Proxy(ISA2004).doc

LITE-ON TECHNOLOGY GT PROXY（ISA2004） operation manualSystem InformationFunctionProxy ServerServer NamePROXYIP Address0DomainLOperation SystemWindows 2000 ServerProxy SystemISA 2004Services packWindows SP4GT PROXY（ISA2004） operation manual1. Hardware .032. Infrastructure .043. Install .05104. Configuration .11275. Daily Maintain 28286. F&Q 2934Proxy Server Hardware 主機設備：型號：PC高度：CPU：P4 2.4GSMP能力：主記憶體：512M光碟機：48X IDE軟碟機：1.44MB網路介面：10/100 Fast Ethernet硬碟: IDE 80G電源供應器：300WLITEON Network Infrastructure ISA2004 Install 將ISA2004光盤放入CDROM，系統會自動運行，如沒自動運行，雙擊光盤中的ISAAutorun.exe文件開始安裝歡迎界面 選擇安裝ISA2004 下一步 選擇安裝類型自定義 選中前三項防火牆服務器ISA服務器管理防火牆客戶端安裝共享。 選擇網卡或是指定內部網絡的IP地址 指定致力廠的IP圍：-54 開始安裝 安裝防火牆客戶端選項 完成安裝，結束安裝程序Configuration一、 設定絡網類型 點擊網絡范本，選擇單一網絡介面卡 開始網絡范本建立向導（精靈） 是否需要匯出原始策略 選擇內部網絡IP地址范圍，刪除現有的IP 增加致力現有的IP范圍 套用預設PROXY設定 完成設置二、設置HTTPProxy(代理) 將端口改為我們以前用的808三、 建立存取規則（策略） ISA剛安裝完成時，此電腦的所有網都是不通的！因為ISA最初始只有一條策略，就是拒絕所有流量從所有網絡到所有綱絡，我們需要手動去增加自已所需要的策略 新建策略 根據功能或內容給策略命名 選擇新策略的類型，允許或是拒絕 選擇協義類型 選擇存取規則來源 選擇存取規則目的地 選擇存取規則的使用者組 完成存取規則的建立！四、 PROYX上現有策略說明現ISA上的策略主要按功能來設置，同時結合部門來進行設置，現共有策略14個，具體說明如下：1、 Bad site內容：拒絕所有流量從內部到Bad Site，條件為所用戶，說明：在網絡物件中，定義了一個名為Bad Site的綱域名稱組，裡面定義了不良網站，通過這策略來禁止公司內的用戶訪問一些不良網站。2、 Deny QQ IP內容：拒絕所有流量從內部到QQ IP，條件為所用戶，說明：在網絡物件中，定義了一個名為QQIP的電腦組，裡面包含了最新的國內各QQ服務器的IP地，通過此策略可以禁止公司內的用戶上QQ，3、 Inside To Isa內容：允許所有的輸出流量從內部到本地主機，條件為所有用戶說明：此條為必須的，如沒有此策略，內部的電腦無法連接到PROXY主機4、 Isa To Outside內容：允許所有的輸出流量從本地主機到外部，條件為所有用戶說明：此條定義的作用是可以讓PROXY主機的流量出到INTERNET5、 Isa To Inside內容：允許所有的輸出流量從本地主機到内部，條件為所有用戶說明：此條定義的作用是可以讓PROXY主機可以訪問內部網絡的相關務服，此條不是必須的，但如不加此條，ISA主機不可以訪問內部綱絡的相關服務，如WEB等6、 Gt It User內容：允許所有輸出的流量從IT User到外部，條件為GT IT User用戶，說明：在網絡物件中，定義了一個名為IT User的電腦組，裡面包括IT電腦的IP地址；在使用者中定義了一個名為GT IT User用戶組，裡面包括了AD中的SYS CNQX GT IT GROUP，為所有IT用戶，此條策略的目的是允許IT用戶在IT User的電腦組中定義的電腦上，通過ISA PROXY到外部的所有協議，通過和DHCP配合，可以防止用戶將自已的幾號或是電腦借給未授權的用戶使用。7、 Advanced Internet User內容：允許所有輸出的流量從內部到外部，條件為Advanced Internet用戶和Liteon Evection User用戶。說明：在使用者中定義了一個名為Advanced Internet用戶組，裡面包括了AD中的SYS CNQX GT Deputy ManageSYS CNQX GT TW EmployeesSYS CNQX GTManage和模具中心幾位未加入以上群組的台干，此條策略的目的是允許所有經理、台干、副理用戶通過ISA PROXY到外部的所有協議，沒有固定在那些電腦上，因此這部分用戶在宿捨電腦上也可以正常上網。8、 GT MSN/SKYPE/WEB User內容：允許所有輸出的流量從SPM User/Sales User/MSN Other User到外部，條件為GT SPM User/Sales User/MSN Other User說明：在網絡物件中，定義了三個名為SPM User/Sales User/MSN Other User的電腦組，裡面包括SPM、SALES和其它部門需要用MSN、SKYPE和上網的用戶電腦的IP地址；在使用者中定義了三個名為SPM User/Sales User/MSN Other User的用戶組，裡面包括了SPM、SALES和其它部門需要用MSN、SKYPE和上網用戶；此條策略的目的是允許SPM User/Sales User/MSN Other User的用戶在SPM User/Sales User/MSN Other User的電腦組中定義的電腦上，通過ISA PROXY到外部的所有協議，通過和DHCP配合，可以防止用戶將自已的幾號或是電腦借給未授權的用戶使用。9、 General Web User(Deny MSN)內容：允許指定的協義HTTP、HTTPS從GT General WEB User到外部，條件為GT General WEB User用戶，說明：在網絡物件中，定義了一個名為GT General WEB User的電腦組，裡面包括一般上網用戶的IP地址；在使用者中定義了一個名為GT General WEB User用戶組，裡面包括了AD中的一般上網用戶，此條策略的作用是允許這部分用戶在指定的電腦上，通過ISA PROXY到外部所有HTTP、HTTPS的協議，通過和DHCP配合，可以防止用戶將自已的幾號或是電腦借給未授權的用戶使用。 在此條策略上禁止MSN登錄10、 PUR Sit User內容：允許指定的協義HTTP從內部到PUR指的IP地址，條件為所用GT PUR所指定的用戶說明：在網絡物件中定義了一個名這PUR的電腦，IP地址為：6，是LITEON供應商管理系統的網站；在使用者中定義了一個名為GT PUR用戶組，裡面括了AD中的SYS CNQX GT PUR用戶。此條策略的作用是允許采購的所用戶上供應商管理系統的網站。11、 Fin User To Internet內容：允許指定的協義HTTP和從內部到17和Fin Site定義的站點，條件為所有FIN User To Internet User所定義的用戶說明：在網絡物件中定義了名為Fin Site綱域名稱組，裡面包含了財務用戶所申請的網站; 在網絡物件中定義了名為17的電腦IP，為財務用戶所申請的一個網站的IP地址；在使用者中定義了一個名為FIN User To Internet User，裡面包括了AD中財務部有申請上網的用戶。此條策略的作用是允許財務申請了上網的用戶訪問某些指定的網站12、 HR User To Internet內容：允許指定的協義HTTP從內部到HR Site和Safety定義的站點，條件為GT HR&ADM User所定義的用戶說明：在網絡物件中定義了名為HR Site和Safety綱域名稱組，裡面包含了人資和管理部用戶所申請的網站;在使用者中定義了一個名為GT HR&ADM User用戶組，裡面包括了AD中人資和管理部有申請上網的用戶。此條策略的作用是允許人資和管理部申請了上網的用戶訪問指定的網站13、 Ship&Custm User To Intenet內容：允許指定的協義HTTP和HTTPS從內部到Ship&Customt和Starbex定義的站點，條件為GT Ship&Custom User所定義的用戶說明：在網絡物件中定義了名為Ship&Customt綱域名稱組，裡面包含了船務和關務部用戶所申請的網站;在網絡物件中定義了名為Starbex的電腦，IP為11，為Starbex登錄後工作的一個站點的IP；在使用者中定義了一個名為GT Ship&Custom User的用戶組，裡面包括了AD中船務和關務部有申請上網的用戶。此條策略的作用是允許船務和關務部申請了上網的用戶訪問指定的網站14、 HP&IBM Site User內容：允許指定的協義FTP、HTTP和HTTPS從內部到Guest Site定義的站點，條件為GT GuestSite User所定義的用戶說明：在網絡物件中定義了Guest Site綱域名稱組，裡面包含了QC等部門申請的幾個客戶的網站;在使用者中定義了一個名為GT GuestSite User的用戶組，裡面包括了AD中品保等部門有申請上網客戶網站的用戶。此條策略的作用是允許船務和關務部申請了上網的用戶訪問指定的網站15、 最後預設規則內容：拒絕所有流量從所有網絡到所有網絡，條件為所有使用者說明：此策略為ISA默認的，一定要放在最後，目的是拒絕除上面所定議的策略以外的所有流量通過ISA Proxy。此策略不要移除Daily Maintain1. 檢查服務是否正常運作Remote Procedure Call (RPC)Remote Procedure Call (RPC) LocatorTrend Server ProtectMicrosoft FirewallMicrosoft ISA Server ControlMicrosoft