ISA服务器安装设置使用手册

1、ISA服务器安装设置全集(图文) 2007年06月14日15:44 HYPERLINK t _blank ChinaByteISA SERVER使用指南随着因特网的使用接着扩展，安全和性能也同样面临挑战。在往常仅仅给我们提供了代理服务的软件慢慢的在我们的要求面前越来越显得苍白无力了。如何办?我们选择了查找新的软件以及企业上网的解决方案。从长远来考虑，我们需要的不仅仅是一个代理软件，让企业职工能够通过那个代理访问到不处的世界，让他们感知不处的世界同时尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界，而且还需要世界来了解我们。因此，那个时候那么安全和性能就越来越得到企业和用户的重视了。因此更

2、加一个迫使企业的网管们去查找更好的代理软件的缘故确实是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理服务器不算少，每个代理服务器均使用了一个月以上了，然而都不是特不中意。大致归纳起来l SYSGATE：功能太简单，效率不是专门高，稳定性还能够;l WINGATE：功能适中，速度效率都还不错，稳定性不行;l WINROUTE：功能适中，速度效率差不多上来讲还能够，稳定性也依旧不错;l CCPROXY：速度不错，然而总的来讲总有一些或多或少的毛病;l INTERNET连接共享：功能太简单，效率特不一般，稳定性还能够;依旧讲讲我们单位的大致情况吧。8M专线ADSL接入

3、INTERNET，两台HP服务器，网络中心为100M到桌面，整个企业网络为全交换式网络。企业内部因此科室机器全部需要连接到INTERNET，科室机器大约为200台。机房有4个，机器大约总共为200台左右。我们需要能够随时操纵哪些科室在什么时刻段能够上网，同时能够对这些科室的上网带宽进行操纵。能够随时灵活的操纵机房是否能够上网。能够在企业内部建立若干个WEB和FTP站点，同时通过那个代理服务器公布到INTERNET上，让INTERNET上的朋友对这些个资源进行访问在使用了这些代理之后，我慢慢的开始失望，难道确实没有让我中意的代理服务器吗?最后，在朋友的介绍下我们使用了这款微软公布的代理服务器 I

4、nternet Security and Acceleration Server。首先澄清一点，我绝对不是微软的枪手，而且微软也绝对可不能找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就可不能觉得我在吹嘘什么了。Internet Security and Acceleration(ISA) Server能够讲是原来基于Windows NT 4.0的MS PROXY的一个升级版本吧。它在前一版的基础上修补了许多安全性及缓存上的缺陷，提供了更快速、更安全、更直观易于治理的系统。并整合了企业级的防火墙系统及高性能的缓存机制也确实是讲，这款软件不仅仅再是一个代理软件了，它还充当了一

5、个“防火墙”的功效。ISA Server同意被安装成Cache mode(缓存模式)、Firewall mode(防火墙模式)、Integrate mode(集成模式)三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时，也要对公司内部的主机进行相应的爱护的话，那么Firewall或Integrate模式正是您所需要的。但在专门多企业没有任何相关的Internet主机或外部差不多有防火墙，而他们知识希望能加快网络间流量传递速度，则采纳Cache模式是最理想的一种方案了。那么ISA能够提供给大伙儿一些什么服务呢?多层防火墙安全防火墙能够通过各种方法增强安全性，包括数据包筛选

6、、电路层筛选和应用程序筛选。高级的企业防火墙，如 ISA Server 所提供的那一种，综合了所有这三种方法，在多个网络层提供爱护，为企业提供最低的投入的基础上最高的回报。状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，ISA Server 检查在 IP 消息头中指明的通信来源和目标，以及在标识所采纳的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。动态数据包筛选器能够使窗口的打开只响应用户的请求，同时打开端口的持续时刻恰好满足该请求的需要，从而减少与打开端口相关的攻击。ISA Server 能够动态地确定，哪些数据包能够传送到内部网络的电路层和应用程序层

7、服务。治理员能够配置访问策略规则，以便只在同意的情况下自动打开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的安全性，使问题较少发生。集成的入侵检测ISA Server利用一家名为 Internet Security Systems 的公司所提供的技术，提供关心治理员识不诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。同时ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识不此类攻击的集成入侵检测机制。当识不出这种攻击时，警报还能同时指出 ISA Server 应

8、采取什么行动，这些行动可包括向系统治理员发送电子邮件或寻呼，停止 Firewall 服务，写入到系统事件日志，或运行任何程序或脚本。高性能 Web 缓存ISA Server 对 Web 缓存进行了完全的重新设计，使它能够将缓存放入 RAM 中我明白现在专门多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性，并提供了更快的 Web 客户机总体响应时刻。这关于企业内部来讲尤其重要，因为职员需要快速访问 Web 内容，而企业也需要适当的节约网络带宽。这种高速的Web缓存正能够满足您的这种需要。缓存阵列路由协议ISA Server 使用了缓存

9、阵列路由协议(Cache Array Routing Protocol，CARP)。因此您能够通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。活动缓存通过一个叫做活动缓存的功能，可配置 ISA Server 使其自动更新缓存中的对象。使用这种功能，ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。统一治理ISA Server 利用基于 Windows 2000 的安全性，Active Directory 服务、VPN 和 Microsoft 治理操纵台(MMC，Microsoft Man

10、agement Console)。所有这些功能，特不是 MMC，会使得治理更容易，因为操作人员熟悉它，并可从一个操纵台同时治理防火墙和 Web 缓存。企业策略和访问操纵ISA Server 还支持创建企业级和本地阵列策略，用于集中实施或本地实施。ISA Server 可作为独立服务器安装或作为阵列成员安装。为便于治理，各个阵列成员都使用相同的配置。对阵列配置进行修改时，阵列中的所有 ISA Server 计算机也都将得到修改，包括所有访问和缓存策略。好了，讲了这么多了，也许大伙儿都还不是专门明白或者正在怀疑是否那个ISA Server能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安

11、装以及调试还有配置过程吧。ISA安装入门篇 在实验中，我们使用的是企业版的ISA2000 Server，而开始因此是要进行安装ISA了哦!在那个地点我们选择“Install ISA Server”。 在那个地点，会要求你输入10位的数字“CD Key”，请大伙儿输入了之后点击“OK”确认。然后进入下一步。 面对M$的授权信息你除了点击“I Agree”之外还能做些其他什么吗?至于内容嘛依旧那些老一套，看不看我觉得都无所谓了。 在那个地点，程序会提示请你选择安装的路径以及安装的方式，在那个地点，我选择的是“Full Installation”，因为即使是完全安装也只需要花费24.5M的空间，而且

12、安装速度也是特不的快。因此我依旧推举大伙儿使用完全安装吧。 假如您的计算机没有成为域操纵器而是一个独立的服务器的话，那么ISA到那个地点会向您发出一个警告。假如您不想配置ISA Server阵列的话，那么您能够不用理会那个警告，直接“Yes”过去就能够了。 我们前边讲过的ISA的三种工作模式在那个地点就要做一个选择了!我选择的是集成模式“Integrated mode”。 在那个地点，假如您差不多安装IIS的话，那么ISA到那个地点会提醒你，它会立即关闭掉IIS所使用的80端口。因为ISA会对80端口进行独占使用，而这也是基于安全考虑。大伙儿都明白，一个成功的黑客只需要一个80端口就能够对您的

13、硬盘完成格式化的操作这绝对不是骇人听闻了，是确实哦。因此，假如您非要在这台机器做WEB服务的话，那么就只要委屈你使用其他的端口了，然而必须注意的是不能占用80和8080端口。因为80和8080端口都让ISA强行占用了。在那个地点依旧OK吧，不要老是念叨你的WEB服务了，后边我们有几乎完美的解决方案的。 在那个地点选择CACHE存放的磁盘以及CACHE的容量。现在差不多差不多上宽带网络时代了，因此我建议不要把CACHE设得太了，依照实际使用的情况，在合理分配带宽的前提下，尽量的使用网络资源不是专门好吗?我们那个地点设置的为100M。 到了那个地点，ISA会请您设置一个本地的IP范围。我们那个地点

14、是划分的一个B类的子网，因此，在那个地点我们的IP范围为55。假如是一般的中小型网络，采纳做掩码，用192.168.0.X作为IP地址的话，那么那个地点请你按照您本地网络的情况加上那个IP段就能够了。然后“OK”进行下一步。 等待系统复制必要的程序文件。 到了那个地点，您的ISA就差不多差不多安装完了，剩下的确实是配置方面的情况了。在那个地点，系统会提示您是否需要进行“向导化配置”。建议大伙儿不要使用那个向导，因为实际上我们全然就用不到其中的一些功能。那个地点取消掉“Start ISA Sserver Getting Started Wizard”前边的小勾，然后电击“OK”。 恭喜您，您的I

15、SA Server差不多安装成功了。 我们现在打开“开始”“程序”“Microsoft ISA Server”“ISA Management”。 大伙儿在治理窗口中选中“服务器名称(BLUEWOLF)”标签下的“Monitoring”标签，然后选中“Services”那个标签，在右边会出现三个服务内容，由于我安装的是“集成模式”因此在那个地点有三个服务，他们三个服务最好都能够正常的启动起来，如此你才能使用ISA的所有功能。假如其中有功能不能正常启动的话，那么就讲明这次的ISA需要重新安装了。假如出现了上述问题，请卸载掉ISA，然后检查是否有一些服务占用了系统某些ISA必须要使用的资源，还有停掉

16、一些可不能用到的服务，然后再安装ISA吧。这种不能启动服务的缘故你能够查看日志或者是通过经验来进行推断。一般差不多上因为软件冲突才会发生这些情况的。共2页。好了，假如服务都启动了的话，现在我们就来对那个ISA进行最基础的设置吧。首先保证客户端能够正常的上网，然后我们再进行其他的限制之类的工作吧。默认的，ISA是一个软件防火墙，不同意任何的数据通过它。那么我们现在先要使ISA同意内部的所有申请都能够通过它，如此内部才能访问到INTERNET上的资源嘛。 请大伙儿展开“Access Policy”标签，然后选中里边的“Protocol Rules”点击鼠标右键，然后选择“新建”“Rule”。接着就

17、跟我一步一步进行设置吧。 那个地点填写的是那个协议规则的名称，用户能够依照自己的需要和喜好自行设置。我那个地点设置的为“Alow To Internet”。 那个地点是请你选择那个协议规则的处理方法，那个地点有两个选择项目“Allow”和“Deny”，也确实是同意通过以及禁止通过。在那个地点我们是希望LAN内的机器同意通过那个地点访问外部，因此那个地点我们选择“Allow”。 在那个地点是让你选择这条规则对那些IP生效，在那个地点，我们先不进行限制，等以后了再进行修改也能够。那个地点我们选择“All IP traffic”同意所有IP通过。 那个地点是选择协议规则生效的时刻段的。在那个地点您能

18、够依照您的需要对协议生效的日期和时刻段进行设置。比如讲，你想周1至周5的上班时刻同意那个规则生效而周末是全天开放，这些都能够在那个地点进行设置，特不的灵活。然而那个地点一个下拉只有让您临时选择一下，然后等后边了我们再进行详细的修改吧。那个地点我们选择了“Always”。 那个地点是对同意通过的客户端进行授权的，您在那个地点能够设置同意哪些客户端通过那个地点，我们那个地点先不做限制，等后边定义了组之后再进行设置修改吧。 OK!那个协议规则差不多都配置完成了。点击“完成”吧。好了，那个规则配置完成了也就意味着那个时候我们能够通过那个ISA代理上网了。我们现在找一个客户端，打开IE，然后在IE的“工

19、具”“Internet选项”“连接”标签“局域网设置”按钮“代理服务器”里边把这台ISA的内部LAN IP地址填写到里面去，然后端口填写8080，然后确认，保存设置。那个时候，客户端就能够对INTERNET进行访问了因此ISA要差不多连在了INTERNET上了哦!至于其他的服务，我建议大伙儿安装一个ISA的客户端软件。那个客户端在你安装完了ISA Server之后，就能够在你安装的目录中找到一个共享出来了的目录，你能够把那个目录复制下来，然后到其他机器上安装上，你就能够享受所有的服务了。然而还有一个问题，那确实是QQ上不了线啊!对那个问题必须讲清晰。因为QQ是正宗的“中国造”因此，ISA可不能

20、专门为QQ打开一个协议规则。那个协议规则还需要我们自己来添加。通过我们3天时刻的研究，终于把QQ的发送和同意端口搞清晰了。下边请大伙儿跟着我们做就能够了。 现在我们来定义一个端口号，以便让QQ的数据能够顺利的出去和进来。我们先展开“Policy Elements”那个标签，然后选中“Protocol Definitions”标签，同时在上边单击鼠标右键，然后选择“新建”“Definition”。 在那个地点选择那个定义名称，我在那个地点取的名称叫做“Tencent QQ”。 下一步了之后确实是定义端口号和使用协议了!在那个地点，QQ相关于ISA来讲需要发送一个数据到服务器的8000端口，而且Q

21、Q使用的是UDP协议，因此我们在那个地点就按照图示进行设置。然后下一步。 在那个地点的设置略微复杂一点。我们明白，QQ默认客户端是使用的4000端口，而增加一个QQ端口就加1。而相关于QQ的客户端来讲确实是同意消息了，因此依旧使用的是UDP协议。设定好了之后，请点击“OK”同时“下一步”确定。 OK了，QQ的定义那个地点也完成了。现在快去试试吧，保证QQ能够上线了哦，而且你全然就感受不到有什么延迟，和本机拨号几乎一模一样，绝对能够体现速度!ISA安装配置进阶篇通过IP限制上网客户端我们前边的“Protocol Rul”里边设置的是同意所有的客户端通过那个ISA连接到外部的INTERNET上去。然而现在我想要对那个客户端进行分类，然后在不同时刻内进行操纵哪些IP能够上网，哪些IP不能上网。如此的话，需要如何做呢?大伙儿依旧跟我一步一步的来吧。 首先我们要定义组。我们展开“Policy Elements”那个标签，然后选中“Client Address Sets”那个标签，在上边单击鼠标右键，选择“新建”“Set”。 然后在“Name”一栏中填写进一个组名的标识。下边的描述能够不用写。然后下边的IP地址范围你就能够按照实际需要进行添加了。我那个地点举例是用的我们307机房作为例子。我那个地点的IP地址范围为0。添加