熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

ISA Server基本安裝配置指南

2022-06-13   來源: Windows服務器 

  本指南介紹了在現有的基於 Windows 的網絡中擁有少於 台工作站的小型公司如何通過使用 Microsoft Internet Security Acceleration (ISA) 防火牆安全服務將計算機連接到 Internet
  
   配置網絡連接
  
  ISA 防火牆需要一台裝有兩個網絡適配器的計算機需要將其中的一個適配器連接到內部網絡將另外一個適配器連接到您的 Internet 服務供應商 (ISP)ISP 能幫助您建立該連接防火牆通過阻止 Internet 上的其他人訪問內部網絡或您的計算機上的機密信息來充當企業 Intranet 與 Internet 之間的安全屏障
  
  ISA可以安裝在獨立的計算機上Windows NT 域成員計算機上或Windows Active Directory 域成員的計算機上為實現最高的安全性應在一台獨立計算機上運行 ISA Server
  
  網絡適配器的配置涉及到設置連接 Internet 的外部接口和連接基於 Windows 的網絡的內部接口您的 ISP 應該提供靜態 IP 地址子網掩碼默認網關以及一台或多台 DNS 服務器在連接到 ISP 的網卡的 TCP/IP 設置中輸入該信息一些 ISP 願意使用動態主機配置協議(DHCP) 指定該信息這樣也可以
  
  配置服務器的網絡適配器
  
  右鍵單擊桌面上的網上鄰居然後單擊屬性
  
  右鍵單擊您的 Internet 連接單擊重命名然後鍵入 Internet 連接這將幫助您記住哪塊網卡連接到了 Internet
  
  右鍵單擊 Internet 連接然後單擊屬性
  
  在常規選項卡上單擊以選中連接後在任務欄中顯示圖標復選框在該接口傳輸數據時任務欄上的小圖標將閃爍
  
  清除 Microsoft 網絡客戶機和 Microsoft 網絡的文件和打印機共享復選框ISA Server 通過清除這些復選框自動阻擋這些協議從而使您可以節省內存
  
  雙擊 Internet 協議 (TCP/IP)然後執行以下步驟之一
  
  如果您的 ISP 使用 DHCP 分配 IP 地址則在 Internet 協議 (TCP/IP) 屬性對話框中單擊以選中自動獲得 IP 地址和自動獲得 DNS 服務器地址復選框
  
  如果需要手動輸入 ISP 的 IP 地址信息則在 Internet 協議 (TCP/IP) 屬性對話框中單擊以選中褂孟旅娴?IP 地址然後鍵入您的 ISP 提供的地址子網掩碼和默認網關信息單擊以選中使用下面的 DNS 服務器地址然後鍵入您的 ISP 提供的一個或多個 DNS 服務器的名稱
  
  單擊高級然後單擊 DNS 選項卡單擊以清除在 DNS 中注冊此連接的地址復選框
  
  注意您需要為內部適配器上的內部網絡鍵入永久的地址和相應的子網掩碼(不要在該接口上使用 DHCP)將默認網關留為空白ISA Server 計算機只需要一個默認網關在外部接口上配置它在內部適配器上配置默認網關會引起 ISA 故障
  
  配置連接到網絡的內部接口
  
  右鍵單擊網上鄰居然後單擊屬性右鍵單擊本地連接 (LAN)單擊重命名然後鍵入局域網
  
  右鍵單擊局域網然後單擊屬性
  
  在常規選項卡上單擊以選中連接後在任務欄中顯示圖標復選框
  
  如果未選中單擊以選中 Microsoft 網絡客戶機和 Microsoft 網絡的文件和打印機共享復選框
  
  雙擊 Internet 協議 (TCP/IP)然後單擊以選中使用下面的 IP 地址復選框
  
  在 IP 地址中輸入符合內部網絡地址編排方案的內部 IP 地址和子網掩碼將默認網關留為空白在首選 DNS 服務器中鍵入網絡的一台或多台 DNS 服務器的 IP 地址
  
  備注對於少於 台計算機的小型網絡如果使用 Windows 默認 TCP/IP 配置並且網絡中沒有 DNS 服務器則計算機依賴於自動專用 IP 地址分配 (APIPA)應該從 APIPA 遷移出來並開始在客戶機工作站上使用靜態地址網絡中的每台計算機需要一個唯一的 IP 地址如果配置了 ISA Server 的內部接口需要鍵入靜態地址所以使用地址 及子網掩碼 將默認網關框留為空白在 DNS 服務器字段中鍵入 ISP 的 DNS 服務器
  
  現在在每台客戶機上配置靜態地址
  
  在第一台計算機上使用地址 子網掩碼為 默認網關為 對於 DNS輸入 ISP 的一台(或多台) DNS 服務器
  
  在第二台計算機上使用地址 然後使用與上一步驟中使用的相同的值除地址外其他值都相同只是為每台額外的計算機遞增地址值維護一個指示哪些計算機使用哪些地址的列表
  
  得到提示時重新啟動計算機
  
   安裝 ISA Server Standard Edition
  
  如果您沒有安裝 Windows Service Pack (SP) 和從 Microsoft ISA Server Standard Edition 光盤獲得的修補程序應立即安裝
  
  ISA安裝程序提出一系列問題
  
  使用 ISA Server Setup Wizard(ISA Server 安裝向導)Welcome(歡迎)屏幕上單擊 Continue(繼續)在相應的框中鍵入產品的標識號您可以在光盤盒的背面找到該號碼
  
  請閱讀許可協議單擊 I Agree(同意)
  
  單擊 Typical installation(典型安裝)作為安裝類型這將安裝 ISA 服務和管理工具然後選擇安裝模式防火牆代理服務器集成模式ISA 停止計算機上的相關服務
  
  為 ISA 配置本地地址表 (LAT)配置 LAT 時需要仔細考慮為您提供兩種選擇構建 LAT 或者使用安裝程序向導根據以下條件作出選擇
  
  如果知道內部網絡使用的子網請在這裡輸入小心不要單擊 Construct Table(建立表)按鈕!如果單擊所輸入的 LAT 信息將會被覆蓋
  
  如果不知道本地子網請單擊Construct Table(建立表)按鈕ISA Setup Wizard(ISA 安裝向導)將根據計算機的路由表確定本地子網
  
  如果未選中請單擊以選中 Add the following private ranges(添加以下專用范圍)復選框
  
  如果未選中請單擊以選中 Add address ranges based on the Windows routing table(基於 Windows 路由表增加地址范圍)
  
  單擊以清除包含與服務器的外部 (Internet) 接口相對應的子網的復選框
  
  單擊以選中包含與服務器的內部 (LAN) 接口相對應的子網的復選框
  
  當安裝程序完成時啟動Administrator Getting Started(管理員入門向導)然後在完成該向導之前閱讀下一節
  
  配置ISA Server以允許客戶訪問Internet
  
  ISA Server 安裝後的狀態將阻擋對 Internet 的來往訪問這是一件好事!請記住您是在設置防火牆防火牆的主要功能是在兩個網絡之間充當檢查點ISA Server 的行為是通過策略阻擋任何沒有被明確允許的內容
  
  配置 ISA 安裝後的狀態
  
  必須對訪問策略的以下兩個組件進行配置以便客戶機能夠訪問 Internet
  
  必須至少配置一個站點和內容規則在其中指定用戶可訪問哪些站點以及可檢索哪些類型的內容
  
  必須至少配置一個協議規則以便指定哪些類型的通信允許通過 ISA Server
  
  安裝完成後ISA 創建一個默認站點和內容規則允許所有客戶機在所有時間訪問所有站點上的所有內容但是這對於要開始在 Internet 上沖浪的用戶來說是不夠的現在還沒有已定義的協議規則沒有它將不允許通過 ISA 的通信
  
  入門向導
  
  在Getting Started Wizard(入門向導)單擊 Configure Protocol Rules(配置協議規則)協議規則列表顯示在 Microsoft 管理控制台(MMC) 中
  
  單擊 Create a Protocol Rule(創建協議規則)鍵入名稱所有協議
  
  為規則的操作單擊 Allow(允許)(這是默認值)
  
  單擊 All IP traffic(所有 IP 通信)作為協議列表(這是默認值)
  
  單擊 Always(始終)(這是默認值)作為計劃
  
  單擊 Any request(任何請求)(這是默認值)作為客戶機類型
  
  單擊Finish(完成)
  
  創建用戶如何連接到 Internet 的策略
  
  ISA Server 的作用遠不止允許所有的客戶機使用所有(已定義的)協議在所有時間訪問所有站點上的所有內容在 ISA 中可以創建用於准確定義用戶如何訪問 Internet 的訪問策略
  
  ISA 訪問策略由以下三個元素組成
  
  站點和內容規則
  
  協議規則
  
  IP 數據包篩選器
  
  而這些規則又由以下策略元素組成
  
  計劃
  
  目標集合
  
  客戶機地址集合
  
  協議的定義
  
  內容組
  
  在試圖使用 ISA 策略定義復雜內容之前應了解一些依存關系下表描述哪些策略元素屬於哪些策略規則
  
  站點和內容規則 協議規則
  
  目標集合 協議的定義
  
  內容組 計劃
  
  計劃 客戶機地址集合
  
  客戶機地址集合
  
  從 ISA 計算機訪問 Internet
  
  從 ISA 計算機本身訪問 Internet 會怎樣?已創建的協議規則站點和內容規則僅應用於 ISA 服務器後面的客戶機當客戶機希望訪問 Internet 時只要規則允許該請求ISA 就為該連接請求創建一個動態數據包篩選器但是如果想在 ISA 計算機上訪問 Internet則必須按照將產生的通信的種類創建靜態數據包篩選器例如若要訪問一個 Web 站點
From:http://tw.wingwit.com/Article/os/fwq/201311/29805.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.