首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > ISA 2004 Server快速安装指南 > 正文

ISA 2004 Server快速安装指南

出处:ISAServer.org 作者:Thomas 时间:2004-6-17 15:52:00

Microsoft

Internet Security and Acceleration Server 2004

Beta2

快 速 安 装 指 南

(译自Thomas Shinder ,Get Up and Running with ISA Server 2004 Beta 2 ,在“相关下载”栏目中有pdf版本的下载)

目 录

一、安装Windows net server 2003并且建立基本的网络结构

二、安装ISA Server 2004 beta2

三、查看防火墙系统策略

四、建立访问策略

1、建立允许所有流出数据的访问策略

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

五、建立一条阻止HTTP下载的HTTP策略

六、测试

七、后记

 

一、安装Windows net server 2003并且建立基本的网络结构

和ISA Server 2000一样,ISA Server 2004对硬件要求不是很高,在CPU Pentium III 500+ MHz、256M内存环境下都能运行,不过为了更好的性能,建议增加CPU速率和内存容量。

安装ISA Server 2004的机器应该有至少有两个网卡,一个为外部接口,一个为内部接口。但是和ISA Server 2000不一样,ISA Server 2004没有本地地址表(Local Address Table),所以你可以安装多个内部接口以支持多个内部网络,Firewall Access policy控制所有网络间的数据传输。

下图为一个测试网络,ISA Server作为一个边缘防火墙(Edge Firewall):

在安装ISA Server 以前,应该要保证内部网络正常的工作。由于ISA Server自身不具备DNS Forwarder功能(ISA Server只能容许DNS query包通过,但是不具有自动将DNS query数据包转发到ISP的DNS服务器的功能),所以在你内部网络的DNS设置中,要么建立一个内部的DNS服务器,要么把所有客户机的DNS全部设置为你ISP的DNS。在这篇文章中,在ISA Server机上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server机的内部接口作为它的网关和DNS服务器。

至于DHCP服务器,如果DHCP服务器位于ISA Server机,这个beta2版的有个BUG,无法正确的处理来自内部网络的DHCP request信息,只有Allow DHCP request from all network才能正常识别内部网络的DHCP request信息,但是这样造成了潜在风险,所以建议你不要在ISA Server机器上实现DHCP服务。

ISA Server 2004对于系统的基本要求是要求IE6.0以上,如果是在Windows 2000 server,要求是在sp4以上,另外还要求打KB821887补丁(关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime,可在本地下载),强烈建议只在Windows net server 2003上安装。


二、安装ISA Server 2004 beta2

运行isaautorun.exe开始ISA Server 的安装,如下图:

点击next,出现180天的授权协议画面:

选择 I accept the terms in the license agreement ,然后点击Next,

在Customer Information页,输入个人信息,Product Serial Number自动生成,点击Next.继续。

在Setup Type页,如果你想改变ISA Server的默认安装选项,可以点击Custom,然后点击Next:

在Custom Setup页你可以选择安装组件,默认情况下,会安装Firewall Services、ISA Server Management和Firewall Client Installation Share,而用于控制垃圾邮件和邮件附件的Message Screener不会安装。如果你想安装Message Screener ,需要在ISA Server 机器上首先安装IIS 6.0 SMTP服务。点击Next继续:

在Internal Network页, 点击Add按钮.内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中,内部网络包含ISA Server 2004必须进行数据通信的信任的网络服务,例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火墙的系统策略会自动允许ISA Server 到内部网络的部分通信。

在Internal Network setup页,点击Configure Internal Network按钮。

在Configure Internal Network对话框中,移去Add the following private ranges选项,保留Add address ranges based on the Windows Routing Table选项. 选上连接内部网络的适配器,点击OK。

在下图的对话框中点击OK:

在内部网络地址对话框中点击OK:

在Internal Network 页点击Next:

在Ready to Install the Program 页点击Install;

在Installation Wizard Completed 页,选择Invoke ISA Server Management when wizard closes然后点击Finish。

此时,会出现Microsoft Internet Security and Acceleration Server 2004 控制台。
三、查看防火墙系统策略

默认情况下,ISA Server 2004不允许和Internet主机的通信。但是,默认防火墙系统策略允许ISA Server 2004访问部分网络以完成管理任务。

可以用以下方法查看系统策略:

1、在 Microsoft Internet Security and Acceleration Server 2004 控制台,展开服务器,右击 Firewall Policy ,指向View 并点击 Show System Rules。

2、点击上图图表栏最右方图标。

这个系统策略标识了ISA Server 2004默认的访问控制。你可以注意到Access rules由以下部分组成:Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。

注意:有条系统策略允许防火墙到任何网络的DNS服务器发送DNS queris。

四、建立访问策略

1、建立允许所有流出数据的访问策略

为了让数据能访问外部网络,你必须新建一条访问策略,执行以下步骤:

(1)在Microsoft Internet Security and Acceleration Server 2004控制台,展开ISA Server服务器,右击Firewall Policy,指向New 并点击 Access Rule:

(2)在Welcome to the New Access Rule Wizard 页,在Access policy rule name中输入“All Open Outbound”,点击OK,

(3)在Rule Action页,选择Allow ,然后点击Next.

(4)在Protocols 页,选择All outbound protocols然后点击Next.

(5)在Access Rule Sources 页,点击Add,在Add Network Entities对话框中,点击Networks 目录,双击Internal,然后点击Add Network Entities 对话框中的Close按钮。然后点击Next.

(6)在Access Rule Destinations 页中点击Add按钮,在Add Network Entities对话框中,点击Networks 目录,双击 External 然后点击Close,最后点击Next.

(7)在User Sets页,接受默认的All Users.点击Next.

(8)在Completing the New Access Rule Wizard页查看你的设置最后点击Finish 。

(9)点击面板顶部的Apply按钮,设置会马上生效。

此时,内部网络的用户已经可以完全的访问Internet了。

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

接下来,你需要建立一个访问策略,以允许内部网络客户可以连接位于ISA Server 上的DNS服务器。这点是ISA Server 2004和ISA Server 2000的不同之处:ISA Server 2000对于内部接口,是不需要设置访问策略的,但是在ISA Server 2004中,内部接口也受到访问策略的保护,所以你必须显式的允许内部客户的访问。

主要步骤和建立Allow open outbound一样,不一样的地方:

1、协议name :DNS from Internal Network;

2、在Protocols页,选择Infrastructure下的DNS协议,如下图:

3、在Access Rule Sources页,选择Internal;

4、在Access Rule Destinations页,选择Local Host;

最后点击Apply。
五、建立一条阻止HTTP下载的HTTP策略

ISA Server 2004的Http策略允许你进行细微的控制,你可以使用Http策略来阻止用户访问任何站点、内容,或者在Http头中出现的任何协议。这条策略将阻止.zip和执行文件的下载,按以下步骤启用策略:

1、右击 All Open Outbound 访问策略然后点击 Configure HTTP命令;

2、在 Configure HTTP policy for rule 的General页,选择 Block responses with Windows executable content ,点击Apply,最后点击OK。

3、最后点击Apply使修改生效。

 

六、测试

至此,ISA Server 2004的配置已经基本完成,我们现在使用一台内部客户机来测试一下:

打开浏览器,输入http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en ,你可以看见下图:

 

现在我们点击isafp1.exe,因为我们的配置,ISA Server 2004防火墙将阻止可执行文件的下载,如下图:

 

至此,ISA Server 2004的配置已基本完成。

 

七、后记

当我将ISA Server 2004成功配置之后,感觉却是:ISA Server 越来越像KWF了。除了ISA Server 2004在VPN方面做了强化配置外,其他方面,ISA Server 和KWF的功能太相似了,而且有些地方还不如KWF,如无DHCP服务,不能转发DNS查询等等,而且从协议的配置上来说,也比KWF麻烦多了。由于还是个beta版本,所以不可避免的存在Bug,如我现在就有个问题,同样的Cisco VPN拨号程序,在98下可以成功连接,但是在我的2000上却始终不能正常连接,原因还在searching……但是从稳定性及系统的兼容性上看,ISA Server 2004做的相当出色,比起ISA Server 2000改进相当大。微软自己的产品,兼容性不用说了,而且比起ISA Server 2000,2004占用系统资源要更少。这个版本是标准版,有些功能,如ISA Server 2000企业版中的带宽控制和Cache监控被取消,可能在正式企业版推出后会提供。

总体来看,ISA Server 2004是世界第一流的软件防火墙,无愧于我对它的喜爱!

, ,
相关文章 热门文章
  • 使用Exchange Service Pack安装程序的/disasterrecovery开关
  • ISA Server发布具有Edge角色Exchange
  • ISA Server 2006 发布owa 2007 的注意事项和排错提示
  • Win2008应用之IIS 7中配置ISAPI和CGI限制
  • Win2008应用之IIS 7中ISAPI筛选器配置
  • 妙用DNS解析实现防火墙客户的重定向
  • ISA之发布Exchange OWA方法及故障分析
  • 使用ISA Server发布具有Edge角色的Exchange Server环境
  • 排除发布的SMTP服务器的故障
  • 关于在ISA Server中使用HTTP压缩的说明
  • 如何通过ISA2006防火墙发布启用了SSL的OWA
  • 双ISA 双CSS 进行NLB方案之4服务器实例
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号