ISASver报告.doc

实验报告课程名称： 网络安全维护与管理 实验项目名称： ISA SERVER 2006的应用配置 专业： 计算机网络技术 学号： 100000000姓名： xxx 实验地点： 实训楼三楼 实验日期： 2012 年 10 月 10 日一、实验目的及要求学会ISA SERVER 2006的安装，掌握ISA SERVER 2006的配置及应用。二、实验的内容及原理1、利用VMware Workstation搭建ISA Server 2006的运行环境，安装部署ISA SERVER 2006；2、应用ISA SERVER 2006，建立基于“单一网络适配器”的WEB代理；3、创建访问规则，开放或阻挡内部网络访问Internet； 三、实验的环境VMware虚拟机、Windows Server2003、ISA Server2006四、实验方法和步骤1.打开文件夹开始安装软件如下图所示：2.进入安装向导，如下图所示点击下一步：3.在弹出的许可协议对话框中选择接收协议：4.在弹出的对话框中填写用户名：5.选择安装类型：6.添加内部网络：7.设置防火墙8.在服务警告对话框中单击下一步：9.点击安装按钮：10安装程序中：11.安装完成：12.安装完成后打开的ISA Server2006的界面添加“单一网络适配器”模板：安装完成后需要重启虚拟机，再进行配置；1.打开ISA Server2006，如下图：2.单击“配置”下的“网络“选项，再单击右边的“模板”，选择“单一网络适配器”：一般情况下回直接添加进去，但特殊情况下添加的时候会出现以下画面，则表示两个及两个以上的网卡，须禁用多余的网卡；此时则需要查看”网络连接”,将其他网卡“禁用”，如图：（3）进入“网络模板向导”：（4）导出ISA服务器的配置：（5）添加“内部网络IP地址”：（6）删除其他IP地址，如图：（7）选择“防火墙策略”：（8）完成网络模板向导：7.配置网络集：（1）单击“配置“下的”网络“选项：（2）右击“内部“网络的”属性“，如图：（3）在“属性”选项卡中选择“Web代理”选项卡，选中“为此网络启用Web代理客户端连接“，并且”启用HTTP“,设置HTTP的端口号为“8080”：再单击“确定”按钮。8.创建防火墙策略（1）单击“防火墙策略“，选择右边的”任务“选项最下面的”创建访问规则“，如图所示：（2）为访问规则命名为“06deng”，如图所示：（3）在“规则操作”对话框中选择“允许”按钮，允许本机主机访问外部网站，如图所示，再单击“下一步”按钮。（4）选择规则要应用到的协议为“所选协议”，单击“添加”按钮，表示只开放连接网站的协议，再依次选择并添加“HTTP”、“HTTPS”，单击“关闭”按钮，如图所示：（5）添加完成单击“下一步”按钮，（6）在访问规则源对话框中选择此规则的应用来源，在此，只想让ISA Server2006计算机本身可以上网，因此单击“添加”按钮，在“添加网络实体”对话框中选择“本地主机”并单击“添加”按钮，如图所示：（7）单击“访问规则源”对话框的“下一步”按钮，（8）将此规则的应用目的地设置为“外部”，也就是允许访问外部所有的网站，如图所示。（9）在“访问规则目标”的对话框中单击“下一步”按钮：（10）在“用户集”对话框中单击“下一步”按钮，以便将此规则应用到所有的用户，如图所示。（11）在“完成新建访问规则向导”对话框中单击“完成”按钮。（12）规则创建完成后的效果图。（13）单击“应用”按钮，再点击“确定”，就可以将此规则应用到ISA中。9.启用“WEB代理客户端”的请求（1）运行IE（Internet Explorer）浏览器，再选择“工具”下的“Internet选项“。（2）在“Internet选项”中的“连接“选项卡中单击“局域网设置”按钮，（3）在“局域网（LAN）设置”对话框中，选中“为LAN使用代理服务器”选项，将ISA Server内网卡的IP地址39输入到“地址”文本框中，将连接端口8080输入到“端口”文本框中，如图所示：10.客户端的配置客户端的IP和ISA Server的IP应该为同一网段，如图所示：11.测试打开虚拟机的IE浏览器，在地址栏中输入：,按“Enter”键，出现下列画面，证明测试成功。设置开放访问Internet1.创建访问规则为“允许内部到本地主机的NetBIOS请求”； 2.选择将此规则应用到的协议“NetBios会话”、“NetBIOS名称服务”、“NetBios数据报”：3.设置访问此规则源为“内部”；4.设置访问规则目标为“本地主机”；5.将此规则应用到“所有用户”;6.完成新建访问规则向导：7.创建访问规则为“允许内部到外部的DNS请求”8.在“规则操作”对话框中选择“允许”选项；9.在“将此规则应用到的协议”对话框中单击“添加“按钮，选择”DNS“再单击”添加“按钮，如图：10.在“访问规则源“的对话框中单击”添加“按钮，选择”内部“，再单击”添加“按钮，如图所示：11.选择访问规则目标地为“外部“，如图所示：12.在“用户集“对话框中单击“下一步“以便将此规则应用到所有的用户，如图所示：13.完成新建访问规则“允许内部到外部的DNS请求“的向导：14.新建访问规则“允许内部和本地主机访问外部网站与FTP“：15.在“操作规则“对话框中选择”允许“按钮，允许本地主机访问外部网站，单击”下一步“按钮。16.添加应用协议FTP、HTTP、HTTPS：17.在“访问规则源”中添加“内部”和“本地主机”；18.在“访问规则目标“对话框中添加”外部“通讯；19.在“用户集“对话框中单击“下一步“以便将此规则应用到所有的用户，如图所示：20.完成新建“允许内部和本地主机访问外部网站与FTP“的向导：21.新建访问规则“允许内部到外部的SMTP和POP3请求”；22.在“规则操作”对话框中选择“允许”按钮，允许本机主机访问外部网站，单击“下一步”按钮；23.添加规则应用到的协议：SMTP、POP3；24.在“访问规则源”对话框中单击“添加”按钮，选择“内部”；25.在“访问规则目标”对话框中单击“添加”，选择“外部”通讯；26.在“用户集”对话框中单击“下一步”：27.完成新建规则“允许内部到外部的SMTP和POP3请求”的新建向导；28.规则创建完成效果图：29.单击“应用”按钮，再单击“确定”按钮，就可以将所有规则应用到ISA Server中；开放FTP写入的功能和开放非标准连接端口1.在“ISA服务器管理”窗口中，双击“允许内部和本地主机访问外部网站与FTP”：在打开的“属性”对话框中选择“协议”选项卡，单击“筛选”并选择“配置FTP”。如图所示：2.在“配置FTP协议策略”对话框中，取消选中“只读”复选框，如图所示：3.回到“ISA服务器管理”窗口，依次单击“应用”、“确定”按钮；开放非标准连接端口1.在“ISA服务器管理”窗口中，在左侧列表中选择“防火墙策略”选项，再单击窗口右边的“工具箱”选项卡，选择“协议”、“新建”、“协议”；2.在“欢迎使用新建协议定义向导”对话框中将此协议命名为“http9988”：(3)在新建协议定义向导的“首要连接信息”对话框中，单击“新建”，在打开的“新建/编辑协议连接”对话框中，“协议类型”下拉列表框中选择TCP，“方向”下拉列表框中选择“出站”，端口范围的“从”文本框中和“到”文本框中都输入“9988”，如图所示，完成后单击“确定”按钮。（4）在“辅助连接“对话框中单击”否“按钮，再单击”下一步“按钮。（5）完成新建协议定义向导；（6）新建协议完成后的效果图，如图中右边的深色部分；（7）依次单击“应用“和”确定“按钮；14.开放腾讯QQ实时通信步骤14.1为QQ使用端口创建新协议（1）在“ISA服务器管理“窗口的右边选择”工具箱“选项卡，选择”协议“/”新建“/”协议“命令，打开”新建协议定义向导“对话框；（2）在“协议定义名称“文本框中输入新建的协议的名称为”QQ通信地“；（3）单击“下一步“按钮，出现”首要连接信息“对话框，在该对话框中指定端口、协议以及方向；（4）单击“新建“按钮，出现”新建/编辑协议连接“对话框 ，在”协议类型“下拉列表中选择”UDP“，在”方向“下拉列表中选择”发送接收“，在”端口范围“文本框中指定QQ协议所使用的端口范围为40004001，如图所示：（5）单击“确定“按钮，返回”首要连接信息“对话框，并且设置QQ协议所使用的另外一个端口号为8000，如图所示：（6）单击“确定“按钮，返回”首要连接信息“对话框，可以看到已经添加的端口范围、协议类型以及方向；查看”QQ通信地属性“对话框；（7）单击“下一步“按钮，出现”辅助连接“对话框，单击此对话框中的”下一步“按钮，出现”正在完成新建协议定义向导“对话框，单击”完成“按钮即可；（8）返回“ISA服务器管理“窗口，在”工具箱“选项卡区域的协议中可看到刚创建的协议，如图所示：14.2创建QQ通信的访问规则（防火墙策略）（1）创建“允许内部到外部的QQ通信“访问规则；（2）在“规则操作”对话框中选择“允许”按钮，允许本机主机访问外部网站，单击“下一步”按钮；（3）在“添加协议“对话框中选择”用户定义“的”QQ通信地“协议；（4）选择“访问规则源“为”内部“；（5）选择访问规则目标为“外部“；（6）完成新建访问规则向导，单击“完成“按钮；（7）访问规则创建完成后的效果图：（8）依次单击“应用”和“确定”按钮，将所有规则和协议应用到ISA服务器中；14.3测试QQ通信在客户端使用QQ登录，测试QQ是否能正常通信；（1）登录界面：（2）登录成功后的界面：五思考与结论1.简述ISA Server2006的主要功能。（1）防火墙：ISA Server2006可以安装成专用防火墙，控制内部网络与Internet之间的通信，增强网络的安全性。还可以利用它安全地发布企业内部的服务器（例如网站、电子邮件服务器等），以便让客户与合作伙伴来分享内部网络的资源。（2）虚拟专用网虚拟专用网可以让远程用户与局域网之间，或者是分别位于两地的局域网之间，通过Internet来建立一个安全的通道。（3）Web缓存服务器通过将用户经常访问的网页保存到ISA Server2006的硬盘与内存，不但让用户更快地访问到所需的网页，同时也可以提高网络的效率，节省网络的带宽。2.简述ISA中的多网络结构ISA Server支持网络结构，例如ISA Server同时连接总公司网络、分公司网络、DMZ网络、外地VPN客户端网络与外部网络（Internet）。如图所示：在这种多网络（网络集）结构中，可以通过ISA SERVER防火墙来设置在任意两个网络之间的连接规则，从而允许网络之间的相互访问。这种连接规则在ISA Server中称为网络规则。3.简述ISA支持的防火墙种类和网络模板。ISA Server包含与常见网络拓扑对应的网络模板，每种网络模板对应一种防火墙的设置种类，ISA Server会自动根据用户当前的网络环境和配置选择默认的模板。ISA Server的网络模板主要分为边缘防火墙、3向外围网络防火墙、前端防火墙、后端防火墙和单一网络适配器五种。（1）.边缘防火墙如图1为边缘防火墙的架构，其中的ISA Server防火墙计算机有两个网络接口，一个网络接口连接到内部网络，另一个连接到外部网络。也就是说放火墙介于内部网络和Internet之间。这种架构能够保护内部网络的安全，避免外来入侵者访问内部网络资源。也可以开放让内部用户来访问外部资源，这是最容易架设的防火墙架构。如果想保护网络不会被他人访问，同时允许公司网络上的用户进行特定的访问，可以将ISA Server设置作为边缘防火墙。（2）三向外围网络防火墙 如图2所示，这种方案涉及设置具备3个网络适配器的ISA Server：一个网络适配器连接到Internet，另一个连接到内部网络，第三个连接到外围网络。这是一个非常典型的网络配置方案，三向外围网络模板适用于这种方案。此模板采用ISA Server连接到内部网络、外部网络和外围网络（也称DMZ、网络隔离或被筛选的子网）的网络拓扑。（3）前端防火墙 如图3所示，这种方案涉及在网络的边缘部署ISA Server，其中在后端配置另一个防火墙，用于保护内部网络。在这个方案中，ISA Server作为背靠背外围网络配置中的防御前线。前端网络模块适用于这个方案。此模块采用ISA Server在网络边缘，另一个防火墙配置在后端的网络拓扑。（4）后端防火墙如图4所示，这种方案涉及在外围网络和内部网络之间部署ISA Server，其中在后端配置另一个防火墙，用于保护内部网络。在这个方案中，ISA Server作为背靠背外围网络配置中的后防线，后端网络模块适用于这个方案。此模块此阿勇ISA Server部署在外围网络和内部网络之间，另一个防火墙配置在后端（保护内部网络）的网络拓扑。（5）单一网络适配器如图5所示，可以在具有单一网络适配器的计算机上安装ISA Server。通常，当另一个防火墙位于网络的边缘时进行此安装，以便将公司资源连接到Internet。在此单一适配器方案中，ISA Server通常作为缓存服务器，对Internet中的内容进行缓存，供公司网络中的客户端使用。此模板采用在外围或公司网络内部部署配置一个单一网络适配器的方法。在这种配置中，ISA Server用作Web代理和缓存服务器。4.ISA Server2006与其他软件防火墙相比，优势在哪里？相对于其他类型软件防火墙解决方案，ISA SERVER的主要优势包括了它的高级应用层检测和保护功能，易于使用