ISA Server 2004安装指南

ISA Server 2004 标准版安装指南标准版安装指南 一 系统及网络需求一 系统及网络需求 要使用 ISA 服务器 您需要 CPU 至少 550MHz 最多支持四个四个 CPU 内存 至少 256MB 硬盘空间 150MB 不含缓存使用的磁盘空间 缓存需要存放在 NTFS 分区上分区上 操作系统 Windows Server 2003 或 Windows 2000 Server 操作系统 但是如果在运 行 Windows2000 Server 的计算机上安装 ISA Server 2004 服务器 那么必须达到以下要 求 必须安装 Windows2000 Service Pack4 或更高版本 必须安装 Internet Explorer6 或更高版本 如果您使用的是 Windows2000 SP4 整合安装 还要求打 KB821887 补丁 为 Win dows 2000 授权管理器运行库配置审核时 安全日志中未记录授权角色的事件 可在本站下 载 网络适配器 必须为连接到 ISA Server 2004 服务器的每个网络单独准备一个网络适配器 至少需要一个网络适配器 但是在单网络适配器计算机上安装的 ISA Server 2004 服务器通 常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用 DNS 服务器 ISA Server 2004 服务器不具备转发 DNS 请求的功能 必须使用额外的 DNS 服务器 你或者在内部网络中建立一个 DNS 服务器 或者使用外网 Internet 的 DNS 服务 器 网络 在安装 ISA Server 2004 服务器以前 应保证内部网络正常工作 这样可以避免一些 未知的问题 二 安装二 安装 ISA Server 2004 下图是我们的网络拓朴结构 在 ISA Server 2004 服务器上已经建立好了一个内部的 DNS 服务器 所有客户端以 ISA Serve r 机的内部接口 10 0 1 1 作为它的网关和 DNS 服务器 我们安装的版本是 ISA Server 2004 中文标准版 运行 ISA Server 2004 安装光盘根目录下的 ISAAutorun exe 开始 ISA Server 2004 的安装 如下图 点击 安装安装 ISA Server 2004 出现安装界面 点击 下一步 在 许可协议 页 选择 我接受许可协议中的条款我接受许可协议中的条款 点击 下一步下一步 在客户信息页 输入个人信息和产品序列号 点击 下一步下一步 继续 在安装类型页 如果你想改变 ISA Server 的默认安装选项 可以点击 自定义自定义 然后点击 下一步下一步 在 自定义 页你可以选择安装组件 默认情况下 会安装防火墙服务器防火墙服务器 ISA 服务器管理服务器管理 防火墙防火墙 客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装 如果你想安装消息筛选程序 需要先在 ISA Server 2004 服务器上安装 IIS 6 0 SMTP 服务 点击 下一步 继续 在内部网络页 点击 添加添加 按钮 内部网络和 ISA Server 2000 中使用的 LAT 已经大大不同了 在 ISA Server 2004 中 内部网络定义为 ISA Server 2004 必须进行数据通信的信任的网络 防 火墙的系统策略会自动允许 ISA Server 2004 到内部网络的部分通信 在地址添加对话框中 点击 选择网卡选择网卡 出现 选择网卡 对话框 在 选择网卡 对话框中 移去 添加下列专用范围 选项 保留 基于 Windows 路由表添加地址范 围选项 选上连接内部网络的适配器 点击 OK 在弹出的提示对话框中点击 OK 在内部网络地址对话框中点击 OK 在内部网络页点击 下一步 在防火墙客户端连接设置页上 如果你的客户机上使用了 ISA Server 2000 的防火墙客户端 则可以 勾选 允许运行早期版本的 点击 下一步 在服务页 点击 下一步 在可以安装程序了页点击安装 在安装向导完成页 选择 在向导关闭时运行 ISA 服务器管理 然后点击 完成 此时 会出现 Microsoft Internet Security and Acceleration Server 2004 控制台 三 配置三 配置 ISA Server 2004 服务器服务器 在 ISA Server 2004 中 防火墙策略是由网络规则 访问规则和服务器发布规则三者的结合 网 络规则定义了不同网络间如何访问 而访问规则则定义了用户 内 外网 的访问 服务器发布规则则定 义了如何让用户访问服务器 1 网络规则 网络规则 网络规则定义并描述网络拓扑 网络规则确定两个网络之间是否存在连接 以及定义如何进行连接 网络连接的方式有 网络地址转换网络地址转换 NAT 当指定这种类型的连接时 ISA 服务器将用它自己的 IP 地址替换源 网络中的客户端的 IP 地址 当定义内部网络与外部网络之间的关系时 可以使用 NAT 网络规 则 路由 路由 当指定这种类型的连接时 来自源网络的客户端请求将被直接转发到目标网络 源客户端 地址包含在请求中 当发布位于 DMZ 网络中的服务器时 可以使用路由网络规则 路由网络关系是双向的 如果定义了从网络 A 到网络 B 的路由关系 那么从网络 B 到网络 A 也存 在着路由关系 相反 NAT 关系则是唯一的和单向的 如果定义了从网络 A 到网络 B 的 NAT 关系 则不能定义从 B 到 A 的网络关系 您可以创建定义双向关系的网络规则 但是 ISA 服务器将忽略有 序规则列表中的第二条网络规则 安装时 会创建下列默认规则 本地主机访问 本地主机访问 此规则定义了在本地主机网络与其他所有网络之间存在的路由关系 VPN 客户端到内部网络 客户端到内部网络 此规则指定在两个 VPN 客户端网络 VPN 客户端 和 被隔离的 V PN 客户端 与内部网络之间存在着路由关系 Internet 访问 访问 此规则定义了在内部网络与外部网络之间存在的 NAT 关系 2 访问规则 访问规则 1 防火墙系统策略 在安装 ISA Server 2004 服务器时 会创建默认的系统策略 系统策略允许 ISA Server 2004 服务器访问它连接到的网络的特定服务 在防火墙策略上点击右键 指向 查看 然后点击 显示系统策 略规则 或者点击图标栏上最右边的快捷图标 右边出现了系统策略 如下图所示 标注的地方表明 ISA Sevrer 2004 服务器可以像任何网络 发起 DNS 请求 注意注意 所有系统策略类别都是在安装 ISA 服务器时默认启用的 我们建议你根据自己的需求来禁用 不需要的系统策略类别 2 访问策略 现在我们需要建立一条访问策略以允许内部网络客户访问外部网络 Internet 同时 因为内部 网络客户需要访问 ISA Server 2004 服务器上的 DNS 服务器以解析域名 我们也需要建立一条策略以 允许内部网络客户访问 ISA Server 2004 服务器的 DNS 服务 新建一条允许内部客户访问外部网络的所有服务的访问规则 新建一条允许内部客户访问外部网络的所有服务的访问规则 在防火墙策略上点击右键 指向 新建 然后点击 访问规则 在 新建访问规则向导 的访问规则名称文本框中 输入 Allow all outbound traffic 然后点击 下一步 然后在 规则操作 页 选择 允许 点击 下一步 在协议页 选择 所有出站通讯 点击 下一步 在访问规则源页 点击 添加 在 添加网络实体 对话框 双击 内部 然后点击 关闭 点击 下 一步 在访问规则目标页 点击 添加 在 添加网络实体 对话框 双击 外部 然后点击 关闭 点击 下一步 在用户集页 接受默认的所有用户 点击 下一步 在新建访问规则向导页 回顾你选择的设置 然后点击 完成 新建一条允许内部客户访问新建一条允许内部客户访问 ISA Server 2004 服务器上的服务器上的 DNS 服务的访问规则服务的访问规则 主要步骤和上面一条一样 不同的地方 规则名 Allow internal acces firewall s dns service 协议页选择 所选的协议 然后点击 添加 选择通用协议下的 DNS 访问规则目的为 本地主机 此时 ISA Server 2004 的管理控制台应该如下图所示 点击 应用 以保存修改和更新防火墙策 略 在应用新配置对话框 点击 确定 此时 此时 ISA Server 2004 服务器的初步配置已经完成 内部客户可以访问外部网络的所有服务服务器的初步配置已经完成 内部客户可以访问外部网络的所有服务 也可以访问 也可以访问 ISA Server 2004 服务器上的服务器上的 DNS 服务 服务 注意 只能访问 ISA Server 2004 服务器 上的 DNS 服务 其他的服务都会被禁止 如 ping 等 因为你没有在策略中明确允许这一点 启用缓存启用缓存 启用缓存有两个条件 首先是设置了缓存所用的驱动器 其次是设置缓存规则 1 设置缓存所用的驱动器 在 ISA Server 2004 管理控制台的 缓存 上点击右键 选择 定义缓存驱动器 注意 此时的缓 存上有个向下的红色箭头 表明没有启用缓存 在定义缓存驱动器对话框中 根据你自己的网络带宽及流量进行设置 不过需要注意的是 缓存驱 动器必须采用 NTFS 分区格式 2 设置缓存规则 此时 缓存 上已经没有向下的箭头了 表明已经设置了缓存驱动器 在 缓存 上点击右键 指向 新 建 点击 缓存规则 在 新缓存规则向导 页 输入名称 Cache external content 然后点击 下一步 在缓存规则目 标页 点击添加 选择 外部 点击 下一步 在内容检索页 接受默认的 只有在缓存中存在对象的 点击 下一步 在缓存内容页 接受默认的 如果源和请求头指明要缓存 你可以根据你的需要勾选下面的选项 点击 下一步 在缓存高级配置页 根据你自己的需要进行设置 点击 下一步 在 HTTP 缓存页 接受默认的选项 点击 下一步 在 FTP 缓存页 取消 启用 FTP 缓存 的勾选 你可以根据你的需求进行设置 点击 下一步 在新缓存规则向导页 回顾你的设置 然后点击 完成 点击 应用 以保存修改和更姓防火墙策略 ISA Server 2004 会弹出一个警告提示你 选择 保存 更改 并重启动服务 然后点击 确定 成功后你会在缓存规则栏里面看见新的缓存规则 取消取消 FTP 的只读的只读 最后谈一点 ISA Server 2004 默认是不允许 FTP 上传的 即不能写 FTP 服务器 取消的办法 是 在允许访问 FTP 服务器的规则上 在这儿是 Allow all outbound traffic 上点击右键 然后选择 配置 FTP 在配置 FTP 协议策略对话框中 取消 只读 的勾选 点击确定 最后点击 应用 以保存修改和更新 防火墙策略 增加支持增加支持 LDAP 协议的防火墙策略协议的防火墙策略 1 进入 ISA 管理界面 选择防火墙策略 如下图所示 点击 任务 创建 新的访问 规则 2 输入协议的名称如 LDAP 选择 下一步 3 选择 允许 选择 下一步 4 在此规程应用到下拉菜单中选择 所选的协议 点击 添加 5 在 所有协议 中选择 LDAP 点击 添加 6 LDAP 协议出现在所选协议中 如下图 7 点击 下一步 选择协议应用的范围 点击 添加 8 选择 网络 内部 点击 添加 9 完成增加的规则显示如下图所示 点击 下一步 10 在提示框中定义目标规则 如下图 点击 添加 11 选择 网络 外部 点击 添加 12 在规则目标中完成 外部 的添加 如下图 点击 下一步 13 点击 完成 14 在出现的页面中点击 应用 15 配置修改成功以后点击 确定 16 配置成功修改以后 可以在 防火墙 策略中看到添加的 策略 服务器端对于 LDAP 协议的配置完成 如果客户端只需要完成使用证书登陆操作的 服务器端以上的配置 已经可 以满足要求 客户端还需要参考 关于客户端的安装配置 完成对于客户端的配置 使用 DirectClient 登陆网银系统 2 3 增加支持 协议的防火墙策略增加支持 协议的防火墙策略 2 3 1 增加 协议增加 协议 网络控制消息协议 对于希望在客户端进行证书下载 证书自动更新以及其他如证书恢复等操作功能的用户 还需要增加对于 CMP 协 议的支持 这个协议使用的是 829 端口 在现有的协议中没有 需要自行添加 操作如下 1 在 防火墙策略 中点击 工具箱 2 在用户定义中增加一个新的协议 点击 新建 协议 3 添如自定义协议的名称如 CMP 点击 下一步 4 点击 新建 5 在出现的协议定义 端口范围 从 829 到 829 点 确定 6 点击 下一步 7 点击 下一步 8 点击 完成 9 在出现的界面中点击 应用 10 应用成功后 在用户定义中可以看到刚才定义的 CMP 协议 2 3 2 增加相应的防火墙策略增加相应的防火墙策略 完成了 协议的添加 下面需要添加相应的防火墙策略 1 进入 管理界面 选择防火墙策略 如下图所示 点击 任务 创建新的访 问规则 2 输入增加的防