请求筛选模块被配置为拒绝该文件扩展名。_IT网络知识-Microsoft 防火墙ISA2004配置及安装,喜欢的请关注...

Microsoft Internet Security Acceleration

Microsoft Internet Security Acceleration

(ISA2004)的安装标准

ISA 防火墙需要一台装有两个网络适配器的计算机。需要将其中的一个适配器连接到内部网络。将另外一个适配器连接到您的 Internet 服务供应商 (ISP)。ISP 能帮助您建立该连接。防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息,来充当企业 Intranet 与 Internet 之间的安全屏障。

ISA可以安装在独立的计算机上、Windows NT 域成员计算机上或Windows 2003 Active Directory 域成员的计算机上。为实现最高的安全性,建议应在一台独立计算机上运行 ISA Server。

网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口。您的 ISP 应该提供静态 IP 地址、子网掩码、默认网关以及一台或多台 DNS 服务器。在连接到 ISP 的网卡的 TCP/IP 设置中,输入该信息。一些 ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息,这样也可以。

一、ISA安装的步骤:

1、确保服务器有两张或者两张以上网卡,并给网络命令,内部网卡命令为“LAN”,外部网卡“WAN”,有非军事防火区的命令为“DMZ”,如果有备用网卡的命令为“BACK”,这样是为了直观而以;

2、为了保证网卡顺序,将顺序设置为LAN、DMZ、WAN、BACK,设置方法“网上邻居”右键属性,高级----高级设置;

3、将准备好的ISA安装文件打开,点击运行“ISAAutorun.exe”,点击“安装ISA Server2004”;

4、欢迎安装向导,点击“下一步”;

5、许可协议,“我接受许可协议中的条款”,点击“下一步”;

6、客户信息,点击“下一步”;安装类型,点击“下一步”;

7、内部网络,点击“添加”,再点击“选择网卡”;将“添加下列专用范围。。。”钩去掉;将“LAN”网卡选择上,点击“确定”;内部网络地址范围(从-到)会有你的内网地址;点击“下一步”,防火墙客户连接设置,将“允许运行早期版本的防火墙客户软件的计算机连接”,服务,点击“下一步”,再点击“安装”,这个时候要耐心等待片刻,再点击“完成”,重新启动计算机;

8、将ISA补丁更新安装;

二、ISA配置管理

1、日志管理:日志文件格式统一为文件格式,存放在d:isa_log,日志保存天数:15天;操作方式:打开“ISA服务器管理器”----监视----“配置防火墙日志、配置Web代理日志、配置SMTP消息筛选器日志”----“选项”将日志文件保存在路径“d:isa_log”,“删除旧的文件。文件保留日期的日期(天)”;

2、防火墙策略管理:

611688511a20505389bcc1e96bd0c7c9.png
751773a6fa6e7b13fc82f2175d5f009a.png

2.1策略配置实例:

(1)在“防火墙策略”点击鼠标右键,选择“新建”,再选择“访问规则”;

(2)“访问规则名称”,这里拿“上班2小时”为例,输入“上班2小时”,点击“下一步”;

(3)规则操作,选择“允许”,点击“下一步”;

(4)协议,此规则应用到,选择“所选的协议”,点击“添加”,将“HTTP/HTTPS/FTP/SMTP/POP3”添加到协议内,点击“下一步”;

(5)访问规则源,点击“添加”,网络实体,点击“新建----计算机集”,输入定义的名称(上班2小时_办公室,同时可以将需求添加的计算机或者用户加入),点击“下一步”;

(6)访问目标规则源,点击“添加”,网络实体,选择添加“外部”,点击“下一步”;

(7)用户集我们没有绑定,点击“下一步”,再点击“完成”;

(8)在刚才新建的策略上点击右键“属性”,选择“计划”,点击“新建”;

(9)新建计划名称(上班2小时),“设置基于此计划的规则的激活时间”,通过鼠标选择为“非活动”,再通过鼠标上午一个小时选择,点击“活动的”,再点击“确定”;

(10)要保存更改并更新配置,点击“应用”;

3、下载限制,针对每条策略的级别进行相关文件下载限制,保证网络和病毒的控制;这个只有对开放HTTP协议才有,在策略上点击右键“配置HTTP”,选择“扩展名”,指定对文件扩展名的要求操作,可以通过“允许指定的扩展名、阻止指定的扩展名”将要拒绝的扩展名或者允许的扩展名写入,将“阻止含不明确的扩展名请求”选择上,点“确定”,再“应用”。

4、保证文件安全,控制大文件流失,FTP上传,除允许用户可以上传的相应的地方外,在允许访问FTP协议的,在策略上点击右键“配置FTP”,将“只读”钩上,上载将被阻止。

5、Site to Site IPSec VPN配置

(1)虚拟专用网络(VPN),远程站点,任务内“添加远程站点网络”,网络名统一定义为“PIXNet”,点击“下一步”;

(2)选择“IP安全协议(IPSec)隧道模式”,点击“下一步”;

(3)连接设置,远程VPN网关IP地址“这是怎么总部根据分公司运行商到总部链路状况“确定提供地址;本地VPN网关IP地址,选择“外部”,点击“下一步”;

(4)IPSec身份验证,用预共享密钥进行身份验证,总部提供的密钥为准,点击“下一步“;

(5)网络地址,地址范围,点击“添加“,目前的范围“192.168.0.0-192.168.3.2555、10.11.0.0-10.11.255.255”,点击“下一步”,再点击“完成”;

(6)“配置”内选择“网络”,右键“新建----网络规则”,网络规则名称统一定义为“ISANet”,点击“下一步”;

(7)网络通讯源,点击“添加”,选择“内部”,点击“下一步”;

(8)网络通讯目标,点击“添加”,选择“PIXNet”,点击“下一步”;

(9)网络关系,选择“路由”,点击“下一步”,再点击“完成”;

(10)防火墙策略,新建一条策略允许“内部、本地主机、PIXNet”到“内部、本地主机、PIXNet”,所有协议,24小时,配置FTP只读钩去掉;

(11)虚拟专用网络(VPN),在PIXNet上点击右键“属性”,选择“连接”,点击“IPSec配置”,阶段I,加密算法选择“DES”,完整性算法选择“SHA1”;阶段II,加密算法选择“DES”,完整性算法选择“SHA1”,生成新密钥的间隔设置为“100000”,点击“确定”,再“应用”更新配置。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值