ISA 安装使用说明<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

(一)     ISA安装

1.      硬件要求

处理器

具有 733 MHz Pentium III 或更高处理器的 PC

操作系统

带有 Service Pack 1 (SP1) Microsoft Windows Server 2003 32-位操作系统或 Microsoft Windows Server 2003 R2 32 位。

内存

推荐使用 512 MB 或更高的内存。

硬盘

具有 150 MB可用硬盘空间的 NTFS 格式本地分区;Web 缓存内容将需要更多的空间。

其他设备

可使用与计算机操作系统兼容的网络适配器,每增加一个与 ISA Server 计算机连接的网络,都需增加一个网络适配器、调制解调器、或 ISDN 适配器,以便同内部网络进行通信;

需要一块额外的网卡用于与 ISA Server 2006 企业版集成的网络适配器进行通信

CD-ROM DVD-ROM 驱动器

VGA 或更高分辨率的监控器

键盘和 Microsoft 鼠标或可兼容的定点设备

注意:当ISA只配置一张网卡时,仅可作缓存服务器。

 

2.      ISA2006 企业版组件

1)      ISA 服务器服务

提供防火墙、虚拟专用网络 (×××) ISA 服务器缓存功能。运行ISA服务器服务需要连接到配置存储服务器。

2)      配置存储服务器

配置存储服务器存储企业中所有阵列的配置信息。阵列内ISA服务器通过ADAM访问、下载、更新配置存储服务器中的该阵列ISA配置。安装配置存储服务器时,需要从系统安装盘内读取安装ADAM

3)      阵列

运行物理连接并共享相同配置的ISA服务器

 

3.      ISA2006 企业版安装过程

1)      插入ISA2006企业版安装光盘,打开安装文件,选择安装ISA2006,如图。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

2)      一路下一步,然后输入ISA2006企业版的产品序列号,然后选择下一步。

3)      这时我们需要选择需要安装的ISA组件。由于ISA服务必须指定一个配置存储服务器,我们没有,所以选择同时安装ISA服务和配置存储服务器,然后下一步。

4)      到了这里我们可以选择,ISA的功能及安装路径。这里我们选择安装全部,路径默认。如图:

5)   接下来,我们需要选择是新建一个企业,还是通过配置存储服务器复制企业。若复制一个企业则需要连接配置存储服务器。这里我们选择新建新的企业。

6)      此时,由于当前系统环境是域环境,我们创建配置存储服务器需要有域管理员权限,这时需要输入域管理员账号密码。

 

7)      之后,我们需要指定一个内网范围,我们通过指定适配器方式进行指定。这样ISA将使用该适配器的IP和掩码来确定范围。(建议将本地连接重新命名为内网,方便识别)如图:

 

8)      继续下一步,这时提示是否允许不加密的连接,这是为了兼容早期的防火墙客户端,这里选择否(不打勾)。

9)      完成安装配置后,接下来进入安装,在安装过程中将暂停IISsnmpNNTPftp服务。

10)   最后点击完成,ISA安装完成,此时默认禁止一切通讯。

 

 

(二)  ISA部署

1.   ISA网络策略执行过程

1)    网络策略分类

A.     网络规则

当数据包经过ISA时,ISA首先检查自己的网络规则是否匹配。网络规则包括路由和NAT两种。路由为双向的,而NAT为单向从内到外。

B.     系统规则

系统规则,应用于本地主机,控制其他网络到本地主机或本地主机到其他网络的通讯。其优先级高于防火墙策略。应用规则的顺序为自上而下。

C.     防火墙策略

防火墙策略控制从源到目标网络之间的通讯。应用规则的顺序为自上而下。

 

2)    ISA策略执行顺序

一 、检查是否符合网络规则

二 、检查是否符合系统策略

三 、检查是否符合防火墙策略

 

3)   ISA防火墙策略元素

A.     协议

协议元素限制了用户问外网时所使用的网络协议。

B.     用户

用户元素定义了访问网络的对象。

C.     计划

计划元素可以用来表示时间范围。

D.    内容类型

内容类型元素负责将访问互联网的数据划分为音频,视频,文本,HTML文档等类型,利用内容类型我们可以更精细地控制用户对网络内容的访问

E.     网络对象

网络对象中包括了很多策略元素,例如计算机,计算机集,域名集,URL集等,用于定义数据包通讯源及通讯目标。

 

 

2.   ISA部署过程

1)      新建一条防火墙策略禁止内网访问电影服务器

A.      右键单击防火墙策略,选择新建----访问规则

B.      提示输入该访问规则名称,这里我们命名为“禁止访问电影服务器”,如图:

 

C.      然后,我们需要选择当符合规则时,ISA采取的操作。允许则让数据包通过,拒绝则丢弃数据包。这里我们是当符合访问目标为电影服务器时,禁止数据包通过,所以我们这里选择拒绝。

D.      接下来选择ISA控制的通讯协议,这里我们选择所有出站通讯协议,这样无论什么协议的数据包都无法通过ISA到达通讯目标。当然,我们也可以在下拉栏中选择所选协议,再单击添加特定协议,以实现对特定协议的控制。

 

E.      然后,我们选择数据包通讯源,这里选择内网,即内网适配器所在的网络。

F.       接下来,我们需要选择通讯目标,这里我们的通讯目标为电影服务器(202.192.72.65)。

单击添加,选择新建计算机,输入该通讯目标的名称(这里输入“电影服务器”),然后输入通讯目标的IP202.192.72.65),然后在计算机中选择新建的“电影服务器”。

G.      下一步后,我们需要选择需要控制的用户,这里默认选择所有用户,当然你也可以针对特定用户,进行限制。

H.      然后选择应用,我们完成了一条禁止策略。

I.       接下来,我们还需要新建一条允许策略为其他上网行为提供允许,因为ISA最后隐含了一条拒绝所有行为访问的策略。具体过程如上所述。