/**
路由级网络防火墙(Microsft@ Internet Security and Acceleration Sever 2004 简称ISA 2004)
1、新功能概述
和ISA 2000相比,ISA 2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。
2、全新的多网络架构支持
为了实施多网络方案,ISA 2004 服务器引入了下列概念:
网络:从ISA Server 2004 服务器的角度来看,网络是可以包含一个或多个IP地址范围或域的元素。网络包含一台或多台计算机,并且始终对应于ISA Server 2004 服务器上的网络特定适配器。你可以对一个或多个网络应用规则。
网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL集或域名集)。规则可以应用于网络或网络对象。
网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。可以通过下列连接方式之一连接网络:网络地址(NAT)或路由(Route)。
在ISA 2004 中,有两种类型的VPN连接:
远程访问VPN连接。客户端建立远程访问VPN连接,以连接到专用网络。ISA Server 2004服务器作为VPN接入服务器,远程客户通过连接它来进入内部网络。
站点到站点的VPN连接。两个VPN服务器之间建立站点到站点的VPN连接,将专用网络的两个部分安全地连接起来。
可以为每个VPN客户端网络创建两个不同的策略:
被隔离的VPN客户端网络。将访问控制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。
VPN客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。VPN客户端网络将拥有与外部网络 的NAT关系。系统将配置一个定义VPN网络与外部网络之间的NAT 关系的网络规则。
4、更方便的管理
(1)全新的管理界面
(2)策略模板支持
ISA 2004提供了5个预定义的网络模板:边缘防火墙、3向外围网络(含DMZ)、前端防火墙、背部防火墙、单网络适配器。
(3)配置的导出与导入
(4)其它管理增强
a、仪表板 b、实时的日志监控 c、强大的报告功能
5、全面的协议支持
6、让网络更安全
(1)基于每个策略的HTTP过滤
(2)阻止到所有可执行文件的访问
(3)扩展名决定是否可以下载
(4)“HTTP签名”控制HTTP访问
(5)FTP只读策略
二、安装ISA Server 2004
三、配置允许所有内部用户访问Internet的所有服务的访问规则
在ISA Server 2004中,防火墙策略是由网络规则、访问规则和服务器规则三者的结合。
1、网络规则
网络连接的方式有:
路由:当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时,可以使用路由网络规则。
网络地址转换(NAT):当指定这种类型的连接时,ISA服务器将用它自己的IP地址替换网络中的客户端的IP地址。当定义内部网络与外部网络之间的关系时,可以使用NAT网络规则。
安装时,会创建以下默认规则:
a、本地主机访问:此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。
b、VPN客户端到内部网络:此规则指定在两个VPN客户端网络(“VPN客户端”和“被隔离的VPN客户端”)与内部网络之间存在路由关系。
c、Internet访问:此规则定义了在内部受保护的网络(如内部、VPN客户端等)与外部网络之间存在的NAT关系。
2、访问规则
(1)、防火墙系统策略
(2)、建立访问策略
四、使用边缘防火墙模板:五步建立访问策略
五、两步启用HTTP缓存
启用缓存有两个条件,首先是设置了缓存所用的驱动器,其次是设置缓存规则。
六、ISA Server 的系统和网络监控、报告
1、系统和网络监控
2、写报告
七、使用访问规则向导来禁止某些内部用户访问某些网站
八、禁止使用P2P软件--QQ
九、发布内部网络中的服务器
十、利用ISA Server 2004 ,四步建立你自己的VPN服务器