自Internet的内容使用。lDNS服务器:ISAServer服务器不具备转发DNS请求的功能必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器或者使用外网(Internet)的DNS服务器。由于DNS服务在ISAServer环境中的重要性我们会在文章中使用一个章节来介绍如何建立内部的DNS服务器。l网络:在安装ISAServer服务器以前应保证网络正常工作这样可以避免一些未知的问题。二、建立内部的DNS服务器DNS服务是一个很重要的基础服务很多应用是基于DNS服务的例如最常用的HTTP浏览。在这个章节中你可以学习到如何建立内部的DNS服务器。在很多使用ISAServer的情况往往是ISAServer计算机的外部网卡上获得了ISP的DNS服务器地址并且可以进行FQDN名字的解析但是内部的客户想要解析DNS名字的话方法只有两种:、在内部客户机上设置DNS地址为外部ISP的dns服务器、在内部建立一个DNS服务器内部客户使用这个内部的DNS服务器然后内部的DNS服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说第一种方式要好但是CopyrightbyISACNorghttp:wwwisacnorg第页共页从可控性和扩展性还有网络的效率来说第二种方式要好特别是对于采用了域的环境必须采用第二种方式进行DNS的转发。利用Windows服务器版本中的全功能DNS服务器可以很完美的实现内部的DNS服务器。需要注意的是具有Web代理客户或者防火墙客户属性的内部客户浏览Web是不需要DNS服务器的。因为此时是通过ISA的Web代理服务中转内部不会直接访问DNS服务的只要ISA服务器可以解析DNS名字就行了。但是除开浏览器的其他需要DNS解析的应用是不行的。()安装内部的DNS服务器在需要安装DNS服务的计算机上(可以不和ISAServer安装在一台计算机上但操作系统必须是Windows服务器版本我在此把DNS服务器安装在ISAServer同台计算机上)打开控制面板下的添加删除程序点击添加删除Windows组件在Windows组件向导中双击网络服务勾选域名系统(DNS)点击”确定”再点击”下一步”安装过程中可能需要你插入Windows的安装光盘。安装好后在管理工具中可以看见”DNS”管理控制台点击后弹出界面如下右击服务器选择属性CopyrightbyISACNorghttp:wwwisacnorg第页共页DNS服务器的设置很简单主要的几个地方:()接口:由于只是给内部使用可以只绑定在内部接口上CopyrightbyISACNorghttp:wwwisacnorg第页共页()转发器:这个地方的设置比较重要先选择上面的”所有其他DNS域”然后在下面的转发器IP地址列表中添加你从ISP获得的DNS服务器的IP。内部的DNS服务器就设置完了当然你自己也可以建立名字解析和DNS名字域来使用。另外还需要说明的一点DNS可以独立使用的不是必须得和活动目录结合使用的。、配置内部客户使用内部的DNS服务器如下图在内部客户机的网络连接属性里面配置”Internet协议(TCPIP)”的属性设置DNS服务器地址为新建的内部DNS服务器地址CopyrightbyISACNorghttp:wwwisacnorg第页共页此时客户机就设置好了你可以通过pingwwwisaservercnorg来试验内部的DNS服务器工作是否正常三、安装ISAServer因为在静态IP的环境中配置ISAServer过于简单我们以国内使用更为广泛的ADSL拨号来进行演示。在这个演示过程中我们的实验网络拓朴结构如下图所示内部客户通过ISAServer防火墙上安装的ADSL拨号连接到Internet。在ISAServer服务器上已经建立好了一个内部的DNS服务器所有客户端以ISAServer机的内部接口()作为它的网关和DNS服务器。由于在设计的时候考虑了很多人性化特性和管理特性ISAServer使用起来非常简单但是这一切CopyrightbyISACNorghttp:wwwisacnorg第页共页都是以正确的安装为基础的所以我们会对安装ISAServer进行着重的介绍。我们安装的版本是ISAServer中文标准版。运行ISAServer安装光盘根目录下的ISAAutorunexe开始ISAServer的安装如下图:点击“安装ISAServer”出现安装界面:CopyrightbyISACNorghttp:wwwisacnorg第页共页点击“下一步”在授权画面上选择“我接受许可协议中的条款”然后点击“下一步”在客户信息页输入个人信息和产品序列号点击“下一步”继续。在安装类型页如果你想改变ISAServer的默认安装选项可以点击“自定义”然后点击“下一步”:CopyrightbyISACNorghttp:wwwisacnorg第页共页在“自定义”页你可以选择安装的组件默认情况下会安装防火墙服务器和ISA服务器管理而防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序需要先在ISAServer服务器上安装IISSMTP服务点击“下一步”继续。在内部网络页点击“添加”按钮CopyrightbyISACNorghttp:wwwisacnorg第页共页内部网络和ISAServer中使用的LAT已经大大不同了。在ISAServer中内部网络定义为ISAServer必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISAServer到内部网络的部分通信。在地址添加对话框中点击“选择网卡”出现“选择网卡”对话框:在“选择网卡”对话框中移去“添加下列专用范围”选项保留“基于Windows路由表添加地址范围”选项选择连接内部网络的适配器点击“确定”。在弹出的提示对话框中点击“确定”CopyrightbyISACNorghttp:wwwisacnorg第页共页在内部网络地址对话框中点击“确定”然后在内部网络页点击“下一步”:在防火墙客户端连接设置页上如果你的客户机上使用了ISAServer的防火墙客户端则可以勾选“允许运行早期版本的防火墙客户端软件的计算机连接”点击“下一步”CopyrightbyISACNorghttp:wwwisacnorg第页共页在服务页点击“下一步”在“可以安装程序了”页点击安装CopyrightbyISACNorghttp:wwwisacnorg第页共页在安装向导完成页选择“在向导关闭时运行ISA服务器管理”然后点击“完成”。此时会出现MicrosoftInternetSecurityandAccelerationServer控制台。CopyrightbyISACNorghttp:wwwisacnorg第页共页四、配置允许所有内部用户访问Internet的所有服务的访问规则在ISAServer中防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间是否能访问、以及如果可以访问则该如何进行访问而访问规则则定义了用户(内、外网)的访问服务器发布规则则定义了如何让用户访问服务器。、网络规则网络规则是ISAServer中的一个划时代的改进通过网络规则来定义并描述网络拓扑ISAServer轻松的跨越了ISAServer只有一个LAT表的限制可以很完美的支持复杂的网络环境。网络规则确定两个网络之间是否存在连接以及定义如何进行连接。网络连接的方式有:l路由:当指定这种类型的连接时来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时可以使用路由网络规则。l网络地址转换(NAT):当指定这种类型的连接时ISA服务器将用它自己的IP地址替换源网络中的客户端的IP地址。当定义内部网络与外部网络之间的关系时可以使用NAT网络规则。路由网络关系是双向的。如果定义了从网络A到网络B的路由关系那么从网络B到网络A也存在着路由关系。相反NAT关系则是唯一的和单向的。如果定义了从网络A到网络B的NAT关系则不能定义从B到A的网络关系。您可以创建定义双向关系的网络规则但是ISA服务器将忽略有序规则列表中的第二条网络规则。安装时会创建以下默认规则:l本地主机访问:此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。lVPN客户端到内部网络:此规则指定在两个VPN客户端网络(”VPN客户端”和”被隔离的VPN客户端”)与内部网络之间存在着路由关系。lInternet访问:此规则定义了在内部受保护的网络(如内部、VPN客户端等)与外部网络之间存在的NAT关系。CopyrightbyISACNorghttp:wwwisacnorg第页共页、访问规则()防火墙系统策略在安装ISAServer服务器时会创建默认的系统策略。系统策略允许ISAServer服务器访问它连接到的网络的特定服务。在防火墙策略上点击右键指向”查看”然后点击”显示系统策略规则”或者点击图标栏上最右边的快捷图标:右边出现了系统策略如下图所示标注的地方表明ISASevrer服务器可以像任何网络发起DNS请求。CopyrightbyISACNorghttp:wwwisacnorg第页共页注意:所有系统策略类别都是在安装ISA服务器时默认启用的我们建议你根据自己的需求来禁用不需要的系统策略类别。()建立访问策略如果你过去使用过ISAServer那么相信你对在它的使用中必须为自身不带协议定义的网络服务(如QQ等)建立协议后才能使用这些服务、否则就必须为客户安装防火墙客户端的事情记忆犹新吧ISAServer主要是考虑到网络的安全性但是同时因为这点也让很多人放弃了使用ISAServer。ISAServer充分吸取了ISAServer的经验再也不要求必须为用户所访问的服务定义协议现在你只需要一条策略就可以让内部客户完全的访问Internet上的所有服务。安装好ISAServer后现在我们需要建立访问策略以允许内部客户访问Internet。我们现在就以允许所有的内部客户访问Internet上的所有服务为例给大家建立策略。在ISAServer为

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +2积分

资料评价:

/22
仅支持在线阅读

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部