ISA Server 2006
安装之完全手册<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(一)ISA Server计算机网络适配器的TCP/IP设置
在你安装
ISA
防火墙之前,你需要正确的配置这台服务器计算机的网络属性,这对
ISA
防火墙的运行至关重要。因为
ISA
防火墙的防火墙服务和系统的
TCP/IP
驱动工作在相同的层次,错误的配置将可能导致你的
ISA
防火墙不能正常运行。
在这篇文章中我将通过一个简单的
ISA
防火墙计算机的配置进行介绍并对每一步骤加以说明,我假设了一个这样的网络环境:
•
你拥有一台
ISA
防火墙,它具有两个网络适配器,一个连接到你的内部网络,并且另外一个连接到
Internet
。从安
全上考虑,我们现在将连接到
Internet
的网络适配器
从物理上断开,直到配置完成后才连接到
Internet
;
•
你可以访问内部或外部的
DNS
服务器解析
Internet
域名,你的内部网络中的客户通过内部网络中的
DNS
服务器来解析
Internet
名字;
•
你已经了解网络适配器所需要的
TCP/IP
配置;
•
你对
Windows 2000
网络具有基本的了解;
•
防火墙的网络适配器通常改名为“
North
”和“
South
”,分别代表
Internet
和内部网络,在此我也按照这种方式进行命名。
配置网络适配器顺序
首先我们需要确认网络适配器按照正确的顺序进行绑定,由于名字解析依赖于此设置,所以我们需要确认它是绝对正确的。
1.
右击网上邻居,然后选择属性,在弹出的网络和拨号连接窗口中,你可以看到
ISA
防火墙上的网络适配器,其中
North
代表
Internet
,
South
代表内部网络;
![](https://s1.51cto.com/attachment/200810/200810131223906069262.jpg)
2. 点击菜单栏的高级,再点击高级设置,弹出的对话框如下图所示。首先我们需要确认South网络适配器在面板的最上面,如果没有,选中它再点击右边的向上箭头,文件和打印机共享和Microsoft网络客户这两个服务都应该绑定到South网络适配器上。
![](https://s1.51cto.com/attachment/200810/200810131223906127620.jpg)
对
North
网络适配器强化安全
1、接下来我们需要检查服务器计算机上的服务没有对外部的非法访问者开放,
选择
North
网络适配器,然后取消绑定这些相同的服务(文件和打印机共享和
Microsoft
网络客户),配置如下图所示。我们并不需要让外部网络中的客户访问这些服务,并且我们应该在安装
ISA
防火墙之前将这台服务器配置为比较安全的状态。
![](https://s1.51cto.com/attachment/200810/200810131223906175709.jpg)
2.
点击确定关闭对话框。
配置
North
网络适配器的
TCP/IP
设置
现在我们来分别配置每个网络适配器,首先是配置连接到Internet
适配器North,
1.
右击North网络适配器,然后选择属性,确认取消绑定了文件和打印机共享和Microsoft网络客户。
![](https://s1.51cto.com/attachment/200810/200810131223906274144.jpg)
2. 双击Internet协议(TCP/IP), 然后选择使用下面的IP地址,然后输入正确的IP地址,将DNS服务器留空。相信我,当我们配置完成时,这一切工作是正常的。
![](https://s1.51cto.com/attachment/200810/200810131223906316986.jpg)
3. 点击高级按钮,如果你具有其他的IP地址,你可以在此输入。在你继续进行配置之前,确认你的配置是正确的。
![](https://s1.51cto.com/attachment/200810/200810131223906360573.jpg)
4. 点击DNS标签,我们在这个地方需要做的唯一一件事情是取消选择在DNS中注册此连接的地址。这将禁止DHCP客户端服务尝试为这个网络适配器在DNS服务器更新自己的记录。
![](https://s1.51cto.com/attachment/200810/200810131223906387796.jpg)
5. 点击WINS标签,取消选择启用LMHOSTS查询和选择禁用NetBIOS over TCP/IP,这样就关闭了外部网络适配器上的最后一个安全漏洞;
![](https://s1.51cto.com/attachment/200810/200810131223906417827.jpg)
6. 依次点击确定关闭所有North网络适配器的对话框。
配置South网络适配器的TCP/IP设置
现在我们来配置连接到内部网络的网络适配器South,我们将允许它拥有更多的服务,当然也就拥有更多的安全弱点。
1. 右击South网络适配器,然后选择属性。在弹出的South属性对话框中,不需要修改绑定的协议。
![](https://s1.51cto.com/attachment/200810/200810131223906469746.jpg)
2. 双击Internet协议(TCP/IP) ,然后为你的内部网络输入正确的IP地址。对于内部网络,你应该选择IANA在RFC-1918中定义的私有IP地址,这些私有IP地址不能在Internet上进行路由。如果你在内部网络中使用Internet上可以路由的IP地址,会带来很多问题。在此我使用最常用的192.168.0.0/24 IP地址段,配置好的IP地址如下图所示,注意,在这个网络适配器上没有配置默认网关。
![](https://s1.51cto.com/attachment/200810/200810131223906506632.jpg)
3.
输入为内部网络提供名字解析服务的
DNS
服务器的
IP
地址作为
DNS
服务器。如果你在内部网络中使用了域服务,那么域中的
DNS
服务器将是首选。
4.
留空默认网关设置,默认网关只能有一个。
5.
如果你在内部网络中具有多个子网,你必须为这些远程子网定义静态路由。最简单的办法是创建一个无类别的路由项,例如,如果你的这些网络都使用
192.168/24
定义,那么你可以执行以下命令:
Route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.1
这样就可以告诉
ISA
防火墙如何路由到达这些远程子网的数据包。
6.
点击
DNS
标签,如果你的内部
DNS
服务器支持动态更新(例如
AD
集成的
DNS
服务器),那么可以选择在
DNS
中注册此连接的地址。
![](https://s1.51cto.com/attachment/200810/200810131223906591558.jpg)
7. 点击WINS标签,你可以保留启用NetBIOS over TCP/IP。注意,启用LMHOSTS查询是一个全局设置,在一个网络适配器上禁止它将会影响所有的网络适配器。
8. 依次点击确定关闭所有South网络适配器的属性对话框。
9.
打开命令提示符窗口,然后运行“
ipconfig /all
”,下面列出了我们做的网络适配器的
TCP/IP
配置:
Ethernet adapter sounth:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapt
er (Generic) #2
Physical Address. . . . . . . . . : 00-03-FF-06-E6-A6
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.253
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.200
Ethernet adapter North:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapt
er (Generic)
Physical Address. . . . . . . . . : 00-03-FF-05-E6-A6
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 0.0.0.0
Subnet Mask . . . . . . . . . . . : 0.0.0.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Disabled
(二)安装 ISA Server 2006
以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,由于我们的ISA Server服务器已经加入了域,在ISA Server 服务器上内部网卡的DNS上面我们填写了内网的DNS服务器的IP。ISA Server的内部接口(192.168.0.200)。
都是以正确的安装为基础的,所以,我们会对安装ISA Server 2006进行着重的介绍。我们安装的版本是ISA Server 2006 中文标企业版。运行ISA Server 2006安装光盘根目录下的ISAAutorun.exe开始ISA Server 2006的安装,如下图:
![](https://s1.51cto.com/attachment/200810/200810131223906663885.jpg)
点击“安装 ISA Server 2004”,出现安装界面:
![](https://s1.51cto.com/attachment/200810/200810131223906682516.jpg)
点击“下一步”,在授权画面上选择“我接受许可协议中的条款”,然后点击“下一步”;
![](https://s1.51cto.com/attachment/200810/200810131223906703310.jpg)
在“客户信息”页,输入个人信息和产品序列号,点击“下一步”继续。
出现“安装方案”对话框,在该对话框中选择”安装方案”,在此选择”同时安装ISA Server服务和配置存储服务器”选项,单击“下一步”按钮;
![](https://s1.51cto.com/attachment/200810/200810131223906777065.jpg)
出现“组件选择”对话框,在此安装“ISA服务器”、“ISA服务器管理”和“配置存储服务器”组件,单击“下一步”按钮:
出现“企业安装选项”对话框,选择“创建新ISA服务器企业”选项,单击“下一步”按钮:
出现“新建企业警告”对话框,显示将此计算机配置为配置存储服务器,单击“下一步”按钮;
![](https://s1.51cto.com/attachment/200810/200810131223906930411.jpg)
出现“内部网络”对话框,在该对话框中指定内部网络单击“下一步”按钮;
![](https://s1.51cto.com/attachment/200810/200810131223906962549.jpg)
单击“添加”按钮,出现“地址”对话框;
![](https://s1.51cto.com/attachment/200810/200810131223906982323.jpg)
单击“添加适配器”按钮,出现“选择网络适配器”对话框,在该对话框中选择ISA Server的内部网卡“sounth”来确定公司内部网络IP地址范围;
![](https://s1.51cto.com/attachment/200810/200810131223907015365.jpg)
单击“确定”按钮,返回“地址”对话框,可以看到已经添加了地址范围。
![](https://s1.51cto.com/attachment/200810/200810131223907148881.jpg)
单击“确定”按钮,返回“内部网络”对话框;
![](https://s1.51cto.com/attachment/200810/200810131223907186349.jpg)
单击“下一步”按钮,出现“防火墙客户端连接”对话框,在该对话框中指定ISA是否将接受来自不支持加密的防火墙客户端的连接,在此选择“允许不加密的防火墙客户端连接”选项;
![](https://s1.51cto.com/attachment/200810/200810131223907209480.jpg)
单击“下一步”按钮,出现“服务警告”对话框,表示在安装ISA Server 2006过程中将要重启和禁用的服务;
![](https://s1.51cto.com/attachment/200810/200810131223907234602.jpg)
单击“下一步”按钮,出现“可以安装程序了”对话框;
![](https://s1.51cto.com/attachment/200810/200810131223907263255.jpg)
单击“安装”按钮,现在开始安装ISA Server 2006了;
![](https://s1.51cto.com/attachment/200810/200810131223907288584.jpg)
大约十几分钟以后,安装完毕,单击“完成”按钮即可结束整个安装过程;
![](https://s1.51cto.com/attachment/200810/200810131223907313601.jpg)
转载于:https://blog.51cto.com/zhouhaipeng/105445