Microsoft ISA Server设置.doc

Microsoft ISA Server设置为了解决网络的整体安全，帮助企业组织控制在因特网及其内部网络间流通的信息，同时帮助企业加快网络的速度，微软公司设计、开发了Microsofta Internet Security and Acceleration (ISA) Server 2000。Microsoft? ISA Server 2000是Windows 2000 Server平台上同时具有防火墙与网站缓存的服务器软件。Microsoft? ISA Server 2000提供多层次的企业级防火墙，并结合专用的防毒软件，在企业Internet推出的第一道关卡，保护网络资源，避免病毒、黑客及未获授权的存取行为，同时加速公司内部对内与对外的存取速度，节省Internet网络带宽，并且向使用者提供更快的Web存取速度，进而进行统一Internet资源管理。Microsoft? ISA Server 2000具备高度扩展能力的防火墙与网站缓存服务器，它与Windows? 2000整合，提供了基于策略（policy-based）的安全性，同时也具备快速存取与易于管理的网络功能。Microsoft? ISA Server 2000提供了两个高度整合的模式：一个多层次的防火墙（firewall）与一个高效率的网站缓存服务器（Web cache server）。 这是一个功能强大的软件,而且是英文界面的,这对于我等E文水平不行的人来说可能是个难关,嘻哈呵嘿就曾经走了不少的弯路,现在总算能够成功的应用ISA于实践中了,在此写出一点实现过程,希望能对像我一样水平不高而又想使用ISA SERVER的朋友们有所帮助.废话少说,咱们开始吧.一.下载要使用软件,首先得取得软件,你可以在无垠网域- http:/5/view.asp?id=453 中取得ISA SERVER,这个是个试用版本,有120天的试用限制,这相对于其它的软件来说,试用期限已经算长的了.呵呵.二.安装下载后得到一个12.1M的压缩包,解压到一个目录,再点击里面的Setup.exe进行安装就可以的.需要说明的是如果你没有使用域的话,只能安装成一个独立的ISEVER,而没有阵列功能,不过那是相对于企业级的应用于来说的,对于我等小小的公司或者是网吧来说,一个服务器是更常见一点的,而且也比较容易使用.采取一路回车的方式安装即可成功,中间有一个地方要你输入你局域网的IP地址范围,你可以输入例如:-55这样的范围,也可以点击右边的按钮,让程序自己为你生成.三.使用.点击开始=程序=Microsoft ISA Server=ISA Management即可以调出ISA 控制台.界面如图所示:(ISERVER)即为本计算机的名字. (一)制定访问规则.一般在网吧或者是没有什么限制的,因此我们给予客户机以完整的权限,点击Iserver左边的加号,展开菜单,再加击Access Policy 展开子菜单,如图所示:我们需要创建一个完全权限的规则给我们的客户机,因此在右边点击Create a Protocol Rule.在弹邮的对话框里输入Full Internet Access Rule,就是完全互联网访问权限的意思,当然你也可以取其它的名字,对功能没有影响.如图:然后一路回车接受所有条约即可,当然如果你有其它的特殊要求,也可以视情况而定,选取不同的选项.(二)制定规则适用范围.现在规则制定好了,我们就开始制定这条规则的适用范围.点击左栏里的Policy Elements,展开子菜单,点击Client Address Sets,为我们的这条规则制定适用的地址设定.如图:点击放大点击Create a Client Set,创建一个客户端设定.在Name 栏输入你刚才定义的名字,本例是Full Internet Access Rule,(记住千万不能弄错!) 然后单击Add,加入地址设定,-55,如图所示:点击OK,OK,地址设定完毕.(三) 设定系统DNS.现在设定的就差不多了,但是现在你去客户机上上网看看,却只是会显示:正在连接到.然后就是超时错误了,为什么呢?有聪明的朋友就一定会已经想到了,DNS没有设制,ISA 不能把域名解释为IP地址,所以才会出现这样的现象,下面就让我们一起来设定DNS.点击Access Policy下的IP Packet Filter(IP包过滤),双击右栏里的DNS Filter,会弹出一个对话框,切换到Filter Type标签,把设定必文不对题如下图所示:切换到Local Computer标签,把Default IP Address.改变成第三项This Computer,再在下面的文本框里填入你当地的DNS,如:5.如图所示:确定以后就算完成设置了.这个时候你的客户机就已经可以通过修改Internet 连接属性上网了.(四)自定义规则.这个时候你可能会想,怎么只能上IE?联众和QQ都不能上?这算是什么好东东呢?对了.呵呵.嘻哈呵嘿还保留了一点呢.慢慢来吧.因为Microsoft 公司毕竟是生在美国长在美国,所以在他默认的协议里有AOL,有MSN,有YAHOO MESSGER,就是没有我们大家喜爱的即时通讯工具QQ,没有关系,因为ISA 提供了自定义规则的功能,我们也可以轻而易举的让QQ上线.让QQ上线也就是要让QQ在他自己的端口的数据能够通行无阻就可以了,我们知道QQ用的端口是4000,再往后推,因此我们就定义一个规则,让这个端口的TCP和UDP都通行.点击左边的Policy Elements 下的Protocol Definitions, 在右栏我们可以看到许多默认的规则,我们先点击Create a Protocol Definition,自己为OICQ定义一条规则,弹出一个对话框,我们在Name栏里输入OICQ,再切换到Parameters标签,允许在8000-8888端口通行,设置好后如图所示:确定后,就设置大功告成了.我自己的设定：(五)启用IP路由和入侵检测.这个时候你也许还会看到一个奇怪的问题,就是在客户端不能PING通外部的地址,如Ping 就会出现超时的现象,不要紧,我们只要启用IP路由就行了.Follow Me!右击Access Policy 下的IP Packet Filter,选属性,如图:把Enable packet Filtering和下面的两个勾勾上即可.再切换到Packet Filters标签,把你所认为有用的勾上,就把入侵检测也打开了.如图:好,废话了这么久,总算把服务端常用的设定都做好了,现在我们去客户端看看吧.四.客户端的设定.一般