新手该如何学ISA

新手学ISA（一）小白是一家公司的网管，每天的工作就是维护一下公司的网站，工作十分轻松，惬意。

最近，小白公司的老板对员工们在工作时间聊QQ，看在线电影等行为十分不满，要求小白尽快解决此事。否则，这个月的薪水就………。

但是，小白对此道一窍不通，于是，小白找到了同样是做企业网管的师兄兼死党，老黑。老黑，从大学时代起，就是小白的死党，比小白高一届。!X$b)~8Y,`(N(l

听完小白的叙述，老黑说：“这好办，我给你出个主意，让员工们使用代理服务器上网，就可以限制他们。”(h#@!^9H!H(X

小白：“代理服务器？”0q6d8w,U#s

老黑：“对！像我这里一样，做成这样就OK了！”

原来老黑在公司的内网里架了一台代理服务器，所有的员工都要通过这台代理上网，老总是特权，不用代理上网。)Q-u)R(F&J!V

小白很不解，问道：“用代理上网速度不是会慢的么？同事们没有向你抱怨吗？”8|8R.[)L-F6S*L

老黑哈哈一笑，对小白说“我用的是ISA，有缓存功能，不怕的。”$t$F$]![;R1P9n$H:U

小白：“ISA？什么软件？我怎么从来没听过？”

老黑：“听我慢慢道来。。。。。。”%W$d;G3[&h*m7E"T

老黑点起一支烟：“ISAServer,是微软出品的一款网络防火墙，具有防火墙和代理服务器的功能，而且具有web缓存，也就是说，可以对内部网络的web页面的访问请求缓存下来，备用。举个例子，公司里有200台客户端，都通过ISA上网，当其中一台客户端访问/china这个web页面的时候，ISA就会把这个页面缓存下来。当然另外的客户端访问的时候，ISA不会去网络下重新下载这个页面，而是直接从缓存里将这个页面取出，发送给客户端，从而实现加速web的访问。利用ISA的深度防护功能，可以彻底解决掉P2P软件，例如QQ等，而且，还可以避免网页挂木马对内网的影响。你还可以决定那些文件不可以被下载，例如，.rm

.rmvb等，这样就可以解决掉在线看电影的问题。”

小白说：“我发现有的同事去土豆网这类的网站看在线视频，能封吗？”5O.T)G

?&\6s

老黑说：“能，当然能。”5O5C2D&J7s9W0V

小白说：“那好，我也弄个ISA试试，看看行不行，不过，我不会弄，你要教我。”1f,]*f.a:E6v(H:L)F$I+L6T-O

老黑说：“你先回去，找到机子，我下了班过去教你。”0c's5x&g*c/l.]&^$S

小白：“好！”0Y(Y)Y1l;^:}8I8c

小白从微软官方网站上下载了ISA2004的120天的试用版。下载完后，心里还是不踏实，怕这个月的薪水被老板…………

老黑下班后找到小白，开始一步一步教小白使用ISA

首先是安装ISA，根据向导一步一步来就可以了

（ISA2004安装向导）$l!C*h&@3y(w,}

点击“安装ISAServer2004”9[,X,{&a-n0a)I$P;s.|

W

2W4a.j%x/C!C"o9M'B

点击“下一步”1s*y5r2@1x'_,z;}

这里要根据你的实际情况选择，建议新手们选择完全安装。（安装ISA的分区必须为NTFS格式，否则，将有一些功能是不可以直接使用的。例如防火墙客户端共享安装.这里根据自己的实际情况选择就可以了。）;H*Q0b5h+E*y

这时，就需要你输入你内网的ＩＰ地址范围了，点击添加按钮9L$["t"u2x%c

"d:}:I:d9{9f;d&L:E9F

这时，你可以自己添加你的内网的ＩＰ地址，如果你的服务器有多块网卡的话，建议你使用选择网卡来添加

2q-`&~:H

{9^)S7d.S

根据你的实际情况选择就可以了:h#[0|;v9w#})Q1`

#K%C"y

c't$O6d:F.J

选择完后，加到这个画面上，点击确定

点击下一步

"]:@*G!x*Y

y(@

这里需要注意的是，如果你使用的客户端是防火墙客户，而且，客户端的安装程序是ISA2000的客户端的话，一定要把“允许运行早期版本的防火墙客户端软件的计算机连接”这项选中。然后点击下一步

点击下一步,h/C)N:a+_)^,k!@;E9E:J

点击安装

这时，你就可以喝杯茶，或者，点支烟，等待安装完成了。(h*f9Q!d,W4@0D

安装完成之后，运行“ISA服务器管理器”，打开ISA。

小白问老黑：“怎么实现你说的那些功能啊？封ＱＱ，在线电影网站？”

老黑说：“先别急，你现在需要了解一下ISA,我先给你讲几个重要的概念。”

0M,R2a4u:W7c

（ISA界面）$D2B"_*M1i,N0E

这就是ISA的界面（这是我以前一篇贴子的图片，偷下懒，大家表向我扔鸡蛋）。,m8B4X1]%R(o*E"i-e

说着，老黑调出来系统策略（方法：查看－显示系统策略）

0_%Y+f2S!s

老黑对小白说：“先让你认识一下ISA.你先要了解一下，什么是内部，外部，本地主机，及工具箱中所有的元素。”.O8[.i7~&R9f5}"l+v

说着，老黑打开了工具箱（见ISA界面那张图片右侧的工具箱）中的网络，见下图

,T;G&W;f$q#f5M)w-q6o

这是最基本的，也是比较重要的。-Y#}3f#S3]4M$\3K*n

我先讲讲内部，你还记得刚刚在安装的时候让咱们输入的ＩＰ地址范围吗？那些ＩＰ地址范围就由内部表示2X

K0r9_8v&c)a3R

外部：除了内部都叫外部$L.o9b$M1~._4q

I0g

本地主机：在ISA2004中，ISA2004把自己也当成一个网络来看待，有时候，配置好ISA后，发现ISA自己打不开网页，但是，别人可以通过ISA来上网，就是因为配置外网访问策略中没有将本地主机加上的原因。%u0`8X&@1y2j#l

还有内容类型

7G/N8V*I7l&r

这些都是你以后要用到的。比如说不允许.rmvb.rm等这类视频文件的下载，都要用到内容类型。

小白：“那其他的呢，比如什么工具箱这里面的协议啊，URL集啊等等这些呢？都代表什么？都有什么作用？”

老黑嘿嘿一笑，道：“今天先到这吧，明天再接着告诉你，我刚泡上一ＭＭ，刚刚打电话来，约我出去吃饭，明天吧。”

说完，起身就要走，小白无奈的看着老黑。老黑走后，小白看着眼前的ISA，只觉得十分难懂，什么内部，外部，本地主机等等这类的东西（就本地主机这一个小白能理解）。3[(D*z6})@'L

这时候，小白看了看，这台机器上就装了ISA,别的什么也没装，于是，拿出一张光盘，装上了瑞星杀毒软件。边装边想，这个老黑，还高手呢，连个杀毒都不装。我给装上吧，省得中毒。这张盘还是从老总那里弄来的呢（老总自己用一套瑞星，因为怕升不了级所以就没让别人用。小白私自刻了一张，并记下了序列号和用户ＩＤ，看着这张光盘，小白那个美啊）。装完了以后，小白看看了表，已经有点晚了，所以就关了机器，回家了。

第二天刚上班，因为没什么事，小白就打开那台装了ISA的机器，准备自己先熟悉一下。

进系统后，小白打开ISA，回想着昨天老黑讲的东东，正在自己摸索着配置的时候，那台机器突然蓝屏了，小白当时就愣了，无奈，小白把机器重启了。谁知，这次更郁闷，刚刚重启完，还没进桌面呢，又蓝了。小白以为系统坏了，想到这个机器的系统已经是好久没重装过了，遂重装系统。:?(V-D1z*?

W&~0L,_$m

重装完系统已经是一个多小时过去了，小白回想着昨天老黑装ISA的步骤，自己装上了ISA。还美滋滋地想，这东西我也回装了。装完ISA后，已经差不多快要下班了，小白想，趁着还有点时间，给系统打打补丁，可是发现，怎么也不开Update的网站，甚至连网也上不去。小白突然想起，老黑昨天讲的，可能是还没配置策略呢，就没管。

既然打不了补丁就装杀毒软件吧，小白又装上了瑞星。装完瑞星，就去吃中午饭了。#P!V&|#E)V2l

吃完饭回来后，发现那台机器又蓝屏了，小白当时就傻了，怎么回事？二话没说，马上给老黑打电话，老黑听后哈哈一笑，说，下班我过去再说吧。小白无奈的挂上了电话。

小白只有等着。老黑来了以后，看了看，说这简单，先重启了那台机器，然后进入系统后，什么也没做，直接卸载了瑞星，然后对小白说：“没事了，不信你看着！”

小白半信半疑的看着老黑。老黑说，兄弟，对不起，今天不能教你了，今天我是人约黄昏后，如此良辰美景我可不能错过。哈哈，我先走了。你先测试着你的这台机器吧。说着一溜烟的跑了。

第二天，小白把那台机器开了一天，也没蓝屏。小白百思不得其解，决定等老黑来了问问老黑。

这天下班，老黑如约来到小白公司，小白问：“为什么现在我这台机器不蓝屏了？”0Z0Q-~"Z-_3@;I

老黑说：“据我的经验，瑞星只适用于ISA2000,ISA2004么，不知道那里有冲突，会导致蓝屏和死机。据瑞星的工程师讲，在设备管理器里停用一个隐藏设备就没事了，什么什么basetdi，但是我停用了，瑞星就不稳定了。所以，我不推荐ISA2004同时使用。”

小白：“原来如此啊！”/N(r(P;v1}(f'H

小白：“可以继续教我了吧？今天你能不能给我讲点具体的？”

老黑：“你想听什么，问吧。”&J2b2m-F;e

O9R:y3b-s

小白说：“你给我讲讲内部，外部，本地主机这些吧，从这里讲起，然后一项一项来。”

老黑：“好。”

在ISA2004中，内部代表的是受ISA保护的网络，还记得你安装的时候，让你输入的一个ＩＰ地址范围吗？当时咱们是选择的网卡？那时候就是确定要受ISA保护的网络，你可以这么理解，需要接受ISA管理和保护的网络就是你的内部网络。

外部网络一般情况下指的是公网，也就是通常说的Internet。也可以理解为，除了内部以外都叫外部。0G;@!Y%E6k4M.p

另外，还有一个，叫外围。注意，是外围，不是外部。这两者的差别是，外围网络一般指的是DMZ区。DMZ区：非军事化区，这是一个从军事上演化来的词。你可以这么理解，在你管理的网络中，有一个区域（一般指的是网段），既可以在内网访问，又可以从Internet上访问到的地方，就叫DMZ区。一般情况下，在ISA中，习惯上把这个网段称为外围。

老黑：“不知道你能明白不？”

小白：“原来是这样啊。明白了！”

“那内容类型指的是一些什么东东呢？”/C6r$i.g6z,W&s;P2H

所谓的内容类型，说白了，其实就是文件的扩展名。你看，开这内容类型，咱们选择“文本”这一项，然后双击，在弹出的对话框中,^,[0p+a!?8z.y"E

选择内容类型标签，你就会看到，里面列出的全是文件的扩展名。同样，咱们再看一下文档，见图3`!v/r4e$B3c1],N0g2K:O

“列表里也全是一些文件的扩展名，这就是所谓的内容类型。其实，ISA之所以可以控制那些文件不被下载，就靠的是这些内容类型进行检查。当然啦，这需要你在策略中进行限制。”"k0T;B4W4B;t

s

“那这里面要是没有我想要的文件扩展名怎么办？”3Q1]2L1g5d/u'c&q

“你可以自己添加啊。”看这个对话框，就拿文档来说吧，里面没有word文档的扩展名，你可以在可用类型下面的那个文本框里输入3l.k3T7C.j.N0N

.doc，然后点后面的那个添加按钮，然后点确定，然后再点应用就可以把5m"C&e$x7y2p-Z8E0\

.doc这种扩展名的文档添加进来，这样，你以后就可以限定

.doc可不可以被下载了。

F.@.e,^;g5x:q

G;B:a2J

“哦，是这样啊。那我可不可以添加其他类型的扩展名呢？”

b3K'H;D/q6D$J*F

“当然可以了，ISA虽然自带了很多的扩展名，但是，也不是很全，有些是需要自己添加的。例如：.rar.swf.rmvb,.rm.wmv.wma等等吧，这些你都可以添加进来。然后在策略中过滤掉你想过滤掉的文件名”2l,N/C'U;I%l;Y4m$H

“这功能不错。这样一来，我就可以自己看在线电影，去土豆网看视频，让人看不了。我可以给前台的那漂亮ＭＭ打开这些，到时候就……哈哈。”小白一阵奸笑。*W:F4z!d0m6t7I3o4Y

…老黑无语中。

等小白的泡妞梦醒后，老黑说：“梦醒了吧，赶紧吃饭去吧，明天教你划分网络等进一步的操作，以便于你将来做防火墙策略。”$I)G5R/I'D"H0|3B9r0\

小白这才从刚刚的泡妞梦中醒来，回到现实中来。

小白和老黑在小白公司门口的一家小饭馆狼吞虎咽一顿后，各自散去。,o2E1p-U,b+c$[

星期六下午

!])L/N.h'Q+k6P

老黑和小白来到小白的公司。:Y*_9M:T!^9X

老黑：“小白，今天下午咱们来划分网络。”2K1H%~+C;B5{:V(O#U

小白：“划分网络？”

0Q

D,t'W7q.{2@)t1n2}

“是啊，确切地说是划分一下IP地址。比如，那些地址属于财务部，那些地址属于业务部啊等等这类的。先叫我看看你公司的IP地址是怎么分配的。”,L/A:n6{#e-X+@9{4D2V

小白从自己的电脑上打开了一个Excel文档，里面的IP是这么分配的：'S7p:v6I&e

192.168.14192.168.244192.168.444业务部

8业务部主管

9-4.o7F/c)Q0J3[

行政部

8行政部主管(L7J,P$@)n-E/`1m'Y"^3~

6-8#k'P,C'A!m:~-T

前台-Z-}/i!n0n%}$p-V

9-8/K)^!_-_4c8n6j$\5v3f2?

财务部

192.168.188小白自己用&h(}3N.U3V(Z/I*n-c#Z+R3B.X

48公司内部交换文件用的FTP+V4`:Y"?;Z9c0H

49公司财务部（财务软件的一台服务器）

50财务部主管

8老总

8老总秘书

ISA-}(n6|7G'p8K

老黑看了一咧嘴：“这么分散，又不连贯。”

“怎么，有什么问题吗？”,H:?2h)['D

“没，没什么问题？”

老黑打开ISA，然后在工具箱的网络对象

g0L*L;R0?9V%k1g.`

看这里，网络对象里不是有网络集，计算机，地址范围，子网，域名集，URL集，计算机集这些吗？

计算机集：简单点说，就是你一个部门，或者是说同一类的电脑的集合，比如说，你公司的业务部，由于IP地址不连贯，就可以把业务部所有电脑的IP地址添加到计算机集里来。(D,c.\*b.F,n*W6C8g8`

计算机：这指的就是单独的一台电脑，比如说，你公司的老总，你可以把老总电脑的IP地址添加到这里来

地址范围：这里的地址指的是IP地址，比如说，你公司的前台用的那三台电脑的IP地址不是6-8吗？你可以把这段IP添加到地址范围当中去。像这样比较连贯的IP地址，用地址范围比较合适%|+}$_!h*y)y([

根据你的实际情况，将这些部门的电脑的IP地址分别添加到不同的类型里面。比如，同一个部门的，比如业务部计算机可以添加到计算机集里面，那些像老总IP地址，可以单独添到计算机里面。也可以把每台计算机都添加到计算机里这样，就可以达到精确控制使用这些IP地址的电脑能否上网了。

小白：“为什么不直接用内部呢？干什么非要添加这些东东呢，好麻烦。”6o$W/g5h"j4i&I

老黑：“不是不可以用内部那个，如果用那个的话，所有部门的人都可以上网，而根据你的要求，有的人只能打开网页，有的人既能打开网页，又要能上QQ等等吧，如果用了内部，那不等于跟现在一样吗？或者，要封QQ都封住了，要不封QQ都封不住了。”$|4D

j,S2i(?&u

小白：“对，对，对，还是你黑山老妖厉害！”

老黑：“……………”8?&?6y9r(B0c5\'S

“那子网，URL集，域名集做什么用呢？”

子网：是用来添加一个内部网络中的一个子网用的。

URL集：所谓的URL，指的就是像，说白了就是你访问某个网站时的网址，作用是用来在策略中限制那些URL不可以访问的。

域名集：指的是像

等等这些，这和URL集是有区别的。另外，域名集可以这么建，*.,*.等。#F2W1C"N0Z4?

小白：“有点不明白。”

老黑：“例如，你现在不想让员工们访问Sinaa,你就可以在策略中限制，*.这个域名不允许访问，如果你只是不想让员工访问Sinna中的游戏栏目，那么就需要用URL集进行限制了。你可以设定，/*不可以访问就可以了。”

“明白了，限制域名是整个网站都不可以用，而限制URL只是特定的URL不可以访问，对吧。你为什么要在后面另那个/*呢？”5a6\5_9k8k*o"Y$_#U;?"Z

“如果不加/*,那么/z/.../index.html就可以访问了，明白了吧。”

“哦，我明白了，明白了。看来ISA挺牛的啊。”*E1]#T"e"H.e

“是啊，这些Ccproxy,Wingate等同类软件无法做的。”&t+]$P!t(`

小白：“哦，那怎么添加呢？”2y

D!z.B7C6x

“别着急啊，我先给你做一下演示，我分别添加一个计算机集和一个计算机，让你看一下。剩下的，你就自己完成，OK？”

I#U'j,A-M

^$V,[*q

“OK！”+B

G7y"Q3l-X.J3I(S([4?3m

我先把业务部的计算机集给你建起来'}"H6I#?(S

w2]!p)r

在网络对象中的计算机集上右击，选择新建计算机集，然后在弹出的对话框中，先输入名称，最好是部门的名称，然后点击添加按钮，这里需要注意的是，有三个选项，“计算机，地址范围，子网”，这三个选项仅在这个计算机集中显示，不会在网络对象中的计算机，地址范围，子网中显示。也就是说，仅仅在你建立的这个名称为业务部的计算机集中显示，不会在其他地方显示。请大家注意。2@,^1L9\)A7z!V)]

老黑将业务部的几个IP依次添加进来。

“这样，计算机集就建好了，名称叫业务部。这就代表业务部所有的电脑。”

“明白。”

“我再给你显示一下怎么建立计算机。我建立一个代表你老总的计算机。”

在网络对象中的计算机上右击，选择新建计算机+p'd3k*f"O7U1[

2_:A'D#P#q3m,v&R

$J'v,u%j6P,l

在弹出的对话框中，在名称处输入老总，然后在下面的计算机IP地址（I）处，输入老总使用的那台电脑的IP地址，然后点击确定即可。

“怎么样，简单吧。”'z9D$`!o.T"P

“恩，简单。问你个问题，刚刚在建计算机集时不是也可以添加计算机吗？和这里有区别吗？”2T2s)o'B'Y4f$u&T6a:D+z.j4t

“有啊，当然有。新建计算机集时，在那里添加的计算机，起作用的范围，或者说是只显示在你建的那个计算机集里，而不会在网络对象－计算机这个地方显示出来的。虽然名称一样，但是，作用不一样。”

“明白了！”

“剩下的，你自己来吧，你熟悉一下，顺便我也休息会。”

“好。把这些弄完是不是就可以建立访问控制策略了？”

A#G(]+?6f-q*M

V

}

“访问控制策略？你先把这些弄完再说吧。OK？我先抽根烟，喝杯茶。”

几分钟后，小白已经把所有的电脑的IP地址根据情况分别添加到计算机集和计算机中。"Q1_2|/s+~6@

r

老黑看了以后，说道：“前期的工作已经差不多了，现在你要想想，那些网站不允许他们访问，还有，那些内容类型，也就是那些扩展名的文件不允许下载，除了封堵QQ，需不需要封堵其他的一些软件？还有，检查一下你ISA那台机器的硬盘分区的分区格式是不是NTFS？把这些提前弄好，然后我们就可以开始建立策略了。

“为什么硬盘分区格式需要是NTFS？”小白问道

老黑：“因为要建立缓存用。”

“缓存？作什么用？”小白不解的问道。1c5d4G

f&~4x$|5H“ISAServer不是叫做因特网安全与加速服务器吗？I代表InternetS代表Security安全，A代表Acceleration加速，缓存就起一个加速的作用。不是真正意义上的加速，是变向加速。”

“变向加速？”

“对，举个例子，公司里有200台客户端，都通过ISA上网，当其中一台客户端访问/china这个web页面的时候，ISA就会把这个页面缓存下来。当然另外的客户端访问的时候，ISA不会去网络上重新下载这个页面，而是直接从缓存里将这个页面取出，发送给客户端，从而实现加速web的访问。”/`$x8p(f!O3T

“这些功能是KWF（KerioWinrouteFirewall）等同类软件所不具备的。好了，一会再说这些，咱们先来建策略。”

在ISA主界面的防火墙策略处右击，选择新建，然后选择访问规则...&Y(E&]&e#X7],O!j.T!|7U!U

)_:{$^%M&z"i#J7O7H

9E,]2T0`7y#{3i

在访问规则名称处输入名称，当然啦，名称是由你自己定的，这里，我输入Internet,然后点击下一步。

6n2N"K0T6x!q

D2i

选择“允许”，当然这里也可以选择拒绝，不过，拒绝的用法，后面我们会讲，然后点击下一步4_&z;D-B+c;k

c

3I&R3b9S9|%L*Z

在这里，我们先选择FTP,HTTP,HTTPS，（一般情况下不推荐选择所有出站通讯），然后点击下一步*F-i&O:Z(k!U&B;b

5b#V9d7|+z!@-B(X;s

T

在这个对话框里将业务部和老总添加进来，方法是点击添加按钮(r%M*n(m5f&I'z

在这个对话框中选择老总，然后点击下面的添加按钮，然后再选择业务部，点击下面的添加按钮，然后点击关闭

回到上一个对话框，点击下一步/p$H;C1q%G!n"`

然后用同样的方法，将外部添加进来，然后点击下一步。5W$v4O/z4W&N'D-^

8Q,M/W

|)W-L4N2Y!\

这里暂时先选择所有用户，因为要实现身份验证的话，是需要把ISA加入到域中的。不在将ISA加入域，因为如果把ISA加入域，如果ISA出问题，会影响到域，同样，域出问题，同样会影响到ISA的。,})U+Q'X'i-?4h

点击下一步

点击完成，然后回到主界面上，再点击主界面上的应用按钮，直到变成下图这样，然后点击确定7y9n(u4Q%o7c1f2~,Y2~"D

-Y(`!S;b

H4\;v9N*C$}

一条访问策略就建好了。建立策略的基本步骤就是这样。

!g$r2A

v+x:B

-@0G7k$@#]1s1`*u5n)X

建立好访问策略后，同样，要建立缓存规则。在主界面上点击配置前面的那个小加号/C-f5I

x6E

'W0x;B

a6x7e7W!a

选择定义缓存驱动器

在弹出的对话框中，可以看到你服务器上所有分区的可用空间，同样，在这里设置，你的ISA的缓存在每个分区上的大小，先在上面选择一个分区，然后在下面最大缓存大小后面的文本框中输入，然后点击设置按钮。记住，缓存必须放在NTFS格式的分区上9O;n(M(U%t)k

然后点击确定或者应用都行。

回到主界面后，点击主界面上的应用按钮，然后会出现这个对话框

一定要选择保存更改，并重启动服务,点击确定

等一会，等出现的对话框中的进度条走完以后，点击确定，回到主界面3I!D4o7L6P,J7k&U)h*b-^4t

在主界面的缓存上右击，选择新建－缓存规则:q!U7T:U2w&g*f

在弹出的对话框中，输入你所建立的缓存规则的名称，这里，我还是输入Internet)S.n9{!X)p&}

1D"q%I+O,g4b

/r"\'t+l'~

(C:C-n&s(q:Z5s

这个名字不一定非要和防火墙策略里的名字一样，是随便取的。

9j'G.h3H!{!f,h

这个对话框是要让你选择，缓存访问那些网络的访问请求.

一般情况下，我们选择外部即可，然后点击下一步。)a2q,G1u;b"W3s

7`,_-\8r3{/D'^

6c$t"]/g+f

接受默认选项，点击下一步

同样，接受默认选项，点击下一步9L.|;d0v(K:H

#C"r&y2O

V#\8W2o

还是继续点击下一步。

9b#k"P-P:Z6x;g;]5V

这里要注意的是，如果你的同事们不经常访问外网的FTP，可以不启用FTP缓存。如果不启用FTP缓存，不选中启用FTP缓存即可。

点击下一步。

然后在此对话框点击完成5D5S6T$k#C#_(L&]

然后还需要建一条缓存规则，见图

这条规则是缓存所有去微软官方网站自动升级的请求的。点击下一步

(m9F"n&@(u;F2o

点击下一步5[(d6O/w,l7s

点击完成即可0G"y/o6G7q

注：没打SP2补丁的ISA2004是没有建立MicrosoftUpdate缓存规则这一功能的。&[9f,K1~)a3C2Z

1|

Y(a8t7S

最后不要忘记点主界面上面的应用按钮。否则，以上所有的设置是不生效的。

到此，缓存驱动器和缓存规则建立起来后，缓存就正式启用了。

（未完，待续）

注：下面那两张图片是说明在做完修改或者配置后在主界面上点用应用按钮后，配置存储的过程的。因为做完修改或者配置后，都需要在主界面上选择应用或者丢弃，而不管修改什么设置，点了主界面上的应用按钮后，其他大致过程是一样的，特在此独立出来说明。/a1\9Y9A:r*X-E:x;Y/V5I$[612.GIF(27.25KB)“弄完这些，ISA服务器就算弄好了吧？”

“只能说是初步完成了，后面需要根据你的实际情况来调整策略即可。”1i'h9C6\3w

“那其他的电脑需要怎么设置才可以通过ISA来上网呢？”0p*R-U

G%C;T

“现在，我就跟你讲一下ISA中的三种客户端，以及这三种不同的客户端的设置方法。”

“好。”

ISA2004中，客户端有三种类型，Snat,Webproxy(WEB代理)，防火墙客户端（FWC）。这三种客户端。2X)N

{#a7Y&_,\2v

“你能具体说说吗？”

Snat客户端的设置是，只要你现在把其他的电脑的默认网和DNS设置成ISA服务器的内网卡即可。同时，这样的话，就要在ISA服务器上，将内部DNS服务器建起来。

(w0r.^+z;z-l在此把DNS服务器安装在ISAServer同一台计算机上）打开控制面板下的添加/删除程序，点击添加/删除Windows组件，在Windows

组件向导中双击网络服务，勾选域名系统（DNS），点击”确定”，再点击”下一步”，安装过!~0L,C&o5M,v8T程中可能需要你插入WindowsServer2003的安装光盘。

*b9h%l(^0E.|#q$t

(c&y({%S*N)S'W

跟着向导一步一步将DNS组件装完后，打开DNS管理器（开始－程序－管理工具－DNS）。%s.j!`6f7~1E

这个DNS的设置比较简单，只有几个地方需要注意。见图

)U7C%D)[:^5k,?2e0w

在DNS管理器窗口左侧，在你的服务器名字处右击，选择属性。

:v4I

U*i#M;M(N7e(d

在接口这里，将“只在下列IP地址”选中，将IP地址设置为ISA服务器的IP地址。

在转发器选项这里，将你的ISP的DNS添加进去即可。其他的一概都不用设置。这个DNS服务器只起一个转发DNS请求的作用。

然后，在客户端上进行如下设置，同样，见图

*s:j$p&[1U&a

5o:k:e4^#a2v

将默认网关和DNS全都指向ISA。!X*B5D0J'[5D0g1W内部的DNS服务器，可以不和ISAServer安装在一台计算机上，但操作系统必须是Windows服务器版本。

需要注意的是，SNAT客户端是无法实现身份验证证的。也就是说，ISA服务器控制SNAT客户端对Internet的访问，必须靠IP地址来完成。在域环境下，ISA如果加入了域，ISA就可以通过进行身份验证。换句话说，你可以通过域用户的身份验证机制，来控制那些用户可以访问Internet，但是，这点，SNAT客户端这种类型的客户端无法做到。,|%{;J%X%v!u

Webproxy客户端设置相对于Snat来说，做的工作要少一些。因为，Webproxy客户端，只要在IE中设置一下即可。不需要设置网关和DNS。'R,^/~-C!M2V7j5]

如果你使用WEB代理客户端，设置更为简单。首先要在ISA里设置一下，网络对象的网络中找到内部，然后在内部上右击，选择属性见图

勾选启用Web代理客户端及启用HTTPHTTP8080项。8080是ISA默认的HTTP代理端口。

然后需要在IE的选项里设置一下即可。见图

{-r1l-Z.m'v

点击局域网设置按钮

)u&A.C$a&~!P.v/f5[7e#X"L

将代理服务器根据你的实际情况设置即可。端口处填8080,ISA默认的就是8080,如果你没有改过的话。地址就填ISA的内网卡地址。完成后点击确定。回到上一级窗口后，再点确定即可。

然后你还需要在这里进行一下设置，见图

+h(z!`+W6H#H'[

在这里，将默认网关与DNS留空，也就是不填。即可。

（未完，等续）"T7h)C-A+Y.M-v

注：关于防火墙客户端，会单独开贴子说明。原因是：我要写ISA2000和ISA2004不同的防火墙客户端软件的安装，配置方式。这还要设置到ISA服务器设置的修改。所以，我选择另开贴子说明。请大家谅解.那防火墙客户端怎么弄呢？”2D"y"v+a*},X

防火墙客户端在安装之前，要和Webproxy客户端一样，需要设置一下这里，见图

4T"X%@5I+F)Z+k

同样要将默认网关和DNS处留空不填。然后在此台电脑上安装ISA的客户端程序即可

如果你使用的是ISA2000的客户端，ISA2004也可以兼容它。但是，需要在这里设置一下。见图

Z)u1J

}*f&K

如果你使用ISA2000的客户端，在安装的时候就要把上图的那个“允许运行早期版本的防火墙客户端软件的计算机连接”此项选中。如果你安装ISA2004时没选中，那就要在这里设置一下，同样可以。（本文采用ISA2004的客户端）见图

在ISA主界面左侧点击配置，然后再选择常规，然后主界面右侧的会有“防火墙客端设置”这一项，单击一下，即可打开这个对话框。"y;L)x)q)K!d

如果你用的是ISA2004的客户端，则不用设置。

那么，ISA2004的客户端怎么得到呢？如果你在安装ISA2004的时候9}2b9x5E:y)O

选择了上图中的防火墙客户端安装共享的话，你可以在你的ISA的安装目录下找到它。见图9T"g4n"r!H+F*A

&m3k,u:r5r

h;y

首先是在你的ISA的安装目录下，你会发现一个名为“clients”的共享文件夹，如果你没有启用共享客户端安装，这个文件夹是不会共享的。

如果你打算使用防火墙客户端的话，还需要在ISA里进行一下设置，见图

%Q$O+t"i+R(b3q

首先，在网络对象的网络中找到内部，然后在内部上右击，选择属性

在打开的对话框中，选中启用此网络的防火墙客户端支持

在防火墙客户端配置这一项中，需要你输入ISA服务器的计算机名或者是IP地址，根据你的情况填上去就可以了。如果你的ISA服务器在安装操作系统的时候没有改过名字的话，会是一串长的字符，而且无规则，那么，这个时候，你就填写IP地址就可以了。如果ISA服务器在安装操作系统完成后，像我一样，改了计算机名的话，建立填写计算机名。或者，你的内网用的是DHCP的方式来获取IP地址的话，则此处必须填写ISA服务器的计算机名。:i%E;x&l*~2g)V0Y

填好ISA计算机名或者IP地址后，依次勾选所有的选项。

然后，选择自动发现选项卡，见图

+a,N3R+f/d3A7y)B

0s

E'f(^6t.z

I2w

勾远自动发现信息，端口号一般情况下，默认的就是80.不做修改。4z'V.B%U9K#C0f-~

点击确定，退出这个对话框。返回到ISA主界面上。然后点击主界面上的应用按钮。即可。

这是在ISA服务器上需要做的一些设置。#W"l:]&M/q7y.i4y

获得客户端后，就可以到其他需要ISA管理的计算机上去安装了。安装过程见图（ISA2004客户端）#t&z*z;n"_

4^!h1F8r&h9G.H#l7b%\

点击下一步

选择“我接受许可协议中的条款”，点下一步

选择安装目录，一般默认即可，点下一步。*V:P7O!d&_%r%b

c

*r!T4J

F2`/C!^;t#R

这里要根据你的实际情况选择了。选择好后点击下一步。

3F;W%b;W%~$A

然后点击安装，开始安装过程。等等安装完成后，就OK了。4m6T(T4o#F*\9Y

附一张ISA2000客户端安装后好的图片2?9Y8M,O9{%^#p+|

一般情况下，可以不勾选图中“AutomaticallydetectISAServer”项，然后在下面“UsethisISAServer”处填上ISA服务器的计算机名。

;_8\-Z&G:Y

x*J7m8L

客户端设置好后，基本上ISA在你内网的部署就算完成了。至于怎么封QQ，怎么限制下载，请参见我写的这两篇文章：/_;R3}9L'?$z6T&l:M7z.b

《我也来谈谈关于isa2004封锁QQ,BT等这类p2p软件的问题》+u3c"J9S9Q&t;e.k+T7R(k%?

/thread-154124-1-2.html

$P+a5c%U%`;V,f2F"r6O5K

《用单网卡+ISA200