ISA 2004 Server安装与使用

1 实训二十八实训二十八 ISAISA 20042004 ServerServer 安装与使用安装与使用 一 实训目标一 实训目标 1 学会安装 ISA Server 2004 beta2 2 掌握如何查看防火墙系统策略 3 掌握访问策略的建立 4 掌握如何建立一条阻止 HTTP 下载的 HTTP 策略 二 实训要求二 实训要求 1 1 实训环境实训环境 ISA Server 2004 beta2 的安装文件 装有 Windows 2000 Server 计算机 2 2 本实训的重点本实训的重点 学会建立允许所有流出数据的访问策略 建立允许内部客户访问位于 ISA Server 上的 DNS 服务器的策略 建立一条阻止 HTTP 下载的 HTTP 策略 三 实训步骤三 实训步骤 第一步第一步 安装安装 ISAISA ServerServer 20042004 下图是我们的网络拓朴结构 如图 28 1 图 28 1 在 ISA Server 2004 服务器上已经建立好了一个内部的 DNS 服务器 所有客户端以 ISA Server 机 的内部接口 10 0 1 1 作为它的网关和 DNS 服务器 我们安装的版本是 ISA Server 2004 中文标准版 Build 4 0 2161 50 运行 ISA Server 2004 安装光盘根目录下的 ISAAutorun exe 开始 ISA Server 2004 的安装 如下图 28 2 图 28 2 点击 安装 ISA Server 2004 出现安装界面 如图 28 3 2 图 28 3 点击 下一步 在 许可协议 页 选择 我接受许可协议中的条款 点击 下一步 在客户信息页 输入个人信息和产品序列号 点击 下一步 继续 在安装类型页 如果你想改变 ISA Server 的默认安装选项 可以点击 自定义 然后点击 下 一步 如图 28 4 图 28 4 在 自定义 页你可以选择安装组件 默认情况下 会安装防火墙服务器 ISA 服务器管理 防 火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装 如果你想安装消息筛 选程序 需要先在 ISA Server 2004 服务器上安装 IIS 6 0 SMTP 服务 如图 28 5 图 28 5 3 点击 下一步 继续 如图 28 6 图 28 6 在内部网络页 点击 添加 按钮 内部网络和 ISA Server 2000 中使用的 LAT 已经大大不同了 在 ISA Server 2004 中 内部网络定义为 ISA Server 2004 必须进行数据通信的信任的网络 防火墙 的系统策略会自动允许 ISA Server 2004 到内部网络的部分通信 如图 28 7 图 28 7 在地址添加对话框中 点击 选择网卡 出现 选择网卡 对话框 如图 28 8 图 28 8 在 选择网卡 对话框中 移去 添加下列专用范围 选项 保留 基于 Windows 路由表添加 地址范围选项 选上连接内部网络的适配器 点击 OK 在弹出的提示对话框中点击 OK 4 在内部网络地址对话框中点击 OK 如图 28 9 图 28 9 在内部网络页点击 下一步 如图 28 10 图 28 10 在防火墙客户端连接设置页上 如果你的客户机上使用了 ISA Server 2000 的防火墙客户端 则 可以勾选 允许运行早期版本的 点击 下一步 如图 28 11 图 28 11 在服务页 点击 下一步 图 28 12 5 图 28 12 在可以安装程序了页点击安装 图 28 13 图 28 13 在安装向导完成页 选择 在向导关闭时运行 ISA 服务器管理 然后点击 完成 此时 会出 现 Microsoft Internet Security and Acceleration Server 2004 控制台 第二步 配置第二步 配置 ISAISA ServerServer 20042004 服务器服务器 在 ISA Server 2004 中 防火墙策略是由网络规则 访问规则和服务器发布规则三者的结合 网 络规则定义了不同网络间如何访问 而访问规则则定义了用户 内 外网 的访问 服务器发布规则 则定义了如何让用户访问服务器 1 1 网络规则网络规则 网络规则定义并描述网络拓扑 网络规则确定两个网络之间是否存在连接 以及定义如何进行连 接 网络连接的方式有 网络地址转换 NAT 当指定这种类型的连接时 ISA 服务器将用它自己的 IP 地址替换源网络 中的客户端的 IP 地址 当定义内部网络与外部网络之间的关系时 可以使用 NAT 网络规则 路由 当指定这种类型的连接时 来自源网络的客户端请求将被直接转发到目标网络 源客户端 地址包含在请求中 当发布位于 DMZ 网络中的服务器时 可以使用路由网络规则 路由网络关系是双向的 如果定义了从网络 A 到网络 B 的路由关系 那么从网络 B 到网络 A 也 存在着路由关系 相反 NAT 关系则是唯一的和单向的 如果定义了从网络 A 到网络 B 的 NAT 关系 则不能定义从 B 到 A 的网络关系 您可以创建定义双向关系的网络规则 但是 ISA 服务器将忽略有 序规则列表中的第二条网络规则 6 安装时 会创建下列默认规则 图 28 14 图 28 14 本地主机访问 此规则定义了在本地主机网络与其他所有网络之间存在的路由关系 VPN 客户端到内部网络 此规则指定在两个 VPN 客户端网络 VPN 客户端 和 被隔离的 VPN 客户端 与内部网络之间存在着路由关系 Internet 访问 此规则定义了在内部网络与外部网络之间存在的 NAT 关系 2 2 访问规则访问规则 1 防火墙系统策略 在安装 ISA Server 2004 服务器时 会创建默认的系统策略 系统策略允许 ISA Server 2004 服 务器访问它连接到的网络的特定服务 在防火墙策略上点击右键 指向 查看 然后点击 显示系 统策略规则 如图 28 15 图 28 15 或者点击图标栏上最右边的快捷图标 如图 28 16 图 28 16 右边出现了系统策略 如下图所示 标注的地方表明 ISA Sevrer 2004 服务器可以像任何网络发起 DNS 请求 如图 28 17 7 图 28 17 注意 所有系统策略类别都是在安装 ISA 服务器时默认启用的 我们建议你根据自己的需求来禁用不 需要的系统策略类别 2 访问策略 现在我们需要建立一条访问策略以允许内部网络客户访问外部网络 Internet 同时 因为内 部网络客户需要访问 ISA Server 2004 服务器上的 DNS 服务器以解析域名 我们也需要建立一条策略 以允许内部网络客户访问 ISA Server 2004 服务器的 DNS 服务 a 新建一条允许内部客户访问外部网络的所有服务的访问规则 在防火墙策略上点击右键 指向 新 建 然后点击 访问规则 如图 28 18 图 28 18 在 新建访问规则向导 的访问规则名称文本框中 输入 Allow all outbound traffic 然后点 击 下一步 然后在 规则操作 页 选择 允许 点击 下一步 如图 28 19 8 图 28 19 在协议页 选择 所有出站通讯 点击 下一步 如图 28 20 图 28 20 在访问规则源页 点击 添加 在 添加网络实体 对话框 双击 内部 然后点击 关闭 点击 下一步 如图 28 21 图 28 21 在访问规则目标页 点击 添加 在 添加网络实体 对话框 双击 外部 然后点击 关闭 9 点击 下一步 如图 28 22 图 28 22 在用户集页 接受默认的所有用户 点击 下一步 如图 28 23 图 28 23 在新建访问规则向导页 回顾你选择的设置 然后点击 完成 b 新建一条允许内部客户访问 ISA Server 2004 服务器上的 DNS 服务的访问规则 主要步骤和上面一条一样 不同的地方 规则名 Allow internal acces firewall s dns service 协议页选择 所选的协议 然后点击 添加 选择通用协议下的 DNS 如图 28 24 10 图 28 24 访问规则目的为 本地主机 如图 28 25 图 28 25 此时 ISA Server 2004 的管理控制台应该如下图所示 点击 应用 以保存修改和更新防火墙策略 如图 28 26 图 28 26 在应用新配置对话框 点击 确定 如图 28 27 11 图 28 27 此时 ISA Server 2004 服务器的初步配置已经完成 内部客户可以访问外部网络的所有服务 也可 以访问 ISA Server 2004 服务器上的 DNS 服务 注意 只能访问 ISA Server 2004 服务器上的 DNS 服 务 其他的服务都会被禁止 如 ping 等 因为你没有在策略中明确允许这一点 第三步 启用缓存第三步 启用缓存 启用缓存有两个条件 首先是设置了缓存所用的驱动器 其次是设置缓存规则 1 设置缓存所用的驱动器 在 ISA Server 2004 管理控制台的 缓存 上点击右键 选择 定义缓存驱动器 注意 此时 的缓存上有个向下的红色箭头 表明没有启用缓存 在定义缓存驱动器对话框中 根据你自己的网络带宽及流量进行设置 不过需要注意的是 缓存驱动 器必须采用 NTFS 分区格式 如图 28 28 图 28 28 2 设置缓存规则 此时 缓存 上已经没有向下的箭头了 表明已经设置了缓存驱动器 在 缓存 上点击右键 指向 新建 点击 缓存规则 如图 28 29 12 图 28 29 在 新缓存规则向导 页 输入名称 Cache external content 然后点击 下一步 在缓存规 则目标页 点击添加 选择 外部 点击 下一步 如图 28 30 图 28 30 在内容检索页 接受默认的 只有在缓存中存在对象的 点击 下一步 如图 28 31 图 28 31 13 在缓存内容页 接受默认的 如果源和请求头指明要缓存 你可以根据你的需要勾选下面的选项 点击 下一步 如图 28 32 图 28 32 在缓存高级配置页 根据你自己的需要进行设置 点击 下一步 如图 28 33 图 28 33 在 HTTP 缓存页 接受默认的选项 点击 下一步 如图 28 34 图 28 34 14 在 FTP 缓存页 取消 启用 FTP 缓存 的勾选 你可以根据你的需求进行设置 点击 下一步 如图 28 35 图 28 35 在新缓存规则向导页 回顾你的设置 然后点击 完成 点击 应用 以保存修改和更姓防火墙策略 ISA Server 2004 会弹出一个警告提示你 选择 保存更改 并重启动服务 然后点击 确定 如图 28 36 图 28 36 成功后你会在缓存规则栏里面看见新的缓存规则 如图 28 37 图 28 37 第四步 取消第四步 取消 FTPFTP 的只读的只读 最后一点 ISA Server 2004 默认是不允许 FTP 上传的 即不能写 FTP 服务器 取消的办法是 15 在允许访问 FTP 服务器的规则上 在这儿是 Allow all outbound traffic 上点击右键 然后选择 配置 FTP 如图 28 38 图 28 38 在配置 FTP 协议策略对话框中 取消 只读 的勾选 点击确定 最后点击 应用 以保存修改和更 新防火墙策略 如图 28 39 图 28 39 四 实训结论四 实训结论 当我们将 ISA Server 2004 成功配置之后 感觉却是 ISA Server 越来越像 KWF Kerio Winroute Firewall 了 除了 ISA Server 2004 在 VPN 方面做了强化配置外 其他方面 ISA Server 和 KWF 的功能太相似了 而且有些地方还不如 KWF 如无 DHCP 服务 不能转发 DNS 查询等等 而且从 协议的配置上来说 也比 KWF 麻烦多了 由于还是个 beta 版本 所以不可避免的存在 Bug 如我们现 在就有个问题 同样的 Cisco VPN 拨号程序 在 windows 98 下可以成功连接 但是在 windows 2000 上却始终不能正常连接 原因还在 searching 但是从稳定性及系统的兼容性上看 ISA Server 2004 做的相