ISA Server 的应用

huhahapz

ISA Server的应用
　　Microsoft ISA Server是一款代理服务和网络防火墙功能于一身的优秀软件，主要应用于大中型网络中，实现Internet连接共享和软件防火墙功能。
　　
　　在安装ISA Server之前，首先需要设置网络环境。一台拥有双网卡的Windows Server 2003操作系统服务器，连接内网和外网，内网IP：192.168.2.1、外网IP：100.100.100.10；一台内部网络的服务器，也使用Windows Server 2003操作系统，IP：192.168.2.10；一台外部网络服务器，同样使用Windows Server 2003操作系统，IP：100.100.100.100。
　　
　　ISA Server可以部署为专用的Internet边缘防火墙，来充当内部客户端的Internet安全网关；也可以配置为部门或主干网络防火墙，为进出受保护的LAN提供安全的入站和出战访问控制；另外，ISA Server还可以使用站点到站点的***连接将分支办公室网络连接到主办公室，也可在外部公网连接到内部网络；ISA Server允许组织可以在不危及内部网络安全的情况下将内部的服务发布到Internet。
　　
ISA Server 2004的安装
　　完成网络环境的配置无误后，开始安装ISA Server 2004，在安装程序界面中单击安装【ISA Server 2004】，如图1所示。
　　

　　图1、安装ISA Server 2004
　　
　　在【欢迎使用Microsoft ISA Server 2004的安装向导】单击【下一步】；在【许可协议】中选择【我接受许可协议中的条款】单选按钮，然后单击【下一步】按钮；在【客户信息】中填写【用户名】和【单位】信息和【产品序列号】，然后单击【下一步】按钮；在【安装类型】中选择【自定义】安装，然后单击【下一步】按钮，在【自定义安装】对话框中选择【防火墙客户端安装共享】选择，然后单击【下一步】，如图2所示。
　　

　　图2、安装防火墙客户端安装共享
　　
　　在【内部网络】的【内部网络地址范围】选择内部网络的地址192.168.2.1-192.168.2.254的网络，如图3所示。（也可以在【选择网卡】中选择）
　　

　　图3、内部网络
　　
　　ISA Server 2004安装完成后，要求重启系统，如图4所示，单击【是】重启系统。
　　

　　图4、重启系统对话框
　　

安全连接Internet
　　1、允许内部网络访问Internet
　　ISA Server中的任意一种网络行为都要经过“定制”，未经明确设置为【允许】的行为默认都是【禁止】。如果网络中的用户想通过ISA Server连接到Internet，必须要进行设置。
　　1）、在ISA Server 2004计算机上，从【开始】-【程序】-【Microsoft ISA Server】程序组中运行【ISA服务器管理】命令，进入ISA Server 2004控制台。
　　2）、用鼠标右键单击【防火墙策略】，从弹出的快捷菜单中选择【新建】-【访问规则】命令，如图5所示。
　　

　　图5、新建访问规则
　　3）、在【欢迎使用新建访问规则向导】对话框中，在【访问规则名称】的文本框中输入【允许内部网络访问Internet】，然后单击【下一步】。
　　4）、在【规则操作】中选择【允许】单选按钮。
　　5）、在【协议】对话框中选择【新建】，在【添加协议】中选择【通用协议】（常用的协议DNS、HTTP、HTTPS、POP3、SMTP、PING等），选择DNS、HTTP、HTTPS、POP3、SMTP、PING，然后在【全部协议】中选择FTP。关闭【添加协议】选项卡，返回【协议】对话框，单击【下一步】，如图6所示。
　　

　　图6、添加协议
　　6）、在【访问规则源】界面中，选择要通信的方向，因为要从【内部】到【外部】，所示，源头就是【内部】或【本地主机】。点击【添加】，在【网络实体】中的【网络】下选择【内部】和【本地主机】。
　　7）、在【访问目标】中选择【外部】；在【用户集】中选择【所有用户】。在【正在完成新建 访问规则 向导】中单击【完成】完成设置，如图7所示。最后，别忘了在ISA Server 2004管理控制台上，单击以下【应用】按钮，让设置生效。
　　

　　图7、完成向导
　　8）、内部机器成功ping外部服务器如图8所示，内部机器成功访问外部WEB和FTP服务，如图9所示。
　　

　　图8、PING通外网
　　

　　图9、成功访问外网的FTP和WEB服务
　　
　　2、使用策略元素建立禁止某些内部用户访问某些网站的策略。
　　互联网为大家提供信息的同时，也有一些网站存在不良或反动信息。使用ISA可以屏蔽这些网站。使用ISA Server 2004屏蔽这些站点的访问范围两个步骤，首先要禁止内网对这些网站的访问。
　　1）、在ISA Server 2004控制台的【防火墙策略】中，新建一个访问规则，名字为【禁止访问不良网站】。
　　2）、在【规则操作】，选择【拒绝】；【协议】为【所有出站通讯】；【访问源】为【内部和本地主机】；
　　3）在【访问目标】中，单击【添加】，在弹出的【添加网络实体】页面中，单击【新建】-【URL集】，如图10所示。同样的方法，新建一个域名集，如图11所示。
　　

　　图10、禁止访问的网站
　　
　　

　　图11、禁止访问的域名
　　4）、如果用户通过代理服务器的方法间接访问被禁止的网站和服务，还是可以成功的，因此禁止使用代理服务器访问被禁止访问的站点和禁止使用的服务。
　　在ISA Server 2004控制台的【防火墙策略】页面中，用鼠标右键单击【允许内部网络访问Internet】，从弹出的快捷菜单中选择【配置HTTP】，如图12所示。
　　

　　图12、配置HTTP
　　在【在规则配置 HTTP 策略】中的【方法】选项卡中，在【指定 HTTP 方法要执行的操作】列表中选择【阻止指定的方法（允许所有其他方法）】，然后单击【添加】按钮，添加一个方法,方法的文本中输入CONNECT（必须大写）如图13所示。（当用户浏览网页时候，只会用到get、post这两个命令；当使用代理服务器进行连接是就用到connect命令）
　　

　　图13、禁止CONNECT方法
　　像禁止QQ、MSN等聊天软件和BT等P2P下载软件的方法都差不多，基本是一样。自己摸索吧。
　　
发布服务器
　　1、发布WEB站点
　　使用ISA把内部的服务发布到Internet上，方法如下。
　　1）、打开ISA Server 2004控制台，右击【防火墙策略】选项，从弹出的快捷菜单中选择【新建】-【Web服务器发布规则】命令，如图14所示。
　　

　　图14、新建网站发布规则
　　2）、在【欢迎使用新建Web发布规则向导】界面中的【Web发布规则名称】输入“发布Web服务器”，单击【下一步】按钮。在【请选择规则操作】中选择【允许】，然后单击【下一步】按钮；在【请定义要发布的网站】中的【计算机名或IP地址文本中输入内部网络的IP地址：192.168.2.10.如图15所示。
　　

　　图15、发布内部网站
　　
　　3）、在【公共名称细节】中如果已经有了共有名称，在【接受请求】可以选择【此域名】，否则选择【任何域名】，如图16.
　　

　　图16、公共名称
　　4）、在【选择 Web侦听器】是单击【新建】按钮，新建一个侦听器，在【欢迎使用新建 Web 侦听器向导】中的【Web 侦听器名称】输入【侦听外部80端口请求】，然后单击【下一步】按钮。在【IP地址】中选择【外部】，然后单击【下一步】按钮。
　　5）、在【端口指定】使用80端口，单击【下一步】在【正在完成新建 Web 侦听器 向导】中单击【完成】完成设置，如图17所示。
　　

　　图17、侦听器信息
　　6）、在【用户集】中选择【所用用户】，单击【下一步】，在如图18所示的【正在完成新建 Web 发布规则 向导】中单击【完成】完成Web发布。最后同样别忘记在控制台上单击一下【应用】使之生效。
　　7）、在外部的计算机通过http://100.100.100.10成功访问内部的IP地址为192.168.2.10的Web服务器，如图19所示。
　　
　　

　　图18、Web服务发布设置信息
　　

　　图19、外部计算机成功访问内部WEB服务器
　　
　　2、发布FTP服务
　　1）、FTP服务的发布和Web服务的发布差不多，在ISA Server 2004控制台，右击【防火墙策略】选项，从弹出的快捷菜单中选择【新建】-【服务器发布规则】，在【欢迎使用新建服务器发布规则向导】中输入【服务器发布规则的名称】“发布FTP”，然后单击【下一步】按钮；在【选择服务器】界面中的【服务器IP地址】输入内部服务器的IP：192.168.2.10。单击【下一步】按钮，在【选择协议】中选择【FTP服务器】，如果不是使用默认的端口号，可在端口选项中修改。在【IP地址】中同样选择【外部】，单击【下一步】按钮，在如图20所示的信息。
　　

　　图20、发布FTP站点信息
　　2）、在外部的计算机成功访问内部的FTP站点，如图21所示。
　　

　　图21、外部计算机成功访问内部FTP站点
　　如果一个企业，内部的FTP站点不要使用默认的FTP端口。
　　
　　3、发布邮件服务器
　　1）、邮件服务器的发布和其他服务的发布方法相同，在ISA Server 2004控制台，右击【防火墙策略】选项，从弹出的快捷菜单中选择【新建】-【邮件服务器发布规则】如图22所示。
　　

图22、新建发布邮件服务器
　　2）、在【访问类型】中选择【客户端访问】，如图23所示。

　　图23、访问类型
　　3）、在【选择服务】选择【POP3、SMTP（这两是必须的）、】如图24所示。
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　

　　图24、选择服务
　　4）、选择的服务器就是内部的邮件服务器，在本文中的IP:192.168.2.10.如图25所示。

　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　图25、选择服务器地址
　　5）、在【IP地址】选择的范围是【外部】。设置完成后，同样在控制台上【应用】一下使之生效。
　　6）、在外部计算机上的Outlook设置好邮件的帐户和密码，其中邮件服务器的收发服务器都是一样的：100.100.100.10。如图26所示。
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　

　　图26、服务器设置属性
　　7）、外部网络的计算机通过内网的邮件服务器成功的收发邮件，如图27所示。

　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　图27、成功收发邮件
　　
高效访问Internet（启用ISA Server 的缓存）
　　ISA Server 支持缓存，提高客户浏览器性能、缩短用户响应时间减少Internet连接所消耗的带宽。
　　1、启用缓存。在ISA Server 2004控制台中，定位到【配置】-【缓存】-鼠标右键单击在快捷菜单中选择【定义缓存驱动器（启用缓存）】，如图28所示。
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　
　　

　　图28、定义缓存驱动器
　　
　　2、在【定义缓存驱动器】中选择分区设置相应的空间，然后单击【设置】，最后【确定】，如图29所示。
　　
　　

　　图29、定义缓存空间
　　
　　
用ISA Server 2004提供***服务器
　　1、在ISA Server 中启用***服务器
　　如果【陆游和远程访问】服务已经启用的，首先要停在该服务。进入ISA Server 管理器中，进入【虚拟专用网络】，从【任务】菜单栏中单击【配置***客户端访问】，如图30所示。
　　

　　图30、启用***客户端访问
　　2、在【***客户端属性】页面中，打开【常规】选项卡，单击【启用***客户端访问】并设置连接数目，如图31所示。
　　

　　图31、设置连接数目
　　3、在如图30所示的页面中的【常规***配置】中配置***属性，在【虚拟专用网络（***）属性】的【访问网络】选项卡中选择【外部】，【地址选项】卡中使用静态地址（这个静态地址不能和内部网络的地址相同），如图32所示。
　　

　　图32、地址分配范围设置
　　4、在【防火墙策略】中新建访问规则，规则名称为【允许***客户端访问内网和外网】，规则操作为【允许】，协议为【所有出战协议】，访问规则源为【***客户端】，如图33所示，访问目标为【内部，本地主机，外部】如图34所示。最后【应用】一下使之生效。
　　

　　图33、允许访问的***客户端
　　
　　

　　图34、***客户端允许访问的目标
　　5、在***服务器上建立一个用户***，并在其【属性】--【拨入】设置为【允许访问】，如图35所示；在客户端连接***服务器，成功连接后可以像在局域网一样访问内部的服务器。
　　在客户端使用http://192.168.2.10，可直接访问内部的Web服务器，如图36所示。
　　

　　图35、允许远程访问权限
　　

　　图36、***客户端成功访问内部WEB服务器
　　
　　ISA Server的基本简单应用介绍到这里（很多没有介绍，如备份和恢复、无人职守功能.....），ISA Server很强大，自己用心体会吧！
　　天道酬勤，有耕耘才有收获！
　　写于2010年4月3日