ISA
安装使用说明<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(一) ISA安装
1. 硬件要求
处理器
|
具有 733 MHz Pentium III 或更高处理器的 PC。
| ||||||||||
操作系统
|
带有 Service Pack 1 (SP1) 的 Microsoft Windows Server 2003 32-位操作系统或 Microsoft Windows Server 2003 R2 32 位。
| ||||||||||
内存
|
推荐使用 512 MB 或更高的内存。
| ||||||||||
硬盘
|
具有 150 MB可用硬盘空间的 NTFS 格式本地分区;Web 缓存内容将需要更多的空间。
| ||||||||||
其他设备
|
|
注意:当ISA只配置一张网卡时,仅可作缓存服务器。
2. ISA2006 企业版组件
1)
ISA
服务器服务
提供防火墙、虚拟专用网络 (×××) 和 ISA 服务器缓存功能。运行ISA服务器服务需要连接到配置存储服务器。
2)
配置存储服务器
配置存储服务器存储企业中所有阵列的配置信息。阵列内ISA服务器通过ADAM访问、下载、更新配置存储服务器中的该阵列ISA配置。安装配置存储服务器时,需要从系统安装盘内读取安装ADAM。
3)
阵列
运行物理连接并共享相同配置的ISA服务器
3. ISA2006 企业版安装过程
1)
插入ISA2006企业版安装光盘,打开安装文件,选择安装ISA2006,如图。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
2)
一路下一步,然后输入ISA2006企业版的产品序列号,然后选择下一步。
3)
这时我们需要选择需要安装的ISA组件。由于ISA服务必须指定一个配置存储服务器,我们没有,所以选择同时安装ISA服务和配置存储服务器,然后下一步。
4)
到了这里我们可以选择,ISA的功能及安装路径。这里我们选择安装全部,路径默认。如图:
5)
接下来,我们需要选择是新建一个企业,还是通过配置存储服务器复制企业。若复制一个企业则需要连接配置存储服务器。这里我们选择新建新的企业。
6)
此时,由于当前系统环境是域环境,我们创建配置存储服务器需要有域管理员权限,这时需要输入域管理员账号密码。
7)
之后,我们需要指定一个内网范围,我们通过指定适配器方式进行指定。这样ISA将使用该适配器的IP和掩码来确定范围。(建议将本地连接重新命名为内网,方便识别)如图:
8)
继续下一步,这时提示是否允许不加密的连接,这是为了兼容早期的防火墙客户端,这里选择否(不打勾)。
9)
完成安装配置后,接下来进入安装,在安装过程中将暂停IIS、snmp、NNTP、ftp服务。
10)
最后点击完成,ISA安装完成,此时默认禁止一切通讯。
(二) ISA部署
1. ISA网络策略执行过程
1) 网络策略分类
A.
网络规则
当数据包经过ISA时,ISA首先检查自己的网络规则是否匹配。网络规则包括路由和NAT两种。路由为双向的,而NAT为单向从内到外。
B.
系统规则
系统规则,应用于本地主机,控制其他网络到本地主机或本地主机到其他网络的通讯。其优先级高于防火墙策略。应用规则的顺序为自上而下。
C.
防火墙策略
防火墙策略控制从源到目标网络之间的通讯。应用规则的顺序为自上而下。
2) ISA策略执行顺序
一 、检查是否符合网络规则
二 、检查是否符合系统策略
三 、检查是否符合防火墙策略
3) ISA防火墙策略元素
A.
协议
协议元素限制了用户问外网时所使用的网络协议。
B.
用户
用户元素定义了访问网络的对象。
C.
计划
计划元素可以用来表示时间范围。
D.
内容类型
内容类型元素负责将访问互联网的数据划分为音频,视频,文本,HTML文档等类型,利用内容类型我们可以更精细地控制用户对网络内容的访问
E.
网络对象
网络对象中包括了很多策略元素,例如计算机,计算机集,域名集,URL集等,用于定义数据包通讯源及通讯目标。
2. ISA部署过程
1)
新建一条防火墙策略禁止内网访问电影服务器
A.
右键单击防火墙策略,选择新建----访问规则
B.
提示输入该访问规则名称,这里我们命名为“禁止访问电影服务器”,如图:
C.
然后,我们需要选择当符合规则时,ISA采取的操作。允许则让数据包通过,拒绝则丢弃数据包。这里我们是当符合访问目标为电影服务器时,禁止数据包通过,所以我们这里选择拒绝。
D.
接下来选择ISA控制的通讯协议,这里我们选择所有出站通讯协议,这样无论什么协议的数据包都无法通过ISA到达通讯目标。当然,我们也可以在下拉栏中选择所选协议,再单击添加特定协议,以实现对特定协议的控制。
E.
然后,我们选择数据包通讯源,这里选择内网,即内网适配器所在的网络。
F.
接下来,我们需要选择通讯目标,这里我们的通讯目标为电影服务器(202.192.72.65)。
单击添加,选择新建—计算机,输入该通讯目标的名称(这里输入“电影服务器”),然后输入通讯目标的IP(202.192.72.65),然后在计算机中选择新建的“电影服务器”。
G.
下一步后,我们需要选择需要控制的用户,这里默认选择所有用户,当然你也可以针对特定用户,进行限制。
H.
然后选择应用,我们完成了一条禁止策略。
I.
接下来,我们还需要新建一条允许策略为其他上网行为提供允许,因为ISA最后隐含了一条拒绝所有行为访问的策略。具体过程如上所述。
转载于:https://blog.51cto.com/wolfbeing/131261