ISA server 限制访问和开放内部资源及系统维护

 ISA server 限制访问和开放内部资源及系统维护

一、限制Internet访问

创建访问规则,在访问规则属性中，能限制上网时间和访问音频与视频

开放访问内部网络资源

在企业网络中建立ISA防火墙后，外网用户不能随便访问内部网络，包括其中的网络服务和资源。所以我们要发布指定的服务。

发布内部SSL网站

1.在Web站点中建立SEC虚拟目录，并启用SSL

2.配置对外DNS服务器

3.配置对内DNS服务器

4.发布DNS服务器，在ISA上发布外部DNS服务器（也可以在外部计算机的hosts文件中增加对应的主机记录） 

5.建立证书服务器（安装iis,安装证书服务）

6.在Web服务器上建立证书申请文件（在申请证书时，证书公用名称至关重要，它一定要和外网用户访问网站时所使用的域名完全匹配，如果不匹配，会出现错误提示信息。）

7.提交证书申请到证书服务器，登陆证书服务器，颁发并下载证书。

8.在Web服务器中安装证书（在IIS管理台网站属性，选择“目录安全性”挂起已申请的证书）

9.让Web服务器和ISA计算机信任CA（在WEB服务器上下载CA证书链 ，将证书链文件导入到Web服务器“受信任的根证书颁发机构” 再执行同样的步骤，使ISA计算机信任CA）

10.将网站证书导出存文件（导出私钥） 

11.将网站证书导入到ISA计算机（导出的网站证书复制ISA计算机，然后再导入。证书导入成功后，在ISA计算机上使用“http://www.qq.com”和“https://www.qq.com/sec”访问未加密页面和加密页面，确保访问成功。若不成功，请在ISA上建立ISA到内部的访问规则，并将ISA内网卡首选DNS服务器地址指向内部DNS.）

12.发布内部SSL网站

13.测试网站发布是否成功（在外网PC访问“http://www.qq.com”和“https://www.qq.com/sec”访问未加密页面和加密页面，）

 

二、发布内部Exchange SSL OWA网站

1.建立Exchange 2007邮件服务器（安装Exchange 2007，确保用户可以通过OWA方式访问邮件服务器）

2.配置DNS服务器（外网DNS，配置MX记录）

3.配置DNS服务器（内网DNS，配置MX记录）

4.发布DNS服务器（在ISA防火墙上发布外网DNS）

5.建立证书服务器（以administrator身份登录邮件服务器，安装并配置证书服务器（“企业CA”））

6.配置Web服务器证书并导出证书（IIS管理器，默认网站“属性”新建“服务器证书”后导出私钥，配置密钥保存密码）

7.将证书导入ISA服务器（将前面导出的证书复制到ISA计算机，将证书导入到ISA计算机）

8.配置ISA访问规则（协议为“HTTP,HTTPS”）

9.建立证书信任（需要在ISA服务器和Exchange服务器之间建立证书上的信任关系，通过CA证书链实现）

10.发布邮件服务器（创建“Exchange web客户端访问发布规则”）

11.验证邮件服务器发布（使用OWA客户端访问）

 

三、ISA系统维护

ISA Server的备份与恢复

ISA提供了备份与恢复特性，允许保存系统信息，以便在系统失败时能够恢复配置信息

可以备份的内容：

整个ISA服务器配置

所有网络，或选定的某个网络

所有网络规则，或选定的某个网络规则

缓存配置中的所有内容下载作业，或选定的一个或多个内容下载作业

整个防火墙策略，或选定的某个规则

…

（备份防火墙策略时，默认不能备份系统策略规则。要备份系统策略，可以通过“导出系统策略”任务来完成。）

何时做备份 

更改缓存大小或位置

更改防火墙策略

更改规则基础

更改系统规则

更改网络，例如更改网络定义或网络规则

委派管理权限或删除委派

（定期对网络中ISA Server的特定配置进行备份，如本地的应用程序过滤器、性能参数、缓存内容以及日志文件。这些信息ISA Server本身不能备份，但可以通过Windows操作系统的Backup程序来进行备份。）

 

执行ISA备份

（必须是企业管理员或企业审核员才能去备份企业配置。要备份机密信息，必须是企业管理员。由于备份的配置文件包含了敏感信息，所以需要保护该文件的安全。指定强密码，以确保对加密的信息进行适当的保护。如果密码可提供有效的防御功能以防止未授权的访问，则可将该密码视为强密码。）

 

利用备份恢复ISA配置 

恢复阵列配置时注意：

不能备份一个阵列的配置，随后将此配置恢复到另一个阵列或服务器上。

不能把企业配置备份恢复到阵列上。

如果要恢复阵列配置，而备份时使用的企业策略设置不同，则不能恢复阵列位置。

 

ISA Server日志管理

ISA提供了一系列监视工具，用于跟踪网络状态和ISA通讯 

ISA的监视功能包括：

警报

会话 

服务 

报告 

连接性 

日志

ISA日志是对ISA运行情况的记录

日志存储格式

MSDE 数据库

SQL 数据库

文件（ISA服务器日志采用，万维网协会（W3C）格式、ISA服务器格式，保存到文件中）

日志内容的设定

编辑筛选器：可以设定主要记录管理员关心的内容。

配置防火墙日志：设置在日志中记录哪些与防火墙有关的字段。

配置Web代理日志：配置日志中记录的Web代理的内容。

ISA Server警报

“警报”用于监视特定事件的发生。如果发生了预先设定的事件，系统会以管理员指定的方式通知管理员采取相应措施

创建和配置新警报 （可以根据监视事件的类别和严重程度创建和配置）

 

ISA Server报告

除了通过日志对安全事件进行追踪，还可以使用ISA报告对ISA事件进行跟踪

ISA报告可以显示的内容：

正在访问站点的用户和正在被访问的站点

目前最常用的协议和应用程序

常规通信模式

缓存比率

报告的工作方式

ISA报告机制将ISA的日志组合到每台ISA计算机的数据库中，当创建报告时，会将所有相关的摘要数据库合并成一个报告数据库。报告就是根据这些合并的摘要创建而成的

 

转载于:https://blog.51cto.com/xiaozhuang/913070