Microsoft
Internet Security and Acceleration Server 2004
Beta2
快 速 安 装 指 南
(译自Thomas Shinder ,Get Up and Running with ISA Server 2004 Beta 2 ,在“相关下载”栏目中有pdf版本的下载)
目 录 一、安装Windows net server 2003并且建立基本的网络结构 二、安装ISA Server 2004 beta2 三、查看防火墙系统策略 四、建立访问策略 1、建立允许所有流出数据的访问策略 2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略 五、建立一条阻止HTTP下载的HTTP策略 六、测试 七、后记一、安装Windows net server 2003并且建立基本的网络结构
和ISA Server 2000一样,ISA Server 2004对硬件要求不是很高,在CPU Pentium III 500+ MHz、256M内存环境下都能运行,不过为了更好的性能,建议增加CPU速率和内存容量。
安装ISA Server 2004的机器应该有至少有两个网卡,一个为外部接口,一个为内部接口。但是和ISA Server 2000不一样,ISA Server 2004没有本地地址表(Local Address Table),所以你可以安装多个内部接口以支持多个内部网络,Firewall Access policy控制所有网络间的数据传输。 下图为一个测试网络,ISA Server作为一个边缘防火墙(Edge Firewall): 在安装ISA Server 以前,应该要保证内部网络正常的工作。由于ISA Server自身不具备DNS Forwarder功能(ISA Server只能容许DNS query包通过,但是不具有自动将DNS query数据包转发到ISP的DNS服务器的功能),所以在你内部网络的DNS设置中,要么建立一个内部的DNS服务器,要么把所有客户机的DNS全部设置为你ISP的DNS。在这篇文章中,在ISA Server机上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server机的内部接口作为它的网关和DNS服务器。 至于DHCP服务器,如果DHCP服务器位于ISA Server机,这个beta2版的有个BUG,无法正确的处理来自内部网络的DHCP request信息,只有Allow DHCP request from all network才能正常识别内部网络的DHCP request信息,但是这样造成了潜在风险,所以建议你不要在ISA Server机器上实现DHCP服务。 ISA Server 2004对于系统的基本要求是要求IE6.0以上,如果是在Windows 2000 server,要求是在sp4以上,另外还要求打KB821887补丁(关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime,可在本地下载),强烈建议只在Windows net server 2003上安装。为了让数据能访问外部网络,你必须新建一条访问策略,执行以下步骤:
(1)在Microsoft Internet Security and Acceleration Server 2004控制台,展开ISA Server服务器,右击Firewall Policy,指向New 并点击 Access Rule:
(2)在Welcome to the New Access Rule Wizard 页,在Access policy rule name中输入“All Open Outbound”,点击OK,
(3)在Rule Action页,选择Allow ,然后点击Next.
(4)在Protocols 页,选择All outbound protocols然后点击Next.
(5)在Access Rule Sources 页,点击Add,在Add Network Entities对话框中,点击Networks 目录,双击Internal,然后点击Add Network Entities 对话框中的Close按钮。然后点击Next.
(6)在Access Rule Destinations 页中点击Add按钮,在Add Network Entities对话框中,点击Networks 目录,双击 External 然后点击Close,最后点击Next.
(7)在User Sets页,接受默认的All Users.点击Next.
(8)在Completing the New Access Rule Wizard页查看你的设置最后点击Finish 。
(9)点击面板顶部的Apply按钮,设置会马上生效。
此时,内部网络的用户已经可以完全的访问Internet了。
2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略
接下来,你需要建立一个访问策略,以允许内部网络客户可以连接位于ISA Server 上的DNS服务器。这点是ISA Server 2004和ISA Server 2000的不同之处:ISA Server 2000对于内部接口,是不需要设置访问策略的,但是在ISA Server 2004中,内部接口也受到访问策略的保护,所以你必须显式的允许内部客户的访问。
主要步骤和建立Allow open outbound一样,不一样的地方:
1、协议name :DNS from Internal Network;
2、在Protocols页,选择Infrastructure下的DNS协议,如下图:
3、在Access Rule Sources页,选择Internal;
4、在Access Rule Destinations页,选择Local Host;
最后点击Apply。
五、建立一条阻止HTTP下载的HTTP策略
ISA Server 2004的Http策略允许你进行细微的控制,你可以使用Http策略来阻止用户访问任何站点、内容,或者在Http头中出现的任何协议。这条策略将阻止.zip和执行文件的下载,按以下步骤启用策略:
1、右击 All Open Outbound 访问策略然后点击 Configure HTTP命令;
2、在 Configure HTTP policy for rule 的General页,选择 Block responses with Windows executable content ,点击Apply,最后点击OK。
3、最后点击Apply使修改生效。
至此,ISA Server 2004的配置已经基本完成,我们现在使用一台内部客户机来测试一下:
打开浏览器,输入http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en ,你可以看见下图:
现在我们点击isafp1.exe,因为我们的配置,ISA Server 2004防火墙将阻止可执行文件的下载,如下图:
至此,ISA Server 2004的配置已基本完成。
当我将ISA Server 2004成功配置之后,感觉却是:ISA Server 越来越像KWF了。除了ISA Server 2004在VPN方面做了强化配置外,其他方面,ISA Server 和KWF的功能太相似了,而且有些地方还不如KWF,如无DHCP服务,不能转发DNS查询等等,而且从协议的配置上来说,也比KWF麻烦多了。由于还是个beta版本,所以不可避免的存在Bug,如我现在就有个问题,同样的Cisco VPN拨号程序,在98下可以成功连接,但是在我的2000上却始终不能正常连接,原因还在searching……但是从稳定性及系统的兼容性上看,ISA Server 2004做的相当出色,比起ISA Server 2000改进相当大。微软自己的产品,兼容性不用说了,而且比起ISA Server 2000,2004占用系统资源要更少。这个版本是标准版,有些功能,如ISA Server 2000企业版中的带宽控制和Cache监控被取消,可能在正式企业版推出后会提供。
总体来看,ISA Server 2004是世界第一流的软件防火墙,无愧于我对它的喜爱!
, ,自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |