ISA Server 2004完全上手指南

一、系统及网络需求

要使用 ISA 服务器，您需要：

• CPU：至少550MHz，最多支持四个CPU；
• 内存：至少256MB；
• 硬盘空间：150MB，不含缓存使用的磁盘空间；
• 操作系统：Windows Server™2003 或 Windows®2000 Server 操作系统。但是如果在运行 Windows2000 Server的计算机上安装 ISA Server 2004服务器，那么必须达到以下要求：

Ø必须安装 Windows2000 Service Pack4 或更高版本；

Ø必须安装 Internet Explorer6 或更高版本；

Ø如果您使用的是 Windows2000 SP4 整合安装，还要求打KB821887补丁（关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在http://go.microsoft.com/fwlink/?LinkId=23371下载）；

• 网络适配器：必须为连接到 ISA Server 2004服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用。
• DNS服务器：ISA Server 2004服务器不具备转发DNS请求的功能，必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器，或者使用外网（Internet）的DNS服务器。
• 网络：在安装ISA Server 2004服务器以前，应保证内部网络正常工作，这样可以避免一些未知的问题。

二、安装ISA Server 2004

下图是我们的实验网络拓朴结构：

在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器，所有客户端以ISA Server机的内部接口（10.0.1.1）作为它的网关和DNS服务器。

我们安装的版本是ISA Server 2004中文标准版（Build 4.0.2161.50）。运行ISA Server 2004安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如下图：

点击“安装 ISA Server 2004”，出现安装界面：

点击“下一步”，在“许可协议”页，选择“我接受许可协议中的条款”，点击“下一步”。

在客户信息页，输入个人信息和产品序列号，点击“下一步”继续。

在安装类型页，如果你想改变ISA Server的默认安装选项，可以点击“自定义”，然后点击"下一步"：

在“自定义”页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。

点击“下一步”继续：

在内部网络页，点击“添加”按钮。内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中，内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。

在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：

在“选择网卡”对话框中，移去“添加下列专用范围...”选项，保留“基于Windows路由表添加地址范围选项。选上连接内部网络的适配器，点击OK。在弹出的提示对话框中点击OK。

在内部网络地址对话框中点击OK：

在内部网络页点击“下一步”：

在防火墙客户端连接设置页上，如果你的客户机上使用了ISA Server 2000的防火墙客户端，则可以勾选“允许运行早期版本的...”，点击“下一步”：

在服务页，点击“下一步”：

在可以安装程序了页点击安装：

在安装向导完成页，选择“在向导关闭时运行ISA服务器管理”，然后点击“完成”。此时，会出现Microsoft Internet Security and Acceleration Server 2004 控制台。

三、配置ISA Server 2004服务器

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间如何访问，而访问规则则定义了用户（内、外网）的访问，服务器发布规则则定义了如何让用户访问服务器。

1、网络规则

网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接，以及定义如何进行连接。网络连接的方式有：

• 网络地址转换 (NAT)：当指定这种类型的连接时，ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。当定义内部网络与外部网络之间的关系时，可以使用 NAT 网络规则。
• 路由：当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时，可以使用路由网络规则。

路由网络关系是双向的。如果定义了从网络A 到网络B 的路由关系，那么从网络B 到网络A 也存在着路由关系。相反，NAT 关系则是唯一的和单向的。如果定义了从网络A 到网络B 的 NAT 关系，则不能定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。

安装时，会创建下列默认规则：

• 本地主机访问。此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。
• VPN 客户端到内部网络。此规则指定在两个 VPN 客户端网络（“VPN 客户端”和“被隔离的 VPN 客户端”）与内部网络之间存在着路由关系。
• Internet 访问。此规则定义了在内部网络与外部网络之间存在的 NAT 关系。

2、访问规则

（1）防火墙系统策略

在安装 ISA Server 2004服务器时，会创建默认的系统策略。系统策略允许 ISA Server 2004服务器访问它连接到的网络的特定服务。在防火墙策略上点击右键，指向“查看”，然后点击“显示系统策略规则”，

或者点击图标栏上最右边的快捷图标：

右边出现了系统策略，如下图所示，标注的地方表明，ISA Sevrer 2004服务器可以像任何网络发起DNS请求。

注意：所有系统策略类别都是在安装 ISA 服务器时默认启用的，我们建议你根据自己的需求来禁用不需要的系统策略类别。
2）访问策略

现在我们需要建立一条访问策略以允许内部网络客户访问外部网络（Internet），同时，因为内部网络客户需要访问ISA Server 2004服务器上的DNS服务器以解析域名，我们也需要建立一条策略以允许内部网络客户访问ISA Server 2004服务器的DNS服务。

新建一条允许内部客户访问外部网络的所有服务的访问规则：

在防火墙策略上点击右键，指向“新建”，然后点击“访问规则”。

在“新建访问规则向导”的访问规则名称文本框中，输入“Allow all outbound traffic”，然后点击“下一步”。然后在“规则操作”页，选择“允许”，点击“下一步”；

在协议页，选择“所有出站通讯”，点击“下一步”；

在访问规则源页，点击“添加”，在“添加网络实体”对话框，双击“内部”，然后点击“关闭”，点击"下一步"；

在访问规则目标页，点击“添加”，在“添加网络实体”对话框，双击“外部”，然后点击“关闭”，点击"下一步"；

在用户集页，接受默认的所有用户，点击"下一步"；

在新建访问规则向导页，回顾你选择的设置，然后点击“完成”；

新建一条允许内部客户访问ISA Server 2004服务器上的DNS服务的访问规则

主要步骤和上面一条一样，不同的地方：

规则名：Allow internal acces firewall's dns service

协议页选择“所选的协议”，然后点击“添加”选择通用协议下的“DNS”。

访问规则目的为“本地主机”：

此时，ISA Server 2004的管理控制台应该如下图所示，点击“应用”以保存修改和更新防火墙策略。

在应用新配置对话框，点击“确定”。

此时，ISA Server 2004服务器的初步配置已经完成，内部客户可以访问外部网络的所有服务，也可以访问ISA Server 2004服务器上的DNS服务。注意：只能访问ISA Server 2004服务器上的DNS服务，其他的服务都会被禁止（如ping等），因为你没有在策略中明确允许这一点。

启用缓存

启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。

（1）设置缓存所用的驱动器

在ISA Server 2004管理控制台的“缓存”上点击右键，选择“定义缓存驱动器”。注意，此时的缓存上有个向下的红色箭头，表明没有启用缓存。

在定义缓存驱动器对话框中，根据你自己的网络带宽及流量进行设置，不过需要注意的是，缓存驱动器必须采用NTFS分区格式。

（2）设置缓存规则

此时“缓存”上已经没有向下的箭头了，表明已经设置了缓存驱动器。在“缓存”上点击右键，指向“新建”，点击“缓存规则”。

在“新缓存规则向导”页，输入名称“Cache external content”，然后点击“下一步”。在缓存规则目标页，点击添加，选择“外部”，点击“下一步”；

在内容检索页，接受默认的“只有在缓存中存在对象的...”，点击“下一步”；

在缓存内容页，接受默认的“如果源和请求头指明要缓存”，你可以根据你的需要勾选下面的选项，点击“下一步”；

在缓存高级配置页，根据你自己的需要进行设置，点击“下一步”；

在HTTP缓存页，接受默认的选项，点击“下一步”；

在FTP缓存页，取消“启用FTP缓存”的勾选（你可以根据你的需求进行设置），点击“下一步”；

在新缓存规则向导页，回顾你的设置，然后点击“完成”。

点击“应用”以保存修改和更姓防火墙策略，ISA Server 2004会弹出一个警告提示你，选择“保存更改，并重启动服务”，然后点击“确定”。

成功后你会在缓存规则栏里面看见新的缓存规则。

取消FTP的只读

最后谈一点，ISA Server 2004默认是不允许FTP上传的（即不能写FTP服务器）。取消的办法是：在允许访问FTP服务器的规则上（在这儿是Allow all outbound traffic）上点击右键，然后选择“配置FTP”，

在配置FTP协议策略对话框中，取消“只读”的勾选，点击确定，最后点击“应用”以保存修改和更新防火墙策略。