本指南介紹了在現有的基於 Windows 的網絡中擁有少於
台工作站的小型公司如何通過使用 Microsoft Internet Security Acceleration (ISA) 防火牆安全服務
將計算機連接到 Internet
配置網絡連接 ISA 防火牆需要一台裝有兩個網絡適配器的計算機
需要將其中的一個適配器連接到內部網絡
將另外一個適配器連接到您的 Internet 服務供應商 (ISP)
ISP 能幫助您建立該連接
防火牆通過阻止 Internet 上的其他人訪問內部網絡或您的計算機上的機密信息
來充當企業 Intranet 與 Internet 之間的安全屏障
ISA可以安裝在獨立的計算機上
Windows NT 域成員計算機上或Windows
Active Directory 域成員的計算機上
為實現最高的安全性
應在一台獨立計算機上運行 ISA Server
網絡適配器的配置涉及到設置連接 Internet 的外部接口和連接基於 Windows 的網絡的內部接口
您的 ISP 應該提供靜態 IP 地址
子網掩碼
默認網關以及一台或多台 DNS 服務器
在連接到 ISP 的網卡的 TCP/IP 設置中
輸入該信息
一些 ISP 願意使用
動態主機配置協議
(DHCP) 指定該信息
這樣也可以
配置服務器的網絡適配器
右鍵單擊桌面上的網上鄰居
然後單擊屬性
右鍵單擊您的 Internet 連接
單擊重命名
然後鍵入 Internet 連接
這將幫助您記住哪塊網卡連接到了 Internet
右鍵單擊 Internet 連接
然後單擊屬性
在常規選項卡上
單擊以選中連接後在任務欄中顯示圖標復選框
在該接口傳輸數據時
任務欄上的小圖標將閃爍
清除 Microsoft 網絡客戶機和 Microsoft 網絡的文件和打印機共享復選框
ISA Server 通過清除這些復選框自動阻擋這些協議
從而使您可以節省內存
雙擊 Internet 協議 (TCP/IP)
然後執行以下步驟之一
如果您的 ISP 使用 DHCP 分配 IP 地址
則在 Internet 協議 (TCP/IP) 屬性對話框中
單擊以選中自動獲得 IP 地址和自動獲得 DNS 服務器地址復選框
如果需要手動輸入 ISP 的 IP 地址信息
則在 Internet 協議 (TCP/IP) 屬性對話框中
單擊以選中褂孟旅娴?IP 地址
然後鍵入您的 ISP 提供的地址
子網掩碼和默認網關信息
單擊以選中使用下面的 DNS 服務器地址
然後鍵入您的 ISP 提供的一個或多個 DNS 服務器的名稱
單擊高級
然後單擊 DNS 選項卡
單擊以清除在 DNS 中注冊此連接的地址復選框
注意
您需要為內部適配器上的內部網絡鍵入永久的地址和相應的子網掩碼(不要在該接口上使用 DHCP)
將默認網關留為空白
ISA Server 計算機只需要一個默認網關
在外部接口上配置它
在內部適配器上配置默認網關會引起 ISA 故障
配置連接到網絡的內部接口
右鍵單擊網上鄰居
然後單擊屬性
右鍵單擊本地連接 (LAN)
單擊重命名
然後鍵入局域網
右鍵單擊局域網
然後單擊屬性
在常規選項卡上
單擊以選中連接後在任務欄中顯示圖標復選框
如果未選中
單擊以選中 Microsoft 網絡客戶機和 Microsoft 網絡的文件和打印機共享復選框
雙擊 Internet 協議 (TCP/IP)
然後單擊以選中使用下面的 IP 地址復選框
在 IP 地址中
輸入符合內部網絡地址編排方案的內部 IP 地址和子網掩碼
將默認網關留為空白
在首選 DNS 服務器中
鍵入網絡的一台或多台 DNS 服務器的 IP 地址
備注
對於少於
台計算機的小型網絡
如果使用 Windows
默認 TCP/IP 配置
並且網絡中沒有 DNS 服務器
則計算機依賴於自動專用 IP 地址分配 (APIPA)
應該從 APIPA 遷移出來
並開始在客戶機工作站上使用靜態地址
網絡中的每台計算機需要一個唯一的 IP 地址
如果配置了 ISA Server 的內部接口
需要鍵入靜態地址
所以使用地址
及子網掩碼
將默認網關框留為空白
在 DNS 服務器字段中鍵入 ISP 的 DNS 服務器
現在
在每台客戶機上配置靜態地址
在第一台計算機上
使用地址
子網掩碼為
默認網關為
對於 DNS
輸入 ISP 的一台(或多台) DNS 服務器
在第二台計算機上
使用地址
然後使用與上一步驟中使用的相同的值
除地址外
其他值都相同
只是為每台額外的計算機遞增地址值
維護一個指示哪些計算機使用哪些地址的列表
得到提示時
重新啟動計算機
安裝 ISA Server Standard Edition 如果您沒有安裝 Windows
Service Pack
(SP
) 和從 Microsoft ISA Server
Standard Edition 光盤獲得的修補程序
應立即安裝
ISA安裝程序提出一系列問題
使用 ISA Server Setup Wizard(ISA Server 安裝向導)
在
Welcome(歡迎)
屏幕上
單擊 Continue(繼續)
在相應的框中鍵入產品的標識號
您可以在光盤盒的背面找到該號碼
請閱讀許可協議
單擊 I Agree(同意)
單擊 Typical installation(典型安裝)作為安裝類型
這將安裝 ISA 服務和管理工具
然後選擇安裝模式
防火牆
代理服務器
集成模式
ISA 停止計算機上的相關服務
為 ISA 配置本地地址表 (LAT)
配置 LAT 時需要仔細考慮
為您提供兩種選擇
構建 LAT 或者使用安裝程序向導
根據以下條件作出選擇
如果知道內部網絡使用的子網
請在這裡輸入
小心
不要單擊 Construct Table(建立表)按鈕!如果單擊
所輸入的 LAT 信息將會被覆蓋
如果不知道本地子網
請單擊Construct Table(建立表)按鈕
ISA Setup Wizard(ISA 安裝向導)
將根據計算機的路由表確定本地子網
如果未選中
請單擊以選中 Add the following private ranges(添加以下專用范圍)復選框
如果未選中
請單擊以選中 Add address ranges based on the Windows
routing table(基於 Windows
路由表增加地址范圍)
單擊以清除包含與服務器的外部 (Internet) 接口相對應的子網的復選框
單擊以選中包含與服務器的內部 (LAN) 接口相對應的子網的復選框
當安裝程序完成時
啟動
Administrator Getting Started(管理員入門向導)
然後在完成該向導之前閱讀下一節
配置ISA Server以允許客戶訪問Internet ISA Server 安裝後的狀態將阻擋對 Internet 的來往訪問
這是一件好事!請記住
您是在設置防火牆
防火牆的主要功能是在兩個網絡之間充當檢查點
ISA Server 的行為是通過策略阻擋任何沒有被明確允許的內容
配置 ISA 安裝後的狀態
必須對訪問策略的以下兩個組件進行配置
以便客戶機能夠訪問 Internet
必須至少配置一個站點和內容規則
在其中指定用戶可訪問哪些站點以及可檢索哪些類型的內容
必須至少配置一個協議規則
以便指定哪些類型的通信允許通過 ISA Server
安裝完成後
ISA 創建一個默認站點和內容規則
允許所有客戶機在所有時間訪問所有站點上的所有內容
但是這對於要開始在 Internet 上沖浪的用戶來說是不夠的
現在還沒有已定義的協議規則
沒有它
將不允許通過 ISA 的通信
入門向導
在
Getting Started Wizard(入門向導)
中
單擊 Configure Protocol Rules(配置協議規則)
協議規則列表顯示在 Microsoft 管理控制台(MMC) 中
單擊 Create a Protocol Rule(創建協議規則)
鍵入名稱
如
所有協議
為規則的操作單擊 Allow(允許)(這是默認值)
單擊 All IP traffic(所有 IP 通信)作為協議列表(這是默認值)
單擊 Always(始終)(這是默認值)作為計劃
單擊 Any request(任何請求)(這是默認值)作為客戶機類型
單擊Finish(完成)
創建用戶如何連接到 Internet 的策略
ISA Server 的作用遠不止允許所有的客戶機使用所有(已定義的)協議
在所有時間訪問所有站點上的所有內容
在 ISA 中
可以創建用於准確定義用戶如何訪問 Internet 的訪問策略
ISA 訪問策略由以下三個元素組成
站點和內容規則
協議規則
IP 數據包篩選器
而這些規則又由以下策略元素組成
計劃
目標集合
客戶機地址集合
協議的定義
內容組
在試圖使用 ISA 策略定義復雜內容之前
應了解一些依存關系
下表描述哪些策略元素屬於哪些策略規則
站點和內容規則 協議規則
目標集合 協議的定義
內容組 計劃
計劃 客戶機地址集合
客戶機地址集合
從 ISA 計算機訪問 Internet
從 ISA 計算機本身訪問 Internet 會怎樣?已創建的協議規則
站點和內容規則僅應用於 ISA 服務器後面的客戶機
當客戶機希望訪問 Internet 時
只要規則允許該請求
ISA 就為該連接請求創建一個動態數據包篩選器
但是
如果想在 ISA 計算機上訪問 Internet
則必須按照將產生的通信的種類創建靜態數據包篩選器
例如
若要訪問一個 Web 站點
From:http://tw.wingwit.com/Article/os/fwq/201311/29805.html