Microsoft ISA Server 2000 Standard Edition - 安装及部署手册

Microsoft ISA Server 2000 Standard Edition - 安装及部署手册 Internet 提供組織一個與客戶、合作夥伴、以及雇員聯繫的新契機。在其呈現出絕佳機會的同時,它也隱藏在安全性、效能與管理性方面的新風險和考量。Microsoft Internet Security and Acceleration (ISA) Server 可以滿足今日以 Internet 為基礎的商務需求。ISA Server 提供了一項多層式防火牆,可協助保護您的網路資源。ISA Server 的 Web 快取處理可讓組織節省網路頻寬,並且從本端來源來伺服物件,而不是透過會定期擁塞的 Internet,以便對使用者提供更快速的 Web 存取。 不論將 ISA Server 部署為專用元件,或整合防火牆及快取處理伺服器,它都會提供一致的管理主控台,以簡化安全設定與存取管理。ISA Server 是專門為 Windows 2000 平台而建置,所以能以強大的整合式管理工具,來提供安全且快速的 Internet 連線。 對於各種規模的組織中,那些關心安全性、效能、管理性或網路作業成本的資訊技術管理者、網路管理者以及資訊安全專業人員而言,ISA Server 能夠提供他們寶貴的資料。ISA Server 可在一系列的實例中使用,範圍涵蓋了小型辦公室與分公司,到 Internet 服務提供者 (ISP) 以及 Web 主機代管公司與電子商務站台。 適用讀者 此手冊是為了想要學習在其網路中如何安裝與部署 ISA Sever 的系統專家、網路系統管理員,以及小型企業的超強使用者而撰寫的。本手冊假設您已熟悉基本的網路概念,包括對 DNS、DHCP、路由及遠端存取、傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 網路作業,以及其他 Windows 網路作業元件。 手冊目的 此手冊呈現給您 ISA Server 的總覽,以及規劃此軟體執行方式所需的背景資訊。 在此手冊中,也包含關於安裝程序的詳細程序、後置安裝設定的檢查清單,以及 ISA Server 如何在您的網路中使用的詳細範例實務。 此手冊由下列幾章節組成, , 第 1 章,，簡介，,介紹 ISA Server 並描述其功能。 , 第 2 章,，規劃考量，,說明在安裝 ISA Server 之前需先考量的問題。如此將有助於您決定 將要安裝多少台 ISA Server 電腦,以及使用何種設定。 , 第 3 章,，安裝 ISA Server，,引導您進行安裝程序。它會詳細說明硬體設定及安裝程序。 , 第 4 章,，從 Microsoft Proxy Server 2.0 遷移，,說明現有的 Proxy Server 2.0 原則和 設定,如何遷移到 ISA Server 設定。 , 第 5 章,，遷移到 ISA Server Enterprise Edition，,說明如何升級到 ISA Server Enterprise Edition。 , 第 6 章,，安裝及設定用戶端，,說明 ISA Server 用戶端,並且詳細說明您在設定 ISA Server 用戶端時應執行的步驟。 , 第 7 章,，部署實例，,說明一些共用的網路設定,並且詳細說明使用 ISA Server 來實施這 些實例時,您必頇執行的步驟。 第 1 章:簡介 本章提供 Microsoft Internet Security and Acceleration (ISA) Server 的總覽。同時也描述 ISA Server 在您網路上可能應用的一些實例。 本章包含下列數節, , ISA Server 簡介 , 功能與用法實例 ISA Server 簡介 AHμU Internet 和與其連接的龐大公司網路上的商業活動成長激增,對於功能強大且管理簡易並提供安全連線,同時提高並改進網路效能的 Internet 閘道,其需求也日益增加。ISA Server 可提供完整的 Internet 連線解決 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ,包括防火牆和完整的 Web 快取處理解決方案,以符合上述的這些需求。這些服務可以互補,當您將 ISA Server 安裝到網路上時,您可以選擇使用任何一個或這兩種功能。 ISA Server 能讓您設定一組廣泛的規則,來指定何種站台、通訊協定以及內容能夠通過 ISA Server 電腦,據此來保衛您的網路。ISA Server 會監視 Internet 以及內部用戶端電腦間的要求與回應,同時控制著各成員在公司網路上能存取哪些電腦。ISA Server 也能控制內部用戶端將可存取 Internet 上的哪些電腦。 ISA Server 提供多項安全性選項,包括封包篩選以及侵入偵測。您可以依據使用者層次的資訊,或「Internet 通訊協定 (IP)」位址,來建立存取原則,並且控制將套用規則的時機。 ISA Server 功能安全發佈。您可以使用 ISA Server 來定義發佈原則,來保護內部的發佈伺服器,並使它們讓 Internet 用戶端安全地存取。 ISA Server 實施常用要求物件的快取處理。您可以設定快取,使其包含組織最常使用到,或 Internet 用戶端最常存取的資料。 ISA Server 可以延伸使用。ISA Management 具有對應的 COM 介面,讓系統管理員可以使用高階程式設計語言,或是 Scripting 語言來撰寫程式。核心防火牆的功能可以讓執行應用程式篩選器、或 Web 篩選器的開發 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 師加以延伸使用。使用快取應用程式介面 (API) 可以提昇快取處理功能。ISA Management 介面可加以擴充,以便對協力廠商的擴充提供整合式管理工具。 功能與用法實例 Microsoft 與客戶協力設計的產品足以滿足今日 Internet 上的商業需求,安全性、效能、管理性。下列各節會調查一些共同的使用者實例,並且顯示您該怎麼使用 ISA Server 功能,以便在您的網路中實施這些實例。 擁有強大安全性的 Internet 連線 ISA Server 可以部署成專用的防火牆,當作是內部用戶端的 Internet 的安全閘道。設定存取原則可讓系統管理員預防未經授權的存取、以及懷有惡意的內容進入網路,並能限制外送的傳輸。 ISA Server 會向您展示一項完整的解決方案,以保護網路存取。ISA Server 包含下列防火牆及安全性功能, , 外送存取原則。您可以使用 ISA Server 來設定站台和內容規則,以及控制內部用戶端該如何存 取 Internet 的通訊協定規則。站台及內容規則可指定允許存取的站台與內容。通訊協定規則會指 出特定的通訊協定,是否可供埠連線或外送通訊進行存取。 , 侵入偵測。整合的侵入偵測機制可在您的網路遭到特定攻擊時警告您。例如,您可將 ISA Server 電腦設定成如果偵測到連接埠掃描詴圖時,便對您發出警示。 , 系統安全性精靈。「ISA Server 安全性精靈」讓您可透過設定適當層次的安全性,並使用預先定 義的範本來鎖定 Windows 2000。 , 應用程式篩選器。ISA Server 會利用能檢閱實際資料的應用程式篩選器,來分析並控制應用程 式特有的傳輸。您可以啟用「超文字傳輸通訊協定 (HTTP)」、「檔案傳輸通訊協定 (FTP)」、「簡單 郵件傳輸通訊協定 (SMTP)」、「電子郵件」、「H.323 會議」、「資料流媒體」及「遠端程序呼叫 (RPC)」 等或更多的智慧型篩選。 , VPN 支援。ISA Server 包括具有 Microsoft Windows 2000 整合式虛擬私人網路 (VPN) 服 務的標準型安全遠端存取。 富有成效的 Internet 存取 Internet 存取對今日的知識工作者而言是個不可或缺的工具。通過網路閘道的 Internet 輸送量若相當繁忙,則 Web 存取效能將會成為生產力的瓶頸。ISA Server 的 Web 快取處理功能會將 Internet 內容快取到使用者端,藉以提供更快的 Web 存取效能。此外,系統管理員可以使用以原則為基礎的存取控制,並按照每天特定時間、內容類型或其他項目,對特定使用者限定哪些網站是允許的。藉由快速的快取處理以及存取控制,ISA Server 可以降低管理 Internet 連線的成本,並提高 Internet 使用者的生產力。ISA Server 使用 RAM 快取處理及有效的檔案輸入/輸出,以傳遞快速的快取處理效能。 ISA Server 快取處理功能包括, , 階層式快取處理。ISA Server 允許您安裝快取處理的階層,將 ISA Server 電腦鏈在一起,讓 用戶端可以從最靠近的快取位置來進行存取。 , 反向快取處理。ISA Server 能夠快取處理發佈伺服器的 HTTP 和 FTP 內容,從而提高它們的 存取性。 , 排程快取處理。您可以使用排程快取內容下載服務,對於經常從 Internet 要求的內容,設定 ISA Server 電腦何時應該下載到其快取中。 快速且可擴充的發佈及電子商務 不論您的組織是 Internet 電子商務零售商,或是希望能拓展商業範圍的大型組織, Internet 都是您商業策略的關鍵部份。組織所提供的電子商務網站絕不可提供慢速且無回應,尤其是現在的競爭,只在於滑鼠的點按之間。ISA Server 的 Web 快取處理能提供使用者一個與您的生意成等比成長的快速 Web 經驗。當 Internet 上的用戶端要求您區域網路上電腦中的物件時,也可以使用快取處理。 ISA Server 可讓您將服務發佈到 Internet,同時保有您內部網路的安全性。您可以設定 Web 發佈與伺服器發佈規則,決定哪些要求接下來應傳送給位於 ISA Server 電腦之後的伺服器,為您的內部伺服器提供更高階的安全性。 您可以使用這些 ISA Server 的功能來發佈伺服器, , 安全的 Web 發佈。Web 發佈規則允許對內部 Web 伺服器進行安全存取。Web 發佈規則會 授與外部伺服器存取內部伺服器的權限,以預防未經授權的存取。 , 安全的應用程式伺服器發佈。伺服器發佈規則可讓特定用戶端存取內部伺服器,而不需要在發佈 伺服器上進行乏味的設定或安裝程序。 ISA Server 包含一項「郵件伺服器安全性精靈」,可以簡化區域網路上 Exchange Server 的設 定。 一致的管理 管理安全性和快取處理,通常需要個別設定網路技術、基礎結構設備和熟練的系統管理員,因此會增加複雜性、成本以及不一致性。ISA Server 中一致且以原則為基礎的管理工具,可協助系統管理員從中央位置來管理及保護其 Internet 連線、減少網路複雜性並且降低整體擁有成本。 組織通常能自一致的防火牆及快取處理原則中獲益。ISA Server 中的管理整合對這些原則提供了單一的檢視,無須分別管理防火牆及快取處理的基礎結構。 第 2 章:規劃考量 本章將重點放在您組織中,用以規劃及部署 Microsoft Internet Security and Acceleration (ISA) Server 所需的資訊。雖然本章提供許多部署 ISA Server 時所需的資訊,但是它不是嘗試要涵蓋所有的網路作業問題。 下列表格列出在規劃 ISA Server 的部署時所應考量的因素。 事項 描述 請參閱 我需要多少台電腦, ，容量規劃指導方針， 硬體組態設定及 Internet 連線會因您使 用 ISA Server 的方式而有所不同。 您可以根據您特定的網路需求,來選擇安裝我將需要哪個 ISA ，選擇 ISA Server 功能， Server 功能, 特定的 ISA Server 功能。 使用者需求為何, 判定您的使用者所需的應用程式及服務,這，存取用戶端的需求， 樣才能決定設定用戶端的方式。 我應重新設定現有的網路現有網路的考量 考量將來 ISA Server 與現有網路的互動 嗎, 方式。 本章包含下列數節, , 容量規劃指導方針 , 選擇 ISA Server 功能 , 存取用戶端需求 , 與其他網路服務的互動 容量規劃指導方針 若要改進效能,您應該事先規劃 ISA Server 的硬體和 Internet 連線,以符合預期的負荷。下列數節會描述在不同使用實例中建議使用的系統設定。 最小需求 若要使用 ISA Server,您需要, , 一台配備 300 megahertz (MHz) 或更快速 Pentium II 相容 CPU 的個人電腦。 , 針對作業系統而言,此電腦必頇執行 Microsoft Windows 2000 Server (含 Service Pack 1 或更新版本)、Windows 2000 Advanced Server (含 Service Pack 1 或更新版本),或者是 Windows 2000 Datacenter Server。 , 256 MB 的 RAM , 20 MB 的可用硬碟空間 , Windows 2000 相容的網路介面卡,用於和內部網路進行通訊 , 一個格式化成 NTFS 檔案系統的本機硬碟分割區 在執行 ISA Server 的電腦上最多可使用四個處理器。ISA Server 將不會在一台電腦上安裝四個以上的處理器。 在防火牆或整合模式中使用 ISA Server,則需要兩張網路介面卡。 注意事項 請永遠使用最新的 Service Pack。 遠端管理需求 針對遠端 ISA Server 管理而言,您只需要安裝 ISA Management,此項目可在 Windows 2000 Professional 或更新版本上執行。 反而是,您可以在執行 ISA Server 的電腦上,於「遠端管理」模式中安裝 Terminal Services。因此,您就不需要在另一部電腦上安裝 ISA Management 工具,便可進行遠端管理。您可以使用 Terminal Services 工作階段來管理 ISA Server,作為替代。 轉送快取處理需求 ISA Server 可以部署成轉送快取處理伺服器,以便對經常要求的 Internet 物件,能維護集中式的快取,讓任一位 Web 瀏覽器用戶端可以存取。在此狀況下,請先考量將會有多少位 Web 瀏覽器用戶端存取 Internet。下列表格所列出的硬體設定,為存取 Internet 物件時,預計的內部用戶端數目。 RAM (以 MB 使用者數目 快取處理的磁碟空間配置 ISA Server 電腦 為單位) 至多 500 使用 Pentium II,300 MHz 處理器256 2-4 GB 的單一 ISA Server 有兩顆 Pentium III,550 MHz 處500 – 1,000 256 10 GB 理器的單一 ISA Server 電腦 每台伺服器各有 1,000 個以上 兩台 ISA Server 電腦,各具有 每一台伺服器各 10 GB Pentium III,550 MHz 處理器 256 當您的基本使用者超出 1,000 位使用者時,您可以考慮使用配備著更快的處理器及更多記憶體的硬體,或是新增更多的 ISA Server 電腦。相關資訊,請參閱,新增更多台電腦,。 當您所安裝的 ISA Server 電腦多於一台時,請考量升級成 ISA Server Enterprise Edition,以便您可以將這些電腦分組成陣列。相關資訊,請參閱第 5 章,,遷移到 ISA Server Enterprise Edition,。 發佈需求 (反向快取處理) ISA Server 可以對外部使用者要求的資料,提供快取處理。例如,可以將它部署成放在 Internet 和組織的 Web 伺服器之間,並由此伺服器來代管商務 Web 商業,或是對商業夥伴提供存取權。在此情況中,您需要考量外部用戶端將會要求發佈伺服器上物件時,所使用的頻率。 下列表格列出在反向快取處理實例中,來自 Internet (外部) 使用者預計之要求數目的硬體設定。 每秒的命中率 ISA Server 電腦 少於 100 使用 Pentium II,300 MHz 處理器的單一 ISA Server 至多 250 一台 ISA Server 電腦,具有 Pentium III,450 MHz 處理器 250 個以上 具有 Pentium III,550 MHz 處理器的 ISA Server 電腦 針對每一個每秒 250 個命中率,再使用其他的 ISA Server 電腦。您 也可以使用「效能監視器」來判定瓶頸所在,並且視需要來新增更多的 伺服器或更強大的硬體。 針對「隨機存取記憶體 (RAM)」而言,記憶體需求則視您正在發佈的可快取內容大小而定。理想的狀況是所有可快取的內容都應該能存入記憶體。例如,如果您所發佈的網站擁有 250 MB 的內容時,則需要 256 MB 的 RAM 才足夠。 新增更多台電腦 您可以使用以上所詳細說明的容量規劃需求來做為一般的指引,以決定您所需要的 ISA Server 電腦數目。在部份情況下,您必須決定是要新增其他的 ISA Server 電腦,或是只有新增額外的處理器來提升現有電腦的效能。各個選項都有不同的優點。 當您新增一部新電腦時,請考量升級成 ISA Server Enterprise Edition,以便您可以建立一個 ISA Server 電腦的陣列。陣列可協助確保更具容錯功能的系統。萬一其中一部電腦當機時,其他的電腦仍可繼續運作。而且,因為 ISA Server 的集中式陣列管理,表示當您新增更多伺服器到此陣列時,只有一些額外的 ISA Server 管理問題。 在另一方面,新增另一台電腦,表示您必須購買及管理其他的硬體,並且在此電腦上安裝任何其他的軟體 (如作業系統)。 選擇 ISA Server 功能 ISA Server 可以同時安裝防火牆和快取處理功能。您也可以只安裝防火牆功能或只有快取處理功能。在安裝程序的一部份中,您可以選擇安裝模式,「防火牆」、「快取處理」或「整合」。 在防火牆模式中,您可以設定能夠控制公司網路與 Internet 之間的通訊規則,藉以保護網路通訊。在防火牆模式中,您也可以發佈內部伺服器,讓 Internet 使用者也能共用您的內部伺服器上的資料。 在快取模式中,您可以將經常存取的物件儲存在較接近使用者的位置,以增進網路的效能並節省頻寬。您可以將要求從 Internet 使用者路由到適當的 Web 伺服器。 在整合模式中,所有快取處理與防火牆功能皆可使用。您可以設定一項原則,同時將快取處理效能需要及安全需要列入考量。 選擇的模式不同,可用的功能也會不同。下列表格會列出防火牆及快取處理模式各有什麼功能。在整合模式中,所有功能皆可使用。 選擇 ISA Server 功能 功能 防火牆 快取處理 存取原則 是 是 (僅適用 HTTP 及 HTTPS 通訊協 定) 應用程式篩選器 是 否 快取設定 否 是 是 否 防火牆及 SecureNAT 用戶端支 援 封包篩選 是 否 即時監視 是 是 報告 是 是 伺服器發佈 是 否 虛擬私人網路 是 否 是 是 Web 篩選 是 是 Web 發佈 是 是 Web Proxy 用戶端支援 存取用戶端需求 ISA Server 支援下列幾種用戶端類型, , Web Proxy 用戶端。Web Proxy 用戶端會將要求直接傳送到 ISA Server,但是 Internet 存 取則限定為瀏覽器。您可以將 Web 瀏覽器設定成支援 HTTP 1.1 來做為 Web Proxy 用戶端。 , SecureNAT 用戶端。Secure Network Address Translation (SecureNAT) 用戶端可提供安 全和快取處理機制,但不允許使用者層次的驗證。若要設定 SecureNAT 用戶端,您只需要設定用 戶端電腦上,連到 ISA Server 的「Internet 通訊協定 (IP)」位址的預設閘道。因為 SecureNAT 用戶端只需要變更預設閘道的設定,所以任何使用「傳輸控制通訊協定/網際網路通訊協定 (TCP/IP)」的電腦,都可以作為 SecureNAT 用戶端。 , 防火牆用戶端。防火牆用戶端可以針對使用 TCP 及「使用者資料訊息通訊協定 (UDP)」的要求 之離埠存取,限制每一個使用者為基礎的存取。若要設定防火牆用戶端,您必頇在每一台用戶端電 腦上安裝防火牆用戶端程式。您只能將防火牆用戶端程式,安裝到執行 Microsoft Windows Millennium Edition、Microsoft Windows 95 OSR2、Microsoft Windows 98、Windows NT 4.0 或 Windows 2000 的電腦上。 請在部署或設定用戶端軟體之前,先確定您組織的需求。判定您的內部用戶端所需的應用程式及服務。評估您將如何發佈伺服器,然後再將這些需要對應到 ISA Server 所支援的用戶端類型。 如果您想要… 則請使用… 提高內部用戶端之 Web 要求的效能 Web Proxy 用戶端。 避免部署用戶端軟體或設定用戶端電腦 SecureNAT 用戶端。SecureNAT 用戶端不需要任 何軟體或特定的設定 提高非 Microsoft 作業系統環境的 SecureNAT 用戶端。SecureNAT 用戶端要求會明Web 效能 顯地傳送到 ISA Server 的防火牆服務,然後再到 快取處理服務以進行快取處理。 發佈伺服器位於您的內部網路上 SecureNAT 用戶端。內部伺服器可以發佈為 SecureNAT 用戶端,排除在發佈伺服器上建立特 殊設定值的需求。我們不建議您將發佈伺服器設定 成防火強牆用戶端。 防火牆用戶端。您可以為防火牆用戶端設定使用者僅允許已驗證過的使用者進行 Internet 存取 存取原則規則 與其他網路服務的互動 之前,您可能在 Windows 2000 Server 中使用了「路由及遠端存取」,讓遠端用戶端可以使用網路服務及電腦。ISA Server 已提供遠端連線功能,並可提供更廣泛和富彈性的安全功能來延伸「路由及遠端存取」。ISA Server 封包篩選,可取代「路由及遠端存取」中的封包篩選。ISA Server 會使用您為「路由及遠端存取」所設定的撥接連線。 同樣地,您之前可能是使用 Windows 2000 的「Internet 連線共用 (ICS)」或「網路位址轉譯 (NAT)」功能,來存取 Internet。ISA Server 可以用來替代 NAT 或 ICS,取代並提高其在組織中的功能。ISA Server 提供由 NAT 或 ICS 所啟用的連線,並且新增複雜的安全和快取處理功能。 第 3 章:安裝 ISA Server 本章將協助您安裝 Microsoft Internet Security and Acceleration (ISA) Server。 本章包含下列數節, , 安裝 ISA Server 之前 , 安裝 ISA Server , 下一個步驟 安裝 ISA Server 之前 您必須在安裝 ISA Server 之前,先設定硬體並設定將在 ISA Server 上執行之電腦的軟體。 請使用下面數節中的資訊,以確保 ISA Server 電腦符合預先安裝需求。如需其他關於任何工作的資訊,請參閱您的硬體元件或 Microsoft Window 2000 所提供的說明文件。 設定網路介面卡 xDSL 或纜線數據機) 或撥號連線,來連線到 您可以選擇將您的網路,透過直接連線 (如 T1、T3、 Internet。如果您選擇直接連線時,便需要安裝網路介面卡,讓該介面卡將執行 ISA Server 的電腦連線到 Internet。 當您設定外部網路介面卡的 TCP/IP 內容時,請與您的 ISP 聯繫,以取得正確的設定。您必須具有 IP 位址、子網路遮罩、預設閘道以及 DNS 伺服器的 IP 位址,以便能在 DNS 名稱搜尋中使用。在某些情況下,對於用戶端位址的動態指派,您的 ISP 可能會使用 DHCP 或 bootstrap 通訊協定 (BOOTP)。 一般說來,ISA Server 將只會有一個 IP 預設閘道。您應該只要設定外部網路介面卡,而非內部網路介面卡上的預設閘道 IP 位址。就將內部介面卡的「預設閘道」設定值完全留成空白。 如需安裝網路介面卡相關的指示,請參照 Windows 線上說明。 TCP/IP 設定 設定任何內部網路介面卡的 TCP/IP 內容時,您應要輸入 ISA Server 電腦的永久保留 IP 位址,以及您區域網路的子網路遮罩。由 DHCP 所指派的定址,不可用於內部網路介面卡,因為它可能會重設您對 ISA Server 電腦所選取的預設閘道。外部網路介面卡可以使用 DHCP,或是其 IP 位址可以靜態方式來定義,包括預設閘道及 DNS 設定。 安裝之後,您可以使用 Windows 2000 Server 所提供的 Ping.exe 公用程式,或另一台內部 IP 用戶端電腦上的類似公用程式,來驗證網路連線並檢查網路介面卡和其他硬體是否已正確地設定。 ?w,E數據機或 ISDN 介面卡 如果您選擇透過撥號連線,而不是使用外部網路介面卡的直接連結,來連線到 Internet,則必須對伺服器使用數據機或 ISDN 介面卡。 根據 ISDN 介面卡的特性,您可能無法檢視 Windows 2000 中的兩個 ISDN 通道。一般而言,ISDN 卡的驅動程式會管理第二個通道的頻寬連線,您不能使用 Windows 2000 來管理該驅動程式。請確定已經設定好網路介面卡,如此才能設定這兩個通道,而且您的 ISP 也才能使用兩個通道來支援連線。 如需其他關於安裝 ISDN 介面卡或數據機的資訊,請參閱 Windows 2000 說明。 Windows 2000 路由表 本機位址表 (LAT) 為所有 IP 位址範圍的表格,此範圍由 ISA Server 電腦後方內部網路所使用。ISA Server 利用 LAT 來控制內部網路上的機器與外部網路通訊的方式,並決定載入的封包篩選驅動程式要保護哪個網路介面卡。 ISA Server 會視您的 Windows 2000 路由表而定,來為您建構這份 LAT。您也可以選取私人 IP 位址範圍,如 RFC 1918 中由「Internet 號碼分配組織 (IANA)」所定義的項目。這三項位址區塊只保留給私人 Intranet,並且永遠不會在公用 Internet 上使用。 如果此電腦已連線到路由的內部網路,但您無法確定您的路由拓蹼,或是如何新增靜態路由,便可以手動來建構此表格,以便包含內部用戶端所使用的一或多個 IP 位址範圍。 因為預設閘道無法在 ISA Server 電腦的內部介面上進行設定,所以您需要建立內部網路的靜態路由,以便能達到完整的連線。?z可以在命令提示字元中,使用 ROUTE 指令來完成這項作業。 正確設定的 LAT 可以確保 ISA Server 正確判定要使用哪張網路介面卡來存取您內部網路的不同部分。如果您未能正確地設定路由表,則 LAT 可能無法正確地建立。這會造成內部 IP 位址的用戶端要求,錯誤地路由到 Internet,或是透過防火牆服務而重新導向。 如有需要,在安裝之後,應該以手動來編輯 LAT,以便包含您組織內部中所有其他的網路區段,包括跨越多台內部路由器的項目在內,讓 ISA Server 電腦及防火牆用戶端可以正確地決定何時使用 ISA Server,以及何時直接存取資源。 建立 LAT 時,應該只能包含私人網路上的位址。這表示您不應該新增 ISA Server 電腦的外部介面、任何 Internet 站台、或任何其他的外部位址 (包括您 Internet 服務提供者的 DNS 伺服器) 等等。不正確的 LAT 設定會讓您的網路對攻擊毫無招架之力。 LAT 的維護工作,是集中於 ISA Server 電腦上進行。防火牆用戶端定期會自動下載並接收目前的 LAT 更新。 安裝 ISA Server 當您安裝 ISA Server 時,將會詢問您下列的資訊。 , CD 識別碼。這是位於 ISA Server 光碟外盒背面上的 10 位數數字。 , 安裝選項。您可以選取「典型」安裝、「完整」安裝、或「自訂」安裝。 , 模式。您可以在防火牆模式、快取處理模式、或整合模式中安裝 ISA Server。 , 快取處理設定。如果您是在整合或快取處理模式中安裝 ISA Server,則您必頇設定將使用哪些 快取磁碟機,以及快取的大小。 , 本機位址表 (LAT) 設定。如果您是在整合或防火牆模式中安裝 ISA Server,則必頇將位址範 圍設定成包含在 LAT 中。 重要事項 請確認在您安裝 ISA Server 之前,已經先安裝 Windows 2000 Service Pack 1 或更新版本。 若要安裝伺服器軟體 1. 將 ISA Server 光碟插入光碟機,或是從共用的網路資料夾,來執行 ISAautorun.exe。 2. 在 Microsoft ISA Server 安裝中,請按一下 [Install ISA Server]。 3. 如果您接受使用者授權合約中所陳述的條款及條件時,請按一下 [Continue]。 4. 輸入列在產品盒上的產品識別碼。 5. 閱讀「使用者授權合約」,如果您同意其條款及條件,請按一下 [I Agree]。 6. 按一下 [Typical Installation]、[Full Installation],或是 [Custom Installation]。 如果您按一下 [Custom Installation],請勾選對應到您想安裝之 ISA Server 元件的核取方 塊。您可以選取下列項目, o ISA Services o 附加服務 o 系統管理工具 7. 按一下您希望安裝的 ISA Server 模式。 8. 在安裝程式警告您,它將要停止 Internet Information Service (IIS) 之後,如果選擇在快取 處理模式或整合模式中安裝 ISA Server,則請設定快取磁碟機。 9. 如果您在防火牆模式或整合模式中安裝 ISA Server,則請設定 LAT。 10. 當您呼叫 ISA Server 時,如果您希望執行「開始使用精靈」,請選取 [Start ISA Administrator Getting Started Wizard] 核取方塊。 注意事項 1. 安裝程式會停止 IIS Web 服務,因為它預設連接埠為 80,這是 HTTP 標準的連接埠。ISA Server 會使用此連接埠來允許 Web 發佈,並且在建立 Web 發佈規則之後,在這些連接埠上 接聽來自內部及外部用戶端的 Web 要求。 2. 在 ISA Server 安裝期間,您可以選取用於快取處理的磁碟機。安裝程序預設會搜尋最大的 NTFS 磁碟分割,如果其至少有 150 MB 的空間,則還會將預設的快取大小設為 100 MB。在 設定快取磁碟機時,您必頇至少配置一台以 NTFS 檔案系統來格式化的磁碟機,且該磁碟機必需 有 5 MB 作為快取處理用。然而,我們建議您至少要配置 100 MB,而且使用 HTTP 或 FTP 通 訊協定的各個用戶端還要額外加上 0.5 MB (總計大約需要的 MB 數)。 下一個步驟 ISA Server 會在安裝之後,有效地阻擋您公司網路與 Internet 之間的所有通訊。直到您設定一項存取原則之後,如果此原則具有通訊協定規則,並且特別可允許存取站台及內容規則,則不允許任何的通訊。同樣地,如果您想要讓 Internet 用戶端存取您內部網路上的電腦,則必須要設定發佈規則。 後置安裝預設設定 在安裝之後,ISA Server 便會使用下列表格所列出的預設設定。 功能 預設值 使用者權限 本機電腦上 Administrators 群組的成員才可以設定原則。 本機位址表 包含安裝處理期間所指定的項目。 封包篩選 在防火牆模式及整合模式中已啟用 在快取處理模式中已停用。 存取控制 預設的站台和名為 "Allow Rule" 的內容規則,會允許所有的用戶端能隨 時存取所有站台上的所有內容。不過,因為並未定義任何通訊協定規則, 所以不會允許任何資料流通過。 發佈 外部用戶端沒有存取內部伺服器的權限。預設的 Web 發佈規則會摒棄所 有的要求。 路由 自 Internet 直接接收所有的 Web Proxy 用戶端要求。 快取處理 快取大小在安裝時便已經指定。HTTP 與 FTP 快取處理已經啟用。已經 停用有效的快取處理。 警示 除下列項目之外,所有警示皆有效:全部的連接埠掃描攻擊、置放封包、 通訊協定違反,以及 UDP 炸彈攻擊 用戶端設定 防火牆及 Web Proxy 用戶端會在完成安裝或設定時,啟用自動發現功 能。防火牆用戶端安裝完成時,便已設定好其上的 Web 瀏覽器應用程式。 開始使用精靈 在您安裝 ISA Server 之後,可以使用 ISA Server 來實施您公司的安全和 Internet 存取指引。第一步,應該建立能描述您網路的原則元件。將電腦依用戶端位址分組並將使用者分別歸類到 Windows 2000 安全性群組。建立包含 Internet 上的電腦及網域的目的地組。定義可用來與 Internet 通訊的通訊協定。然後,在您建立原則規則時,請使用實施公司指引時的原則元件。 「開始使用精靈」會引導您來完成定義及設定 ISA Server 原則的步驟。在您完成之後,ISA Server 會保護您的網路與 Internet 之間的連線。 「開始使用精靈」可協助您執行下列工作, , 建立原則元件,在您建立規則時,便會使用這些元件。 , 建立通訊協定規則,以及站台和內容規則 , 設定系統安全性階層與設定封包篩選。 , 設定路由及鏈,來決定用戶端要求如何路由到目的地伺服器。 , 建立快取處理原則,來決定將快取處理哪些物件。 設定 ISA Server 原則之後,請閱讀第 5 章,以學習要如何設定網路中的用戶端。然後,再讀第 6 章來學習特定的部署實例。 第 4 章:從 Microsoft Proxy Server 2.0 遷移 Microsoft Internet Security and Acceleration (ISA) Server 支援 Microsoft Proxy Server 2.0 使用者可用的完整遷移路徑。大部分 Proxy Server 規則、網路設定、監視設定、以及快取處理設定都將遷移到 ISA Server。而且,ISA Server 會繼續支援 Winsock proxy 用戶端軟體,以及它以異種用戶端為基礎的防火牆用戶端軟體。 ISA Server 引進許多新的功能,以及 Proxy Server 2.0 的變更。這些變更會影響伺服器設定以及升級實例。本章所概述的關鍵項目,系統管理員應該將其視為升級到 ISA Server 的部分程序。 本章包含下列數節, , 遷移的原因 , 遷移處理程序 , 遷移 Proxy Server 2.0 設定 遷移的原因 ISA Server 為 Proxy Server 2.0 的後繼產品,不過,它比 "proxy" 具有更多的功能。在與 Proxy Server 2.0 進行比較時,ISA Server 中新或重要的改進功能,包括下列項目, , 多階層防火牆,擁有狀態檢閱、廣泛應用程式支援,以及整合侵入偵測的功能。 , 整合虛擬私人網路 , 系統強化 , RAM 快取處理以及最佳化快取存放區,包括已排程的內容下載 , 一致性管理主控台,包括一般工作的圖形式工作台和精靈 , 對所有用戶端具透明效果 , 進階、轉嫁部分工作量給用戶端、及 Secure Sockets Layer (SSL) 驗證的支援 , 改進的監視功能包括可自訂的警示、詳細列出的記錄、以及報告。 , 具有廣泛軟體開發套件的可延伸平台 遷移處理程序 在您遷移 Proxy Server 2.0 電腦的陣列之前,建議您先移除所有的成員。每一位成員將會保留一組相同的規則,並將此規則複製到陣列中所有的伺服器上。而且,所有的伺服器將會保留相同的網路設定 (如指定撥號設定),以及監視設定 (如警示)。 當您從 Microsoft Proxy Server 2.0 遷移到 ISA Server Standard Edition 時,無法將 ISA Server 電腦安裝成陣列成員。如果您想要將 ISA Server 安裝成陣列成員,必須安裝 ISA Server Enterprise Edition。 以下為在您準備將 Proxy Server 2.0 遷移到 ISA Server 時,一些其他應該考量的問題。 , 不支援直接自 Proxy Server 1.0、BackOffice Server 4.0 或 Small Business Server 4.0 直接進行升級。 , 一旦開始升級到 ISA Server,便沒有可返回 Proxy Server 2.0 的自動選項。 , ISA Server 不支援 IPX 通訊協定。 , 在您從 Proxy Server 2.0 升級之前,請先執行目前設定的完整備份。 此外,ISA Server 只能安裝在執行 Windows 2000 Server 或更新版本的電腦上。因此,如果您目前的 Microsoft Proxy Server 2.0 版於 Windows NT 4.0 上執行,請遵循下列步驟, 1. 停止並停用所有 Proxy Server 服務。如要完成此項動作,請於命令提示字元中輸入 net stop service_name。以下為具有適當服務名稱的 Proxy Server 服務。 Proxy Server 服務 服務名稱 Microsoft Winsock Proxy 服務 wspsrv Microsoft Proxy Server Administration mspadmin Proxy Alert Notification 服務 mailalrt World Wide Web Publishing 服務 w3svc 2. 3. 升級到 Windows 2000。您可能會收到指出 Proxy Server 2.0 將無法在 Windows 2000 上 運作的訊息。這個訊息無關緊要,可以略過。如需相關的詳細指示,請參閱 Proxy Server 2.0 網 頁:。 4. 您現在可以開始 ISA Server 安裝程式。如需特定的指示,請參閱第 3 章以取得特定指示。 由於防火牆作業所需的核心服務,在安裝期間通通停用,我們建議您在接下來的安裝程序中,將正在升級的電腦中斷 Internet 連線。 遷移 Proxy Server 2.0 設定 大部分 Proxy Server 規則、網路設定、監視設定、以及快取處理設定都將遷移到 ISA Server。 Proxy 鏈 支援 Proxy Server 2.0 與 ISA Server 電腦的混合鏈。 當執行 Proxy Server 2.0 的電腦為 ISA Server 電腦的下游時,則只支援 Web proxy 鏈。Proxy Server 2.0 不支援上游 Winsock Proxy 鏈。 當 ISA Server 電腦為下游伺服器時,便支援 Web Proxy 及防火牆鏈二者。(在 Proxy Server 2.0 中,「防火牆鏈」稱為「Winsock Proxy 鏈」)。 Web Proxy 用戶端要求 Proxy Server 2.0 會在連接埠 80 上接聽用戶端 HTTP 要求,但是在安裝 ISA Server 之後,它會在連接埠 8080 上接聽 Web Proxy 服務。因此,所有連接到 ISA Server 電腦的下游鏈成員 (或瀏覽器),必須連接到連接埠 8080。您也可以將 ISA Server 設定成在連接埠 80 上接聽。 發佈 Proxy Server 2.0 要求您將發佈伺服器設定成 Winsock Proxy 用戶端。ISA Server 允許您發佈內部伺服器,不需要在發佈伺服器上進行任何特殊設定或軟體安裝。反而是,ISA Server 電腦會將發佈伺服器視為 SecureNAT 用戶端。在 ISA Server 電腦上所設定的 Web 發佈規則,以及伺服器發佈規則,可以讓特定的外部用戶端安全地存取這些伺服器。發佈伺服器上無須額外的設定。 快取處理 Proxy Server 2.0 快取處理設定會遷移到 ISA Server,包括快取磁碟機規格、大小以及所有其他的內容。 Proxy Server 2.0 快取內容將不會進行遷移,因為 ISA Server 的快取存放引擎大不相同,而且更為複雜。它將會做為 ISA Server 安裝的一部份而加以刪除,而且會依據現有的快取處理和磁碟機設定為基礎,來設立新的存放引擎。 注意事項 刪除程序可能會花費一些時間,視快取中快取大小和物件數目而定。 SOCKS ISA Server 包括一項 SOCKS 應用程式篩選器,可允許用戶端 SOCKS 應用程式與網路進行通訊,並使用適用的原則來決定是否允許用戶端的要求。不支援將 Proxy Server 2.0 SOCKS 規則遷移到 ISA Server 原則。 驗證 ISA Server 支援下列驗證方法,基本、摘要、整合的 Windows 及用戶端憑證。當您安裝 ISA Server 時,預設會為 Web 要求設定整合的 Windows 驗證方法。Proxy Server 2.0 預設會啟用基本及整合驗證。 Internet Explorer 5 支援整合式 Windows 驗證,不過,其他的 Web 瀏覽器可能只支援基本驗證方法。在此情況中,因為無法驗證該使用者,所以將不會允許任何要求。ISA Server 會拒絕之前由 Proxy Server 所允許的 Web 要求。您可以為所有 Web 要求設定基本驗證。 規則及原則 下列表格列出將 Proxy Server 2.0 規則及其他設定資訊遷移到 ISA Server 電腦的方式, ISA Server 電腦 Proxy Server 2.0 網域篩選器 站台及內容規則 通訊協定規則 Winsock 使用權限設定 發佈內容 Web 發佈規則 靜態封包篩選器 開啟或阻擋 IP 封包篩選器 路由規則 Web Proxy 路由規則 對於新的規則,會視需要來建立原則元件。下列設定資訊也會進行遷移,本機位址表、自動撥號設定、警示、記錄檔設定、以及用戶端設定。 第 5 章:遷移到 ISA Server Enterprise Edition 隨著您的組織成長,以及與 Internet 之間通訊需要的增加,您應該考慮將 Microsoft Internet Security and Acceleration(ISA) Server Standard Edition 升級成 Enterprise Edition。Enterprise Edition 包括下列功能, , 它可以在多重伺服器陣列中進行部署,以獲得更好的擴充性、效能、容錯,以及集中式管理。 , 它支援兩個層次的原則管理。陣列原則可以套用到整個伺服器陣列。企業原則可以套用到組織中 所有的陣列。 , 在 ISA Server 電腦上,沒有處理器數目的限制。(Standard Edition 則限定為四個處理器)。 本章說明如何升級成 ISA Server Enterprise Edition。本章包含下列數節, , 升級到 Enterprise Edition , 瞭解陣列 , 企業原則設定 Enterprise Edition 升級處理程序 您可以執行下列步驟,從 ISA Server Standard Edition 升級成 ISA Server Enterprise Edition, 1. 雖然在您升級時會保留此原則,但是建議您採取預防 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ,先備份 ISA Server 原則。 2. 從 ISA Server Enterprise Edition 光碟執行安裝程式。安裝處理程序與 ISA Server Standard Edition 的安裝處理程序非常類似。 安裝處理程序會將 ISA Server 電腦安裝成獨立式伺服器。 3. 執行「ISA Server 企業初始化」程式。如需其他關於初始化企業的資訊,請參閱 ISA Server Enterprise Edition 說明。 4. 將獨立式伺服器提升為陣列成員。如需其他關於提升伺服器的資訊,請參閱 ISA Server Enterprise Edition 說明。 瞭解陣列 當您將執行 ISA Server Standard Edition 的電腦升級成 Enterprise Edition 時,可將它安裝成陣列成員或獨立式伺服器。 獨立式伺服器的功能,與 ISA Server Standard Edition 類似。除了標準功能之外,ISA Server Enterprise Edition 也可以提升成陣列。如需其他關於提升獨立式伺服器的資訊,請參照 ISA Server Enterprise Edition 說明。 陣列是一個 ISA Server 電腦的群組,可用來提供容錯、負載平衡以及分散式快取處理。陣列允許將一群 ISA Server 電腦當成單一、邏輯的項目來進行管理。 陣列中的所有伺服器共用一個公用設定。如此將可節省管理上的成本,因為此陣列只設定一次,然後再將此設定套用至陣列中所有的伺服器上。此外,您也可將企業原則套用到陣列,以對企業中的所有陣列進行集中化管理。 陣列安裝也表示效能上的節省。陣列可允許將用戶端要求分送到數台 ISA Server 電腦之間,並藉以改進用戶端的回應時間。因為負載是分散到陣列中所有的伺服器上,所以即使您只具有普通的硬體,也能達到極佳的效能。 如果要將 ISA Server 電腦安裝成陣列成員,此電腦必須為 Windows 2000 網域中的一位成員。而且,在您將 ISA Server 電腦安裝成陣列成員之前,必須先初始化 ISA Server 企業。相關資訊,請參閱 ISA Server Enterprise Edition 說明。 ISA Server Enterprise Edition 可以安裝在 Windows NT 4.0 網域中的獨立式伺服器上,而不需要任何特殊的設定需求。 所有的陣列成員必須在相同的網域中,並且在相同的站台中。 企業原則設定 企業系統管理員可以選擇如何在陣列層次上套用企業原則,這是企業初始化的一部份, , 只有企業原則。在此情況中,企業層次的系統管理員可以指定只套用所選的企業原則。在陣列層 次無法新增任何的新規則。 , 結合的企業及陣列原則。在此情況中,陣列原則會新增到企業原則。企業原則置換陣列原則。也 就是,陣列原則可以強制其他的限制,但不可以比企業原則更寬容。 , 只有陣列原則。在此例中,陣列並未套用企業原則。陣列系統管理員可以建立任何規則,來允許 或拒絕存取。 重要事項 如果您修改預設的企業原則設定,將它們從陣列原則變更成企業原則等等,則新的設定將只套用到未使用之前所設定之預設企業原則的陣列上。使用之前預設企業原則設定之陣列的企業原則設定,將會變更成自訂設定,而且將會以之前的預設設定來進行設定。 無法在企業層次建立發佈規則。不過,企業系統管理員可以指定是否允許陣列藉由建立 Web 發佈規則,或伺服器發佈規則,以便發佈伺服器。 同樣地,在企業層次無法啟用封包篩選。不過,企業系統管理員可以決定在陣列層次,是否強制封包篩選。或者是,企業系統管理員可以允許陣列管理員,來決定是否使用封包篩選。 第 6 章:安裝及設定用戶端 在您安裝 Microsoft Internet Security and Acceleration (ISA) Server 之後,您可以視需要來設定用戶端,並且安裝防火牆用戶端軟體。 您必須在為 ISA Server 部署或設定用戶端之前,仔細考量您組織的需求。相關資訊,請參閱第 2 章中的,存取用戶端需求,。 本章會描述設定 ISA Server 用戶端的方式。本章包含下列數節, , 比較 ISA Server 用戶端 , 設定 Web Proxy 用戶端 , 設定 SecureNAT 用戶端 , 防火牆用戶端設定 比較 ISA Server 用戶端 ISA Server 支援下列用戶端, , Web Proxy 用戶端 , Secure Network Address Translation (SecureNAT) 用戶端 , 防火牆用戶端 下列表格列出 ISA Server 所支援的用戶端類型,並且比較用戶端的功能支援。 功能 防火牆用戶端 SecureNAT 用戶端 Web Proxy 用戶端 安裝所需 否,但網路設定需要變是 否,需要 Web 瀏覽器設 更。 定 作業系統支援 支援「傳輸控制通訊協定/限 Windows 平所有 TCP/IP 平台 網際網路通訊協定 台 (TCP/IP)」的任何作業系 統 通訊協定支援 擁有主要連線的通訊協定所有 Winsock HTTP、HTTPS 及 FTP 及應用程式篩選器所定義應用程式 的通訊協定 使用者層級驗證 否,僅依 IP 位址 是,同時依 IP 位Web 瀏覽器傳遞驗證資 址 訊 伺服器發佈 無頇任何設定或安裝 需要設定檔案 N/A 防火牆用戶端電腦和 SecureNAT 用戶端電腦,也可以是 Web Proxy 用戶端。如果電腦上的 Web 應用程式明確地設定要使用 ISA Server,則所有 Web 要求 (HTTP、FTP 及 HTTPS) 都將會直接傳送給 Web Proxy 服務。所有其他的要求則會先由防火牆服務來進行處理。 設定 Web Proxy 用戶端 您無須安裝任何軟體來設定 Web Proxy 用戶端。不過,您必須設定用戶端電腦上的 Web 瀏覽器,並且使用 ISA Server 電腦來作為 Proxy 伺服器。 重要事項 除非 Web 瀏覽器協助應用程式 (如資料流媒體用戶端) 能夠當成 Web Proxy 用戶端運作,否則這些應用程式將不會使用 ISA Server 來連線到 Web。若要允許這些應用程式連線到 Web,除了使用 Web Proxy 用戶端之外,還需要 SecureNAT 用戶端或防火牆用戶端。 設定 ISA Server 的確切步驟,會因您所使用的 Web 瀏覽器而有所不同。 若要設定 Internet Explorer 5, 1. 啟動 Internet Explorer 5,然後在 [工具] 功能表上,按一下 [Internet 選項],按一下 [連 線] 標籤,然後再按一下 [區域網路設定]。 2. 在 [區域網路 (LAN) 設定] 中,請選取 [使用 Proxy 伺服器] 核取方塊。 3. 在 [位址] 方塊中,輸入到 ISA Server 電腦的路徑。 4. 在 [連接埠] 中,請將 ISA Server 對用戶端連線所使用的埠號輸入到 [連接埠] 中。 5. (可選擇的) 在連線到本機電腦時,如果您希望瀏覽器能略過 ISA Server,請選取 [略過本機位 址的 Proxy 伺服器] 核取方塊。對本機電腦而言,越過 ISA Server 可能會提高效能。 設定 SecureNAT 用戶端 雖然將 SecureNAT 用戶端部署到用戶端電腦上不需要特定的軟體,但您仍必須適當地設定網路。本節會詳細敘述 SecureNAT 用戶端的網路考量。 設定 SecureNAT 用戶端的預設閘道 將 SecureNAT 用戶端部署到用戶端電腦上不需要特定的軟體。不過,您必須設定您 ISA Server 電腦的網路拓蹼,以便保護 SecureNAT 用戶端,並確保能伺服它們的要求。 特別是,SecureNAT 用戶端的預設閘道必須正確地設定。在設定預設閘道的內容時,請識別您正在設定的網路拓蹼是哪一種類型, , 簡單網路。簡單的網路拓樸在 SecureNAT 用戶端及 ISA Server 電腦之間並沒有設定任何路 由器。 , 複雜網路。複雜的網路拓樸會有一個以上的路由器,與設定在 SecureNAT 用戶端及 ISA Server 電腦之間的多個子網路相連。 若要設定簡單網路上的 SecureNAT 用戶端,您應該將 SecureNAT 用戶端的「Internet 通訊協定 (IP)」預設閘道設定,設成 ISA Server 電腦內部網路位址卡的 IP 位址。您可以使用該用戶端上的 TCP/IP 網路控制台設定,以手動來設定此項目。或者是,您可以替使用 DHCP 的用戶端自動設定這些設定值。 若要設定複雜網路上的 SecureNAT 用戶端,您應該將預設閘道設定,設成用戶端本端區段上的路由器,並確定該路由器可將 Internet 預定的資料流,正確地路由到 ISA Server 的內部介面。 最理想的情況,路由器應該要使用前往 ISA Server 電腦的最短路徑。同時,路由器不應設定為將預定到公司網路外部位址的封包丟棄,ISA Server 將會判定路由封包的方式。 SecureNAT 用戶端將可能會要求來自區域網路中的電腦與來自 Internet 的物件。因此,SecureNAT 必須設定來使用 DNS 伺服器,才可為外部及內部主機解析名稱。 內部網路及 Internet 存取 若只針對 Internet 存取,SecureNAT 用戶端必須設定在 Internet 上使用 DNS 伺服器的 TCP/IP 設定。您應該建立允許 SecureNAT 用戶端在 Internet 連線到 DNS 伺服器的通訊協定規則。這項通訊協定規則,應該使用預先定義的 DNS Query (用戶端) 通訊協定。 如果 DNS 伺服器位於內部網路上,則您將需要建立允許雙向流量的原則。也就是說,您將會建立一項通訊協定規則,讓來自 DNS 伺服器的 DNS 查詢,能到達外部 DNS 伺服器,包括 Internet root 伺服器在內。 防火牆用戶端設定 在您安裝防火牆用戶端軟體之前,必須先安裝 ISA Server 軟體。當您安裝 ISA Server 時,您可以設定在傳送要求到 Internet 時,防火牆用戶端應該連接到哪一台 ISA Server。 在安裝用戶端軟體之後,您可以藉由變更防火牆用戶端軟體中的名稱,修改用戶端所連接的伺服器之名稱。相關資訊,請參閱防火牆用戶端線上說明。 防火牆用戶端元件 在用戶端安裝期間,ISA Server 會在用戶端電腦上安裝下列元件, , Mspclnt.ini 是共用的用戶端設定檔,由 ISA Server 所維護。 , Msplat.txt 包含共用的用戶端本地位址表及本地網域表,由 ISA Server 所維護。 , 「防火牆用戶端」應用程式。 您可在安裝之後,變更所有這些元件的預設值。 安裝防火牆用戶端軟體, 1. 在命令提示字元輸入 Path\Setup,此處的 Path 是要用來共用 ISA Server 用戶端安裝檔的 路徑。通常,這些檔案位於 ISA Server 電腦上的 Systemroot\Program Files\Microsoft ISA Server\Clients 中,並共用來作為 MSPclnt。 2. 遵循畫面上的指示。 注意事項 請勿將防火牆用戶端軟體安裝到 ISA Server 電腦上。 第 7 章:部署實例 Microsoft Internet Security and Acceleration (ISA) Server 可以部署在不同的網路拓樸。本節會敘述某些典型的網路設定。不過您的實際網路設定可能會與此處所說明的設定不同,但基本概念及設定邏輯,可以提供適用於您設定的深刻瞭解。 本章包含下列數節, , 小型網路中的防火牆及快取處理 , 連接遠端用戶端 , 聚集 ISA Server 電腦以供容錯 , Web 發佈實例 , 安全伺服器發佈實例 , 周圍網路實例 小型網路中的防火牆及快取處理 ISA Server 可以部署在小型網路中,提供內部用戶端連線到網路的安全連線。因為 ISA Server 具有多重用途的功能性,所以也可以當成內部用戶端的快取處理伺服器。本節中所描述的實例,顯示小型公司的用戶端對 Internet 的存取,可用的典型安裝及設定。 特性與需求 本實例中使用到的公司為小型辦公室,有 500 名以下的使用者需要 Internet 存取。大部份的使用者只需要 Web 存取 (HTTP 或 FTP),雖然一個特定部門也需要存取 Windows 資料流媒體伺服器。該公司需要有可靠的方法,在需要下列需求的環境中提供 Internet 存取, , ISA Server 電腦是公司對 Internet 的唯一連線。 , 公司在連線到 Internet 時,使用指定撥號連線。 , 公司不希望將用戶端軟體部署給所有使用者。 本實例的公司中包含三個部們,銷售,研究及開發,以及人力資源。公司需要讓「銷售」與「研究及開發」部門具有無限制的 HTTP 存取,但只針對一個特定的網站清單。所有部門中的雇員,在工作時間之後,可允許 HTTP 存取。此外,所有的雇員可以在下班後存取 Windows Media 應用程式。 網路設定 本實例中,建立在公司網路的 ISA Server,是做為區域網路與 Internet 的之間的連線。將使用者安裝成 Web Proxy 用戶端,或是 SecureNAT 用戶端。在 ISA Server 電腦上設定的存取原則,規定哪些使用者允許可以存取 Internet。 設定 ISA Server 電腦 ISA Server 在整合模式中安裝為獨立的伺服器。會將網路撥號連線設定成撥號到「Internet 服務提供者 (ISP)」。ISA Server 電腦具有連接到內部網路的網路卡,以及用於撥出到 Internet 的數據機。 在 ISA Server 電腦上,不會執行其他的服務—如 Web 瀏覽器、Outlook 或 Terminal Server。 設定用戶端 在大部分情況,使用者僅需要 Web 存取。就因為這項原因,系統管理員會將大部份的用戶端,安裝成 Web Proxy 用戶端。對 Web Proxy 用戶端而言,設定 Web 瀏覽器,如此 Proxy 伺服器便會是 ISA Server 電腦。Web 瀏覽器上的 Proxy 伺服器連接埠會設成 8080,這是假設該 ISA Server 電腦送出的 Web 要求設定,也會設定成在連接埠 8080 上接聽。 部份的使用者可以使用 Windows 資料流媒體通訊協定,這些使用者的電腦也會設定成 SecureNAT 用戶端。SecureNAT 用戶端的預設閘道,會設成 ISA Server 電腦的 IP 位址。這樣,所有往 Internet 的要求都將轉寄到 ISA Server 電腦,其將會根據存取原則來處理要求。 設定 ISA Server 原則 設定 ISA Server 電腦之後,系統管理員會使用 ISA Management 來實施存取原則。 系統管理員在建立原則規則前,要先建立下列原則元件, 1. 因為部門允許不同的 Internet 存取,所以需要三個用戶端位址,對應到各個部門。各個用戶端 位址組包含三個部門中的電腦 IP 位址:「銷售」、「研究及開發」及「人力資源」。 2. 該公司指引中會規定,在工作日期間可以存取 Internet 上特定的站台。所以,系統管理員會建 立包含那些站台的目的地組,即稱為「上班時間站台」。這樣規則就能套用到單一的目的地組。 3. 公司指引中允許所有雇員在工作日之後進行 Internet 存取,讓系統管理員可以建立一項排程, 即稱為「下班時間」,您可使用它來建立下班時間的 Internet 存取規則。 4. 因為利用撥號連線來存取 Internet,所以系統管理員會建立一個稱為 Call_ISP 的撥號項目。 每當 ISA Server 需要存取 Internet 上的物件時,便會使用撥號項目。 注意事項 如果在用戶端電腦上安裝防火牆用戶端軟體,則可以建立 Windows 2000 使用者群組,而不是用戶端位址組。 系統管理員請遵循下列步驟來實施存取原則, 1. 設定 ISA Server 的送出 Web 要求內容,以便 ISA Server 可以在連接埠 8080 上接聽。 2. 建立一項路由規則,以便將 Web 要求路由到 Internet 上的目的地伺服器。 系統管理員會建立路由規則,將所有的用戶端要求路由到 Internet。路由規則會進行設定,以便 ISA Server 能直接從 Internet 所指定的目的地,來擷取所有目的地物件的要求,除非在ISA Server 快取中已經具有有效版本的要求物件。當一項要求路由到 Internet 時,路由規則會設 定成使用 Call_ISP 撥號項目。 3. 請設定防火牆鏈,以便將非 Web 物件的所有要求,路由到 Internet 上的目的地伺服器。 當用戶端使用非 Web 通訊協定,從 Internet 上的伺服器來要求一項物件時,ISA Server 便 會使用 Call_ISP 撥號項目,來撥出到 Internet。 4. 請驗證預設的站台及內容規則是否存在,此規則可允許每個人存取所有的目的地。 不過,ISA Server 會在安裝期間建立此規則,只有在建立通訊協定規則之後,才會允許使用者 進行存取。 為了對銷售部門及研究開發部門中使用者限制其 Internet 存取,系統管理員會建立下列規則, o 允許「銷售」及「研究及開發」用戶端位址組永久使用 HTTP 通訊協定的通訊協定規則。 o 允許「銷售」及「研究及開發」用戶端位址組存取 「上班時間站台」目的地組中所有目 的地的站台及內容規則。 o 允許「銷售」及「研究及開發」用戶端位址組在「下班時間」排程期間,得以存取所有 目的地的站台及內容規則。 o 為了允許「人力資源」部門中的使用者,在工作日期之後能使用 HTTP,系統管理員會 建立下列規則: o 可允許「人力資源」、「銷售」及「研究及開發」用戶端位址組的通訊協定規則,在「下 班時間」排程期間,可以使用 HTTP 通訊協定。 o 可允許人力資源、銷售以及研究及開發用戶端位址組的站台和內容規則,在「下班時間」 排程期間,能存取所有的目的地。 o 若要讓所有雇員存取資料流媒體內容,系統管理員會建立下列規則: o 可允許「人力資源」、「銷售」及「研究及開發」用戶端位址組的通訊協定規則,在「下 班時間」排程期間,可以使用 MMS– Windows 媒體用戶端通訊協定。 如需路由、原則元件、通訊協定規則、以及站台及內容規則的相關資訊,請參閱「ISA Server 說明」。 連接遠端用戶端 愈來愈多的雇員在家中工作,並且從他們的家用電腦撥號來進入公司網路。所以對雇員來講,建立虛擬私 人網路 (VPN) 連線是越來越普遍。本實例中使用者會撥入到本地 ISP。在另一端上,公司網路上的伺服器連線到其 ISP,並且在這兩者之間建立一個通道。 網路設定 ISA Server 在整合模式中安裝為獨立的伺服器。網路撥號連線會設定在 ISA Server 電腦上,以撥號到 Internet 服務提供者 (ISP)。ISA Server 電腦也會有連線到內部網路的網路卡。 ISA Server 電腦會設定成 VPN 伺服器,以允許特定遠端用戶端與網路資源之間的通訊。 透過 VPN 來連線到 ISA Server 電腦的用戶端,必須能夠存取公司網路資源,如 DNS 及 WINS。 遠端用戶端電腦必須要有設定成撥入本地 ISP 的撥號連線。 設定 ISA Server 在電腦上設定好 ISA Server 之後,系統管理員會使用 ISA Management 來將電腦設定成 ISA Server VPN。系統管理員會進行下列事項, 使用「用戶端對伺服器 VPN 精靈」來安裝 ISA Server,以便能接受用戶端連線。此精靈, o 將「路由及遠端存取」設定成 VPN 伺服器 o 實施驗證及加密方法 o 可以開啟「路由及遠端存取」上的靜態封包篩選器,來允許存取「Internet 通訊協定安 全性 (IPSec)」通訊協定上的「點對點通訊協定 ( ppt 关于艾滋病ppt课件精益管理ppt下载地图下载ppt可编辑假如ppt教学课件下载triz基础知识ppt P)」以及「第二層通道通訊協定 (L2TP)」。 在用戶端電腦上建立一項網路撥號連線,並且設定如下, o 網路連線類型為 VPN。(可利用選取 [透過 Internet 來連線到私人網路],便可完成此 動作)。 o 目的地位址即為 ISA Server VPN 的 IP 位址。 注意事項 如果 ISA Server 保護公司網路而無法存取 Internet 時,則必須將遠端用戶端設定成使用 ISA Server。 聚集 ISA Server 電腦以供容錯 ISA Server 可用來聯合其他 Windows 2000 Server 及 Advanced Server 服務,以便建立具有容錯且平衡的網路。下列各節中說明如何設定 DNS 伺服器,以及如何設定 Windows 2000 Advanced Server 中的「網路負載平衡」,以便完成這項目標。下列數節會描述這些設定。 使用 DNS 使用兩台或更多台 ISA Server 電腦,並聯合 Windows 2000 DNS 伺服器時,防火牆用戶端便可完成容錯功能。 系統管理員可以使用 DNS,將相同的名稱指派給 ISA Server 電腦。以此方式,當用戶端指定 ISA Server 電腦的 DNS 名稱,來要求 ISA Server 電腦中的物件時,DNS 伺服器便會以循環配置資源模式,將此名稱解析成其中一台 ISA Server 電腦。如需其他關於 DNS 及循環配置資源的資訊,請參閱 Windows 2000 Server 說明中的 ,設定循環配置資源,。 請遵循下列步驟來設定 DNS 伺服器,將新的 A 資源記錄新增到區域, 1. 按一下 [開始],指向 [程式集] 後,再指向 [管理工具],然後再按一下 [DNS]。 2. 在 [執行] 功能表上,請按一下 [新增主機]。 3. 在 [名稱] 中,請輸入 ISA Server 電腦的 DNS 主機名稱。 4. 在 [IP 位址] 中,請輸入 ISA Server 電腦的 IP 位址。 5. 請按一下 [新增主機],將新的主機記錄新增到該區域。 6. 每台 ISA Server 電腦都重複步驟 3 到步驟 5。 使用網路負載平衡 針對 SecureNAT 用戶端而言,使用兩台或更多台 ISA Server 電腦,並聯合 Windows 2000 Advanced Server 中的「網路負載平衡」時,便可完成容錯功能。藉由將兩台以上執行 Windows 2000 Advanced Server 之電腦的資源結合到單一叢集中「網路負載平衡」便可給予 Web 伺服器及其他關鍵任務伺服器所需的可信賴度及效能。每一台「網路負載平衡」電腦都執行 ISA Server。 「網路負載平衡」叢集會將幾部執行伺服器程式的電腦群集在一起,而這些程式則使用 TCP/IP 網路通訊協定。「網路負載平衡」允許叢集中所有的電腦以 IP 位址的形式呈現,在維護它們現有可尋址性的同時,使用唯一、專用的 IP 位址。「網路負載平衡」會以 TCP/IP 傳輸的形式將用戶端要求分送至主機。 注意事項 「網路負載平衡」僅可與 Windows 2000 Advanced Server 搭配使用。 「網路負載平衡」要求每台 ISA Server 電腦在其內部網路卡上都要有唯一的 IP 位址。此外,「網路負載平衡」叢集必須要有兩台 ISA Server 電腦將會使用的 IP 位址。如需其他關於「網路負載平衡」及叢集的資訊,請參閱 Windows 2000 Advanced Server 說明中的,網路負載平衡,。 請遵循下列步驟來設定「網路負載平衡」的 ISA Server 電腦, 1. 驗證 ISA Server 電腦已在相同的模式中安裝完畢。 在每一台 ISA Server 電腦的內部網路介面卡上,請將「網路負載平衡」內容做如下的修改, o 將主要 IP 位址設定成「網路負載平衡」叢集的 IP 位址。這個位址是叢集 IP 位址, 且必頇同樣地設定給叢集中所有的主機。這個 IP 位址會將叢集當成一個整體來看,而且 它必頇是您指定給叢集的完整 Internet 名稱的 IP 位址。 o 指派「網路負載平衡」叢集中的每台電腦唯一的優先順序。 o 將專用 IP 位址,設定成 ISA Server 電腦內部網路介面卡的 IP 位址。此 IP 位址是 用來分別定址叢集中的每一台主機,因此對每一台主機而言,應該都是唯一的。通常它是 在選定叢集作業的 IP 位址之前,先指派給主機的原始 IP 位址。 針對單一的網路介面卡而言,必須同時以專用和叢集位址來設定 TCP/IP 堆疊,而且專用的位址順序在前。對擁有兩張網路介面卡的電腦而言,擁有專用位址的網路介面卡其公制值 (就是擁有較高的優先順序),必須要低於擁有叢集位址的網路介面卡。 SecureNAT 用戶端的預設閘道應該設定成叢集的專用 IP 位址。換句話說,叢集的虛擬位址應該當成閘道位址來使用。以此方式,所有的要求將由「網路負載平衡」來處理。 Web 發佈實例 ISA Server 的 Web 發佈功能會造福想要安全地發佈 Web 內容的組織。ISA Server 可以保護組織用來主控 Web 廣告商務、或提供商業夥伴存取的 Web 伺服器。ISA Server 電腦會在 Web 伺服器維護內部網路服務的存取時,扮演面對外部世界的 Web 伺服器。 您所發佈的 Web 伺服器可以同時位在一台 ISA Server 電腦上,或是在不同台的電腦上。下列各節會說明 Web 發佈實例的網路設定。 設定 ISA Server 電腦 無論您設定 Web 發佈實例的方式為何,ISA Server 都必須設定成接聽內送的 Web 要求。內送的 Web 要求內容會指定要由 ISA Server 電腦上的哪個 IP 位址及通訊埠來接聽內送的 Web 要求。內送的 Web 要求內容也會判定在存取內部伺服器時,所需的必要驗證。 設定 DNS Server 當您發佈 Web 伺服器時,外部用戶端可能需要以內部 DNS 伺服器,來解析它們的名稱。就本身而論,內部 DNS 伺服器本身就是發佈伺服器。如果 DNS 伺服器也是 SecureNAT 用戶端,則無須進一步設定。在您安裝 ISA Server 之後,請在 ISA Server 電腦上建立發佈 DNS 伺服器的伺服器發佈規則。如需伺服器發佈規則的相關資訊,請參閱「ISA Server 說明」。 區域網路上的 Web 伺服器實例 在此處所說明的 Web 發佈實例中,ISA Server 對位於區域網路中電腦上內部 Web 伺服器,會保護其內容的安全。 在此描述的公司發佈了兩個 Web 站台,及 。站台的內容在兩台不同的內部 Web 伺服器上,分別是 Mktg 及 Dev。當一位 Internet 使用者,要求在 或 上的物件時,此要求實際上會傳送到 ISA Server 電腦,並由它將此要求再路由到適當的 Web 伺服器。 下列的圖會說明實例。 如果您的瀏覽器不支援內嵌框架,請按這裡以在個別的網頁檢視。 請注意,絕不會將這些 Web 伺服器的 Internet 通訊協定位址曝露出來。反而是, Internet 使用者可以指定 ISA Server 電腦的 IP 位址,便可取得這些 Web 伺服器的存取權。 系統管理員會執行下列步驟來發佈內部 Web 伺服器, 1. 驗證 DNS 伺服器確實與 ISA Server 電腦的 IP 位址完全相符的網域名稱對應。內部用戶端 會使用此網域名稱來要求內容。 2. 設定 ISA Server 內送的 Web 要求內容。此 IP 位址應該要包含外部介面的 IP 位址。 建立下列原則元件, o 稱為「行銷」的目的地組,應該包含電腦 example.microsoft.com 以及路徑 \Marketing\*。這是 ISA Server 將會詴著符合的主機標題,以便能正確將要求路由到正 確的內部伺服器。 o 稱為「開發」的目的地組,應該包含電腦 example.microsoft.com 以及路徑 \Development\*。 建立下列規則, o 一項可以發佈 Mktg 電腦的 Web 發佈規則,而目的地組會設定成「行銷」。 o 一項可以發佈 Dev 電腦的 Web 發佈規則,而目的地組會設定成「開發」。 ISA Server 電腦上的 Web 伺服器實例 有些組織可能會將 Web 伺服器及 ISA Server 安裝在同一台電腦上。 下面實例所說明的公司,會發佈位於 的網站。 在此實例中,系統管理員會以下列方法,來設定 ISA Server 以發佈 Web 內容, , 藉由 Web 發佈規則的建立 , 藉由 IP 封包篩選器的建立 下列數節會描述如何使用這些方法來設定 ISA Server。 使用 Web 發佈規則來發佈 ISA Server 電腦上的 Web 伺服器 在此實例中,系統管理員會設定 ISA Server 在外部介面卡的連接埠 80 上,接聽內送的要求。Web 伺服器預設也會接聽連接埠 80 上的內送要求。 若要避免這個衝突,系統管理員必須執行下列事項, , 設定 Web 伺服器,讓它能在 80 以外的連接埠,或是在不同的網路介面卡上接聽,然後在 ISA Server 電腦上 (此電腦能夠將要求發佈到 Web 伺服器的適合連接埠),建立 Web 發佈規則。 , 設定 Web 伺服器在不同的 IP 位址上接聽。例如,Web 伺服器可在 127.0.0.1 上接聽。以 此方式,Web 伺服器只接聽來自本機電腦的要求。這些要求實際上將來自 ISA Server。 在 ISA Server 電腦上使用封包篩選來發佈 Web 伺服器 另一種發佈 ISA Server 電腦上之 Web 伺服器的方法,是設定 IP 封包篩選器。IP 封包篩選器會將到達 Web 伺服器連接埠 80 上所有的封包,傳送到 ISA Server 電腦上的 Web 伺服器。封包篩選器允許 Web 伺服器,在連接埠 80 上接聽進來的 Web 要求。 請注意,在此情況中,對於送出的 Web 要求並未發生衝突,因為 ISA Server 在連接埠 8080 上接聽,而 Web 伺服器則是在連接埠 80 上接聽來自內部用戶端的要求。不過,ISA Server 的自動尋找功能,不應該設定成在連接埠 80 上接聽,或是應該停用。 系統管理員會執行下列步驟來發佈位在 ISA Server 電腦上的 Web 伺服器, 1. 啟用封包篩選。 2. 建立一項 IP 封包篩選器,以允許所有入埠 TCP 封包,能到達 ISA Server 電腦外部 IP 位址 上的連接埠 80。 3. 停用自動尋找。 注意事項 因為 Internet Information Services (IIS) 會使用連接埠 80,所以在使用此處說明的方法,來發佈 ISA Server 電腦上的 Web 伺服器時,請勿建立 Web 發佈規則。 您可以在連接埠 80 上使用自動尋找。如果您是在設定 DHCP 伺服器,也可以從另一個連接埠來使用它。 安全伺服器發佈實例 當商業對商業電子商務越來越流行時,更多的組織瞭解到讓特定外部使用者存取內部伺服器的同時,還要保護內部伺服器。在 ISA Server 中的反向發佈功能,可以讓您保護內部伺服器不受外部用戶端存取。 一般的 ISA Server 實例會牽涉到要保護郵件伺服器的簡單郵件傳輸通訊協定 (SMTP) 通訊。例如,ISA Server 可以保護 Microsoft Exchange Server。「郵件伺服器保護發佈精靈」會設定必需的原則,以便能允許 Exchange Server 和 Internet 之間的通訊。精靈會新增一組伺服器發佈規則,將來自 Internet 使用者的通訊,從特定連接埠重新導向到指定的內部 IP 位址。此精靈也會建立通訊協定規則,並以動態方式開啟用於送出通訊的連接埠。 您正在發佈的 Exchange Server,可以位於 ISA Server 電腦上,或是在區域網路上。下列數節會描述部分 Exchange Server 發佈實例。 注意事項 如果您之前已使用 Microsoft Proxy Server 2.0,可能會將 Exchange Server 設定成 Winsock Proxy 用戶端,而且將 wspcfg.ini 檔設定成在 Proxy Server 電腦上外部介面的連接埠 25 上擷取。既然這樣,那個設定將會與 ISA Server 搭配使用。不過,如果您使用的是 ISA Server 的伺服器發佈規則,建議您先移除 Exchange Server 中的 wspcfg.ini 檔,然後再使用「ISA Server 郵件安全性精靈」。 區域網路上的 Exchange Server 在本實例中,區域網路上的 Exchange Server 由 ISA Server 電腦保護,如圖中所示。 您可以使用 ISA Server Mail Server Security Wizard 來設定 Exchange Server,如此外部用戶端便可使用下列一或多個通訊協定,與之聯繫, , Messaging Application Programming Interface (MAPI) , Post Office Protocol 3 (POP3) , Internet Messaging Access Protocol 4 (IMAP4) , Network News Transfer Protocol (NNTP) , Secure NNTP 精靈會建立一或多個伺服器發佈規則,對應到 ISA Server 保護的每個郵件服務。由精靈建立的伺服器發佈規則,擁有下列參數, , 郵件伺服器的內部 IP 位址 , 由 ISA Server 電腦所顯露的外部位址 , 選擇郵件服務的通訊協定 精靈建立的新規則皆會利用首碼郵件精靈規則命名。 「郵件伺服器安全性精靈」也會建立通訊協定規則,以允許外送郵件傳輸。通訊協定規則擁有下列參數, , 簡單郵件傳輸通訊協定(SMTP) (用戶端)。 , 用戶端組包含 Exchange Server 的內部 IP 位址。 用戶端的名稱解析 因為 POP3、IMAP4 及 HTTP 用戶端可以按照 DNS 名稱或 IP 位址,來存取執行 Exchange Server 的電腦,所以建議您將郵件用戶端所用的 DNS 名稱,對應到 ISA Server 電腦的外部 IP 位址。 對 MAPI 用戶端而言, Internet 上的 DNS 伺服器必須解析執行 Exchange Server 之電腦的名稱,並將其與 ISA Server 外部網路介面卡上的 IP 位址相比較。請注意,在此情況中的 DNS 伺服器,應該將 Exchange Server 電腦的內部名稱,對應到 ISA Server 的外部 IP 位址。所以,伺服器類型應該設為 Server 而非 Mail Server。如果您正在發佈 SMTP 服務,也會需要 Mail Exchange (MX) 記錄,而且應該指向 ISA Server 電腦的外部 IP。 ISA Server 電腦上的 Exchange Server 在此實例中,ISA Server 及 Exchange Server 不在同一台電腦上,如下圖所示。 您可以使用「郵件伺服器安全性精靈」來發佈位於 ISA Server 電腦上的 Exchange Server。在此實例中,「郵件伺服器安全性精靈」會為您所選擇的每個郵件服務建立 IP 封包篩選器。例如,如果您執行「郵件伺服器安全精靈」,並且指定送出的 SMTP 郵件及 POP3 用戶端要求,則將建立下列 IP 封包篩選器, , 一項 IP 封包篩選器,可允許來自任何遠端連接埠,在本機連接埠 25 上的入埠 TCP 連線。這 將可以允許送入的 SMTP 封包。 , 一項 IP 封包篩選器,可允許來自遠端連接埠 25 在所有本機連接埠上送出的 TCP 連線。這將 可以允許送出的 SMTP 封包。 , IP 封包篩選器允許來自任何遠端連接埠於本機連接埠 110 上的內送 TCP 連線。這將可以允許 進來的 POP3 封包。 , 一項 IP 封包篩選器,可允許來自遠端連接埠 110 在所有本端連接埠上送出的 TCP 連線。這 將可以允許送出的 POP3 封包。 注意事項 在此實例中,Outlook 用戶端不可自區域網路外部來存取 Exchange Server。 周圍網路實例 周圍網路 (也叫做DMZ,廢除區域 ,及遮蔽子網路) 是一個小型網路,在組織的私人網路與 Internet 之外另外設立的。周圍網路可以在避免對內部公司網路進行存取的同時,允許外部使用者存取位於周圍網路中的特定伺服器。從周圍網路中的電腦,到內部網路中的電腦之間,組織也可能允許非常有限的存取。 周圍網路一般是使用來部署公司的電子郵件及 Web 伺服器。周圍網路可設定成下列的其中一個設定, , 有兩台 ISA Server 電腦在周圍網路兩旁的背靠背 (back-to-back) 周圍網路設定。 , Three-Homed ISA Server 電腦,並且由同一台 ISA Server 電腦來保護周圍網路及區域網 路。 背靠背 (Back-to-Back) 周圍網路實例 在背靠背 (back-to-back) 周圍網路設定中,兩台 ISA Server 電腦會位於周圍網路的兩旁。(周圍網路 亦稱為 DMZ、廢除區域及遮蔽子網路)。該圖會說明背靠背 (back-to-back) 周圍網路設定。 在此設定中,兩台 ISA Server 電腦互相鉤掛在一起,其中一個連線到 Internet,另一個則連到區域網路。周圍網路就存在於這兩台伺服器之間。這兩台 ISA Server 都是在整合或防火牆模式中安裝,基本上可以降低洩露的風險,因為攻擊者將需要進入這二個系統,才能取進到內部網路。 系統管理員會執行下列步驟,讓外部 (Internet) 用戶端可以使用周圍網路上的伺服器,就如同它們是來自 Internet 一般, 1. 設定連線到公司網路 (標示為 ISA Server 2) 的 ISA Server 電腦上的本機位址表 (LAT),以 便包含公司網路中電腦的 IP 位址。 2. 設定連線到 Internet 的 ISA Server 上的 LAT,以便包含連線到公司網路的 ISA Server 的 IP 位址,以及周圍網路中所有發佈伺服器的 IP 位址。 3. 建立 Web 發佈規則來發佈 IIS Server。 4. 建立伺服器發佈規則來發佈 SQL Server,並將伺服器發佈規則,設定成套用至 SQL 通訊協定。 5. 建立 Web 發佈規則來發佈 IIS Server,設定將要求重新導向主控站台的規則。 Three-Homed 周圍網路實例 在 Three-Homed 周圍網路中,單一的 ISA Server 電腦,會安裝成具有三張網路介面卡。 , 一張網路介面卡連線到公司網路的內部用戶端。 , 第二張網路介面卡,則連線到位於周圍網路中的公司網路伺服器。周圍網路的 IP 位址,不應該 在本機位址表 (LAT) 中。 , 第三張網路介面卡則連線到到 Internet。 該圖會說明這個周圍網路實例。 系統管理員會執行這些步驟,利用 Three-Homed 的 ISA Server 來設定周圍網路, 1. 設定 LAT 以包含公司網路上的所有位址。LAT 不應包含周圍網路上的位址。 2. 啟用封包篩選及 IP 路由。 3. 為周圍網路中的每台伺服器建立 IP 封包篩選器。對每個 IP 封包篩選器而言,應該將本機電腦 指定為周圍網路上的伺服器 IP 位址。