ISA Server 的应用
ISA Server的应用Microsoft ISA Server是一款代理服务和网络防火墙功能于一身的优秀软件,主要应用于大中型网络中,实现Internet连接共享和软件防火墙功能。
在安装ISA Server之前,首先需要设置网络环境。一台拥有双网卡的Windows Server 2003操作系统服务器,连接内网和外网,内网IP:192.168.2.1、外网IP:100.100.100.10;一台内部网络的服务器,也使用Windows Server 2003操作系统,IP:192.168.2.10;一台外部网络服务器,同样使用Windows Server 2003操作系统,IP:100.100.100.100。
ISA Server可以部署为专用的Internet边缘防火墙,来充当内部客户端的Internet安全网关;也可以配置为部门或主干网络防火墙,为进出受保护的LAN提供安全的入站和出战访问控制;另外,ISA Server还可以使用站点到站点的***连接将分支办公室网络连接到主办公室,也可在外部公网连接到内部网络;ISA Server允许组织可以在不危及内部网络安全的情况下将内部的服务发布到Internet。
ISA Server 2004的安装
完成网络环境的配置无误后,开始安装ISA Server 2004,在安装程序界面中单击安装【ISA Server 2004】,如图1所示。
图1、安装ISA Server 2004
在【欢迎使用Microsoft ISA Server 2004的安装向导】单击【下一步】;在【许可协议】中选择【我接受许可协议中的条款】单选按钮,然后单击【下一步】按钮;在【客户信息】中填写【用户名】和【单位】信息和【产品序列号】,然后单击【下一步】按钮;在【安装类型】中选择【自定义】安装,然后单击【下一步】按钮,在【自定义安装】对话框中选择【防火墙客户端安装共享】选择,然后单击【下一步】,如图2所示。
图2、安装防火墙客户端安装共享
在【内部网络】的【内部网络地址范围】选择内部网络的地址192.168.2.1-192.168.2.254的网络,如图3所示。(也可以在【选择网卡】中选择)
图3、内部网络
ISA Server 2004安装完成后,要求重启系统,如图4所示,单击【是】重启系统。
图4、重启系统对话框
安全连接Internet
1、允许内部网络访问Internet
ISA Server中的任意一种网络行为都要经过“定制”,未经明确设置为【允许】的行为默认都是【禁止】。如果网络中的用户想通过ISA Server连接到Internet,必须要进行设置。
1)、在ISA Server 2004计算机上,从【开始】-【程序】-【Microsoft ISA Server】程序组中运行【ISA服务器管理】命令,进入ISA Server 2004控制台。
2)、用鼠标右键单击【防火墙策略】,从弹出的快捷菜单中选择【新建】-【访问规则】命令,如图5所示。
图5、新建访问规则
3)、在【欢迎使用新建访问规则向导】对话框中,在【访问规则名称】的文本框中输入【允许内部网络访问Internet】,然后单击【下一步】。
4)、在【规则操作】中选择【允许】单选按钮。
5)、在【协议】对话框中选择【新建】,在【添加协议】中选择【通用协议】(常用的协议DNS、HTTP、HTTPS、POP3、SMTP、PING等),选择DNS、HTTP、HTTPS、POP3、SMTP、PING,然后在【全部协议】中选择FTP。关闭【添加协议】选项卡,返回【协议】对话框,单击【下一步】,如图6所示。
图6、添加协议
6)、在【访问规则源】界面中,选择要通信的方向,因为要从【内部】到【外部】,所示,源头就是【内部】或【本地主机】。点击【添加】,在【网络实体】中的【网络】下选择【内部】和【本地主机】。
7)、在【访问目标】中选择【外部】;在【用户集】中选择【所有用户】。在【正在完成新建 访问规则 向导】中单击【完成】完成设置,如图7所示。最后,别忘了在ISA Server 2004管理控制台上,单击以下【应用】按钮,让设置生效。
图7、完成向导
8)、内部机器成功ping外部服务器如图8所示,内部机器成功访问外部WEB和FTP服务,如图9所示。
图8、PING通外网
图9、成功访问外网的FTP和WEB服务
2、使用策略元素建立禁止某些内部用户访问某些网站的策略。
互联网为大家提供信息的同时,也有一些网站存在不良或反动信息。使用ISA可以屏蔽这些网站。使用ISA Server 2004屏蔽这些站点的访问范围两个步骤,首先要禁止内网对这些网站的访问。
1)、在ISA Server 2004控制台的【防火墙策略】中,新建一个访问规则,名字为【禁止访问不良网站】。
2)、在【规则操作】,选择【拒绝】;【协议】为【所有出站通讯】;【访问源】为【内部和本地主机】;
3)在【访问目标】中,单击【添加】,在弹出的【添加网络实体】页面中,单击【新建】-【URL集】,如图10所示。同样的方法,新建一个域名集,如图11所示。
图10、禁止访问的网站
图11、禁止访问的域名
4)、如果用户通过代理服务器的方法间接访问被禁止的网站和服务,还是可以成功的,因此禁止使用代理服务器访问被禁止访问的站点和禁止使用的服务。
在ISA Server 2004控制台的【防火墙策略】页面中,用鼠标右键单击【允许内部网络访问Internet】,从弹出的快捷菜单中选择【配置HTTP】,如图12所示。
图12、配置HTTP
在【在规则配置 HTTP 策略】中的【方法】选项卡中,在【指定 HTTP 方法要执行的操作】列表中选择【阻止指定的方法(允许所有其他方法)】,然后单击【添加】按钮,添加一个方法,方法的文本中输入CONNECT(必须大写)如图13所示。(当用户浏览网页时候,只会用到get、post这两个命令;当使用代理服务器进行连接是就用到connect命令)
图13、禁止CONNECT方法
像禁止QQ、MSN等聊天软件和BT等P2P下载软件的方法都差不多,基本是一样。自己摸索吧。
发布服务器
1、发布WEB站点
使用ISA把内部的服务发布到Internet上,方法如下。
1)、打开ISA Server 2004控制台,右击【防火墙策略】选项,从弹出的快捷菜单中选择【新建】-【Web服务器发布规则】命令,如图14所示。
图14、新建网站发布规则
2)、在【欢迎使用新建Web发布规则向导】界面中的【Web发布规则名称】输入“发布Web服务器”,单击【下一步】按钮。在【请选择规则操作】中选择【允许】,然后单击【下一步】按钮;在【请定义要发布的网站】中的【计算机名或IP地址文本中输入内部网络的IP地址:192.168.2.10.如图15所示。
图15、发布内部网站
3)、在【公共名称细节】中如果已经有了共有名称,在【接受请求】可以选择【此域名】,否则选择【任何域名】,如图16.
图16、公共名称
4)、在【选择 Web侦听器】是单击【新建】按钮,新建一个侦听器,在【欢迎使用新建 Web 侦听器向导】中的【Web 侦听器名称】输入【侦听外部80端口请求】,然后单击【下一步】按钮。在【IP地址】中选择【外部】,然后单击【下一步】按钮。
5)、在【端口指定】使用80端口,单击【下一步】在【正在完成新建 Web 侦听器 向导】中单击【完成】完成设置,如图17所示。
图17、侦听器信息
6)、在【用户集】中选择【所用用户】,单击【下一步】,在如图18所示的【正在完成新建 Web 发布规则 向导】中单击【完成】完成Web发布。最后同样别忘记在控制台上单击一下【应用】使之生效。
7)、在外部的计算机通过http://100.100.100.10成功访问内部的IP地址为192.168.2.10的Web服务器,如图19所示。
图18、Web服务发布设置信息
图19、外部计算机成功访问内部WEB服务器
2、发布FTP服务
1)、FTP服务的发布和Web服务的发布差不多,在ISA Server 2004控制台,右击【防火墙策略】选项,从弹出的快捷菜单中选择【新建】-【服务器发布规则】,在【欢迎使用新建服务器发布规则向导】中输入【服务器发布规则的名称】“发布FTP”,然后单击【下一步】按钮;在【选择服务器】界面中的【服务器IP地址】输入内部服务器的IP:192.168.2.10。单击【下一步】按钮,在【选择协议】中选择【FTP服务器】,如果不是使用默认的端口号,可在端口选项中修改。在【IP地址】中同样选择【外部】,单击【下一步】按钮,在如图20所示的信息。
图20、发布FTP站点信息
2)、在外部的计算机成功访问内部的FTP站点,如图21所示。
图21、外部计算机成功访问内部FTP站点
如果一个企业,内部的FTP站点不要使用默认的FTP端口。
3、发布邮件服务器
1)、邮件服务器的发布和其他服务的发布方法相同,在ISA Server 2004控制台,右击【防火墙策略】选项,从弹出的快捷菜单中选择【新建】-【邮件服务器发布规则】如图22所示。
图22、新建发布邮件服务器
2)、在【访问类型】中选择【客户端访问】,如图23所示。
图23、访问类型
3)、在【选择服务】选择【POP3、SMTP(这两是必须的)、】如图24所示。
图24、选择服务
4)、选择的服务器就是内部的邮件服务器,在本文中的IP:192.168.2.10.如图25所示。
图25、选择服务器地址
5)、在【IP地址】选择的范围是【外部】。设置完成后,同样在控制台上【应用】一下使之生效。
6)、在外部计算机上的Outlook设置好邮件的帐户和密码,其中邮件服务器的收发服务器都是一样的:100.100.100.10。如图26所示。
图26、服务器设置属性
7)、外部网络的计算机通过内网的邮件服务器成功的收发邮件,如图27所示。
图27、成功收发邮件
高效访问Internet(启用ISA Server 的缓存)
ISA Server 支持缓存,提高客户浏览器性能、缩短用户响应时间减少Internet连接所消耗的带宽。
1、启用缓存。在ISA Server 2004控制台中,定位到【配置】-【缓存】-鼠标右键单击在快捷菜单中选择【定义缓存驱动器(启用缓存)】,如图28所示。
图28、定义缓存驱动器
2、在【定义缓存驱动器】中选择分区设置相应的空间,然后单击【设置】,最后【确定】,如图29所示。
图29、定义缓存空间
用ISA Server 2004提供***服务器
1、在ISA Server 中启用***服务器
如果【陆游和远程访问】服务已经启用的,首先要停在该服务。进入ISA Server 管理器中,进入【虚拟专用网络】,从【任务】菜单栏中单击【配置***客户端访问】,如图30所示。
图30、启用***客户端访问
2、在【***客户端属性】页面中,打开【常规】选项卡,单击【启用***客户端访问】并设置连接数目,如图31所示。
图31、设置连接数目
3、在如图30所示的页面中的【常规***配置】中配置***属性,在【虚拟专用网络(***)属性】的【访问网络】选项卡中选择【外部】,【地址选项】卡中使用静态地址(这个静态地址不能和内部网络的地址相同),如图32所示。
图32、地址分配范围设置
4、在【防火墙策略】中新建访问规则,规则名称为【允许***客户端访问内网和外网】,规则操作为【允许】,协议为【所有出战协议】,访问规则源为【***客户端】,如图33所示,访问目标为【内部,本地主机,外部】如图34所示。最后【应用】一下使之生效。
图33、允许访问的***客户端
图34、***客户端允许访问的目标
5、在***服务器上建立一个用户***,并在其【属性】--【拨入】设置为【允许访问】,如图35所示;在客户端连接***服务器,成功连接后可以像在局域网一样访问内部的服务器。
在客户端使用http://192.168.2.10,可直接访问内部的Web服务器,如图36所示。
图35、允许远程访问权限
图36、***客户端成功访问内部WEB服务器
ISA Server的基本简单应用介绍到这里(很多没有介绍,如备份和恢复、无人职守功能.....),ISA Server很强大,自己用心体会吧!
天道酬勤,有耕耘才有收获!
写于2010年4月3日
页:
[1]