ISA安装设置全集发布时间:2003-10-245inet 点击: 34171ISA安装设置全集安装ISA Server设定ISA ServerPolicy Elements 设定如何建立ISA Server 封包过滤Packet Filtering 原则Publishing Service 转送服务ISA 2000 Server 备份及还原ISA Server 记录档管理ISA Server 入侵侦测功能安装ISA Server将Microsoft ISA 2000 Server 光碟放在Windows 2000 伺服器上;按下Install ISA Server 如图下。
Fig 1.撰择Full Installation;ISA Server 2000 有下列三个安装元件:一、ISA Services: 防火墙运作及控制服务。
二、Add-In Services: 附加网路服务元件,可选择安装包括H.323 Gatekeeper Service,这是提供内部使用者运用MS Netmeeting 或H.323 和外面网路(Internet) 沟通的闸道(Gateway)应用程式,Message Screener 用作提供过滤进出防火墙的SMTP Packet的管制监墆服务元件。
三、Administrator Tools: 管理ISA Server 介面程式包括H.323 Gatekeeper Service 的管理介面。
这个管理工具可以安装在Windows 2000 Professional 工作站作远端管理ISA Server 运作。
2.警告讯息;如你安装于Windows 2000 Stand-Alone Server 且没有加任何Active Directory,这个讯息如图下是Fig 2 接著按下Yes 并选择Integrated mode (注解如下) 。
Fig 3Firewall Cache Integrated是否能自订存取原则(Access Policy) Yes HTTP only Yes是否能让内部网站转向(Web Publishing) 给外部使用Yes Yes YesYes No Yes是否能让内部使用者运用虚拟网路(VPN) 存取其他网路主机是否能让内部伺服器应用程式转向(Web Publishing) 给外部Yes No Yes使用是否提供快取服务(Cache Service) No Yes Yes是否提供封包过滤(Packet filtering) Yes No Yes是否提供进出防火墙网路应用程式的过滤程式(ApplicationYes No Yesfiltering)是否提供即时监视(Real-time monitoring) Yes Yes Yes是否提供系塻发生错误或遭到攻击的警告(Alerts) Yes Yes Yes是否提供报告(Reports) 塻计图表功能Yes Yes Yes由于ISA Server 2000 并不知道那一个IP 位址段为内部网路。
你必须宣告防火墙架构中内部IP 位址区段s Table 或LAT)。
依据RPC 1918 定义的内部私人网路(Private Network) IP 位址范围如下:10.0.0.0 10.255.255.255172.16.0.0 172.31.255.255192.168.0.0 192.168.255.255设定LAT 如下:•按下Construct Table(Fig 4);Fig 4 •勾选Add address ranges based on the Windows 2000 Routing Table ;再勾选内部网路为10.10.10.254那张网卡;接按三次Ok 便完成安彚貱Fig 5设定ISA Server为了防火墙的安全考虑,将下列预墇服务程式暂时“停止”运作:Simple Mail Transfer Protocol (SMTP)World Wide Web Publishing ServiceNetwork News Transport Protocol (NNTP)IIS Admin ServiceFTP Publishing ServiceRouting and Remote Access由于在ISA Server 上预墇是不允许内部使用者PING 到外面IP 位址。
也就是内对外“IP Routing 因此你只要开这个“IP Routing”功能即可让内部PING 到外面网路IP 位址。
一Fig 6 二Fig 7注意: 你内部网路使用端TCP/IP 预墇闸道(Default Gateway) 必须是10.10.10.254 (ISA Server 对位址)。
三开启存取权限Protocol rules:这是ISA Server 判断使用者是否具有向网际网路存取权限的第一关。
而ISA Server 预墇值是空白就是拒绝所有内部使用端主机进行对外通讯的服务。
Fig 8开启存取权限Protocol rules 如下图:Fig 9Fig 10点选: “Allow”à“All IP Traffic ”à“Always”à“Any request ”à完成。
(Fig . 11)Fig 11ISA Server 共有下列三个使用端角色:一WEB Proxy Clients 就是设定使用者端的浏览器上的Proxy 伺服器位址及埠口。
二SecureNAT Clients 让内部使用端能存取连线到网际网路(Internet) 资源。
如内部WebServer 转向提供某些服务给外界使用者。
三Firewall Clients 内部使用端想存取外面网际网路(Internet)必须经过使用者身份验证。
如采用Firewall Client 角色;必须为每一个使用端安装Firewall Client 程式。
四Web Proxy Client 网页代理使用端使用端只要设定浏览器(如: IE,Netscape…) 上的代理服务伺服器(Proxy Server) IP 位址壼勂(Fig. 12)。
要注意的是ISA Server 预墇代理服务埠口(Port) 为“8 080”。
Fig 12五Firewall Client 安装(Optional)为何要在使用端安装Firewall client 程式? 系塻管理者可以针对“使用者帐号”进行存取权控管。
当你在使用端安装Firewall client 程式时,你在ISA Server 上的存取政策(Access Policy) 即可以依据使用端登入“使用者帐号”来进行身份验证及存取权控管。
如此一来,你可以在ISA Server 上设定控管对象是针对使用者“帐号”同时也可使用端的“IP 位址”来进行使用端存取权限监管。
当然Fi rewall client 安装程式只限在Microsoft Windows 作业平台。
到使用端电脑上,开启网路芳邻,寻找ISA Server 主机并选择开启一个名为“m spclnt”的共用资料夹,对“Setup.exe”连续点选滑鼠右键二下即可。
Policy Elements 设定禁止内部网路某一使用端对外网路服务存取实习一: 你将新增一个规限使10.10.10.1 至10.10.10.99 IP 范围的内部使用端无法连线到网际网路上的FTP 主机。
点选“Policy Elements”下的“Client Address Sets ”à“新增”à“Set”(Fig 13) à“Add”(Fig 14);Fig 13Fig 14 Fig 15Fig 16接点选“Protocol rules”à“新增”à“Rules”(Fig 17);Fig 17Fig 18给Protocal rule name 一个名称à“Next”(Fig 18) à“Deny ”à(Fig 19) à“Alwa ys”à“Specific computers (client address sets)”à“Add ”NoFTP à“完成”(Fig 20)。
Fig 19Fig 20实习二: 如何简单限制企业内部使用者去浏览色情网站。
点选“Policy Elements”→“Destination sets”→“新增”→“Set”(Fig.21)Fig 21Fig 22Fig 23你输入这个目的位址(Destination) 为“”(Fig. 23) 及该网站受限的目录(Path) 为“/* ”;Path 之所以墇为“/*”是你要管制“”下所有网页档案。
接下按“OK”→“OK”完成(Fig. 24) 。
Fig 24接你又发现到一个新的色情网站“http://207.235.5.37”,而如何新增这个网址到这个目的集(Destination sets) 内呢?步骤如下:点选上述“NoSexWWW”按滑鼠右键→“内容”(Fig. 25) →“Destinations”→“Ad d”(Fig. 26) →(Fig. 27) →“OK”→“确定”完成。
Fig 25Fig 26 Fig 27再订立一个新的站台及文件规则(Site and Content Rules);点选“Site and Content R ules”→“新增”→“Rule”(Fig. 28) →(Fig. 29) →“Deny”→“Custom”→“S pecified destination set”→“NoSexWWW”→“Always”→“Any request”→(F ig. 30) →“完成”。
Fig 28Fig 29Fig 30如图Fig 30,由于是设定这个规则是属于(Deny) ,也就是所设定的文件“Images”都不会由ISA Server 传给内部使用者。
实习三: 内部使用端对外存取时间限制设定点选先前设定的“All Access”原则,按滑鼠右键并按下“内容”(Fig. 31)。
Fig 31再选择“Schedule”→“New ”(Fig. 32) →输入新的排程元件(Schedule) 为“LimitD ate”(Fig. 33) →拖曳选择“星期天”时段→并点选“Inactive”按钮→“确定”。
这个设定即是星期天整天关闭存取服务不运作。
当然你可开启这个“LimitDate”来进行时段编修。
Fig 32Fig 33实习四: 自订文件类别(Content Group)你可自行管制文件类别作内部向外存取规则。