ISA2006标准版的常规安装和无人值守安装：ISA2006系列之一

ISA2006 标准版常规安装及无人值守

 

ISA2006 （ Internet Security and Acceleration ）是微软公司推出的一款重量级的网络安全产品，被公认为 X86 架构下最优秀的企业级路由软件防火墙。 ISA 凭借其灵活的多网络支持、易于使用且高度集成的 VPN 配置、可扩展的用户身份验证模型、深层次的 HTTP 过滤功能、经过改善的管理功能，在企业中有着 广泛的应用。从今天开始的一系列课 程中我们将陆续介绍 ISA 的管理和使用技巧，内容 重点是访问控制，服务器发布和 VPN 三部分。今天我们从 ISA2006 的部署开始介绍。

ISA2006 分为标准版和企业版，两种版本的结构和功能都 存在一定差异。标准版部署起来相对容易，适合中小企业使用，也适合 ISA 爱好者的入门学习；企业版由于引入了配置存储服务器，部署起来有一定难度，我们将它放在后期课程中介绍。

今天我们准备给大家分别介绍 ISA2006 标准版的常规安装和无人值守安装。拓扑如下图所示，服务器 Beijing 有两块网卡，内网网卡的 IP 地址为 10.1.1.254 ，外网网卡的 IP 地址为 192.168.11.254 。 Beijing 的操作系统为 Win2003SP1 ，准备安装 ISA2006 作为企业的边缘防火墙。

 

ISA2006 的安装要求如下：

带有 Service Pack 1 (SP1) 的 Microsoft Windows Server ™ 2003 或 Microsoft Windows Server 2003 R2 操作系统。

256 MB 内存。

150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。

至少两块网卡（如果只有一块网卡，只能安装成缓存服务器）。

一个采用 NTFS 文件系统格式的本地硬盘分区。

安装 ISA2006 的服务器上不能有进程占用 80 和 8080 端口。

 

一 ISA2006 标准版的常规安装

在 Beijing 上放入 ISA2006 的安装光盘，如下图所示，启动 ISA2006 的安装程序，点击“安装 ISA Server 2006 ”。

 

出现 ISA2006 的安装向导，选择“下一步”。

同意软件许可协议，选择下一步。

 

输入用户名，单位及序列号等参数后，来到安装类型界面，如下图所示，选择自定义安装。

 

选择 ISA2006 的安装组件，从下图可知，只有 ISA 服务器和 ISA 服务器管理两个组件。有 ISA2004 经验的管理员要注意， ISA2004 中的 ISA 客户端共享和消息筛选 两个组件已经不再被支持，消息筛选被 Forenfront 取代， ISA 客户端共享需要用手工共享的方法实现。

 

接下来设置内网的地址范围，点击“添加”按钮。顺便提一下，这个参数很重要，因为在 ISA 中网络是防火墙策略中最基本的一个考虑因素， 具体我们回头再说。

 

设置内网范围时，点击“添加适配器”，如下图所示，选择与内网相连的网卡，点击确定。这里建议大家最好把 ISA 上的网卡根据实际连接情况命名为内网，外网， 外围等，以方便后续使用。

 

根据我们提供的网卡， ISA 将内网的地址范围设置为 10.1.1.0-10.1.1.255 ，点击确定。

 

安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是 ISA2000 之前的防火墙客户端， ISA2000 之后的防火墙客户端支持数据加密，安全性更好，由于在实验环境中不需要使用早期防火墙客户端，因此我们不用勾选“允许不加密的防火墙客 户端连接”。

 

安装程序警告我们在安装过程中有些服务会重新启动，选择“下一步”。

 

完成了参数设置，终于开始安装了。

 

如下图所示，点击“完成”，结束了 ISA2006 的常规安装。

 

至此，我们完成了 ISA2006 的常规安装。安装过程并不复杂，相信大家都可以完成，难的地方在后面的管理部分，慢慢来吧。

 

二 ISA2006 标准版的无人值守安装

ISA2006 的无人值守安装原理是很简单的，常规安装时我 们通过交互方式输入安装参数，无人值守时只需事先将安装参数写到答案文件中，然后让 ISA 的安装程序从答案文件中获取参数就可以了。因此我们实现 ISA2006 的无人值守只需要注意两点：

1）   如何创建答案文件

2）   如何让安装程序调用答案文件

 

先解决第一个问题。 ISA2006 的安装光盘中有一个无人值守答案文件的示例，如下图所示，在 ISA2006 的安装光盘 /FPC/Unattended_Setup_Sample/Standard_Edition 目录下，有一个 msisaund.ini 文件，这就是示例文件。我们只要对示例文件进行简单修改，就可以满足我们无人值守安装的需求。

 

打开模板文件看看，如下图所示，文件中有各种参数的解释。如果觉得 E 文看起来很吃力，我们可以在 ISA2004 标准版的安装光盘中找到 /FPC/msisaund.ini ，这个文件是 ISA2004 无人值守安装的示例文件。

 

打开 ISA2004 的示例文件，内容和 ISA2006 基本相同，但帮助是中文的，呵呵，这回 E 文不好的兄弟可以好好参考一下了。

 

将光盘中的 msisaund.ini 复制到 C:/ ，然后对文件中的内容进行修改，我们就可以创建自己的 ISA2006 无人值守答案文件了。修改后的内容如下图所示，原文件中以分号开头的内容为注释，我们就不保留了。

 

对答案文件中的内容解释一下：

IDKEY= ×××××××××××× ……

这里应该填写 25 位长度的产品序列号

 

INTERNALNETRANGES=1 10.1.1.0-10.1.1.255

设置内网的地址范围， 1 代表只有一个地址范围， 10.1.1.0-10.1.1.255 是具体的范围内容

 

SUPPORT_EARLIER_CLIENTS=0

不允许早期的防火墙客户端连接

 

INSTALLDIR=C:/Program Files/Microsoft ISA Server

ISA2006 的安装目录为 C:/Program Files/Microsoft ISA Server

 

COMPANYNAME=ITET

公司名称为 ITET

 

ADDLOCAL=ALL

安装所有组件

 

其实 ISA2006 无人值守安装还有一个很实用的功能，可以导入防火墙策略的 XML 配置文件，这样 ISA 安装完毕后，配置也就完成了，非常方便。语法是：

IMPORT_CONFIG_FILE= 配置文件名

 

设置好答案文件后，我们就要考虑如何让 ISA 的安装程序调用这个答案文件了。我们在 Beijing 上输入 D:/FPC/setup.exe /v"/qb FULLPATHANSWERFILE=/"c:/msisaund.ini/"" ，如下图所示，这样安装 程序就会将 C:/MSISAUND.INI 作为 ISA2006 的无人值守答案文件了。

 

ISA2006 的安装开始启动了，如下图所示，整个安装过程 无需用户参与。

 

安装完毕后，打开 ISA2006 管理器，如下图所示，安装已经顺利完成。

 

至此，我们完成了 ISA2006 标准版的部署，在下次课程中，我们将介绍 ISA2006 的三种客户端。