ISA-server配置应用.ppt

ISA Server配置应用 实验内容 实验内容(续) 思考问题 思考问题(续） 安装ISA2004 安装ISA2004 系统需求 CPU：P550，最多支持四个CPU RAM：至少256M DISK：150M，不包括缓存空间。 OS：Windows2000 server+SP4+IE6+kb821887 Windows 2003 server 网卡：至少二块。 DNS：要求内网DNS或外网DNS服务器，如果使用WEB代理和防火墙客户端，建议使用稳定的内部DNS，如果是NAT客户可使用外部DNS。 网络：正常工作的外网接入和内部局域网 安装ISA Server 2004 管理ISA Server 2004 管理ISA Server 2004 设置ISA Server客户端 设置Web Proxy客户端 安装Firewall客户端 安装Firewall客户端 设置SecureNAT客户端 ISA2004访问规则 策略元素 网络规则 系统策略 访问规则 策略元素 网络对象 协议 用户 内容类型 计划 策略元素 网络规则 系统策略 访问规则 处理内网客户机访问外部资源 访问规则的选项 访问规则的选项--操作 访问规则的选项--用户 访问规则的选项--协议 访问规则的选项--内容类型 访问规则的选项--从(源) 访问规则的选项--到(目标) 访问规则的选项--计划 ISA2004中的规则： 1)网络规则：路由、还是NAT 2)系统策略：30多条策略控制本地主机到目标的通讯；你可以启用或者禁用这些规则。 3)防火墙策略：自定义的所有规则，包括访问规则和发布规则，最后有条缺省规则不能修改或删除。 要点一：源主机和目标主机必须位于不同的网络。 要点二：严格按照顺序评估防火墙策略，如果一条访问规则匹配某个请求参数，此规则将被应用，防火墙将不再与其它任何规则进行匹配。 要点三：系统策略优先于防火墙策略。 4)最佳建议，按以下顺序排列防火墙策略： 　首先，将WEB和服务器发布规则放在列表的顶部。 　然后，按照下面的顺序放置匿名访问规则，先拒绝，再允许部分；这些规则不需要验证。 　最后，按照下面的顺序放置需要验证的访问规则：先拒绝，再允许；这些规则需要验证。 显示如图 总共30条 几乎含盖所有需求；全部针对本地生效 系统策略 如我们所遇见的 安装完ISA2004 后，就不能上非微软网的 问题 在理解本地规则后就不用添加 所有到所有的 允许访问规则了, 只要启用本地策略第第18条（默认停止）还有本地第七条 DNS 访问 （默认开启）即可 系统策略 如何启用本地规则；选择“编辑系统策略” 系统策略 有拒绝请求的 站点和内容规则? 有拒绝请求的 协议规则? 内网客户端 发出请求 拒绝请求 检索对象 有允许请求的 协议规则? Yes No No Yes Yes No No 有允许请求的 站点和内容规则? Yes No Yes 有IP包过滤 阻止请求吗? 制定出站的访问规则 基本的访问规则： 默认：规则 方式 源地址 目的地址 拒绝 所有通讯 所有（含本地） 所有（含本地） 访问规则 访问规则设定： 1)新建规则 2)规则命名 访问规则 规则 ： 允许 协议方法 ： 全部通讯 访问规则 来源地址：内网 访问规则 目标地址：外网 访问规则 访问规则 这是允许所有通讯 访问规则 如果要设定 更为详细的 访问规则 在 通讯类型中添加 如： 只想让用户进行网页浏览 就添加HTTP和安全的HTTPS协议 访问规则 常规 操作 用户 协议 内容类型 从(源) 到(目标) 计划 * 网络安全与管理 课件制作：邹延平 2007年4月 安装ISA Server 2004 设置ISA Server客户端 配置访问策略实现Internet安全访问 在ISA Server服务器上发布内网服务器 管理ISA Server服务器 1、用虚拟机A机windows 2003,配置双网卡： 外网IP:172.16.x.A/24 内网IP:192.168.1.A/24  配置A机外网网关、DNS等， 可以连入internet;2、B机仅设置IP: 192.168.1.B/24，可以连接A机，但不能上internet; 3、在A机上安装ISA Server，使A机成为应用代理网关+防火墙; 解压isa sever 2004安装,安装完成后不要重启动，查看相关服务项4、配置A机的ISA Server服务器： 1)设置内网地址:---5