ISA Server2006安装和配置.docVIP

理论部分 放火墙的概述 1.放火墙的主要功能:强化安全策略;记录用户的上网活动;隐藏用户站点或网络拓扑;安全策略的检查 2.放火墙的分类 1)包过滤型放火墙:工作在OSI参考模型的网络层,根据数据包头源地址,目的地址,端口号和协议类型等标志来确定是否允许数据包通过 2)代理型放火墙:工作在OSI的最高层,应用层,代理服务器实是在确认客户端连接请求后接管连接,代其向服务器发出连接请求,代理服务器根据服务器的应答,决定如何响应客户端请求;缺点是速度慢 3)状态检测型放火墙:是由包过滤型发展而来的,可以自动生成和删除 响应过滤规则,还可以追踪连接状态 ，工作在网络层 3.放火墙体系 双宿主堡垒主机:两块网卡的主机做放火墙,一个用外网,一个用内网 三宿主堡主机:放火墙有三个接口,一个内网,一个外网,一个非军事区 背靠背连接:有两台双网卡的放火墙,DMZ区就在两个放火墙之间 4.放火简介:NetScreen系列放火墙(是硬件放火墙);Ciso ASA系列放火墙(硬件放火墙);天融放火墙;Check Pint放火墙;ISA Server2004/2006(融合了状态检测型和代理型放火墙的特点) 二. ISA Server2006概述 1. ISA Server2006功能介绍(ISA Server2006是路由级别的放火墙,兼有高性能缓存功能 Internet放火墙: ISA Server2006可以部署成一台专用放火墙,作为内部用户接入Internet的安全网关 安全服务器的发布: ISA Server2006,内部用户能够向Internet发布服务, ISA Server2006计算机代表内部发布服务器来处理客户端的请求,避免服务器直接暴露在Internet上而收到攻击 Web缓存服务器: ISA Server2006可以像代理防火墙一样,通过服务器中的缓存实现网络的加速,可以同时将Internet放火墙和Web缓存部署到同一台服务器 2. ISA Server2006版本：标准版，企业版 三. ISA Server2006的安装 1. ISA Server2006安装注意事项 1)硬件配置:CPU(至少733MHZ);内存(至少512MB);硬盘空间(至少150MB);操作系统(Winsows2000/2003);网络适配器(必须为连接到ISA Server2006的每个网络单独准备一个适配器 2)DNS: ISA Server2006不自带DNS,必须使用额外的DNS服务器 3)Web发布:如果利用ISA Server2006发布Web服务器,必须让ISP保留保留静态IP地址 2. ISA Server2006的组件 阵列:对一组ISA Server2006服务器的统一管理 配置服务器:用于存储企业中全部阵列的配置信息 ISA服务器:运行放火墙.VPN和缓存服务和ISA服务器 ISA服务器:用于管理企业和阵列成员的管理终端 3.安装ISA Server2006:即可在域中安装也可在工作组环境下安装 4.配置ISA Server2006客户端 特性 SecureNAT Client Firwall Client Web Proxy Client 是否需要安装 否,但是需要修改网络配置 是 否,但是需要配置浏览器 操作系统支持 任何支持TCP\IP协议的系统 只有Windows操作平台 所有操作平台,但是需要以Web应用的方式 协议支持 TCP.UDP.HTTP.HTTPS.FTP及其它 TCP.UDP之Windows应用程序 HTTP.HTTPS.FTP以及Gopher 用户级身份验证 只要VPN客户端 需要 需要 服务器应用程序 不需要配置或安装 需要配置文件 N/A 操作部分 试验案例：在工作组环境下部署ISA Server 2006 服务起 实验环境:在虚拟机中打开一个03和一个XP,用03作放火墙服务器,XP内网客户端,真机作为外网 03 内网(lan)IP:00/16 外网(wan)IP: 真机IP:\8 XPIP:00\16 实验需求:配置三种不同的客户端,能访问外网的Web和Ftp 实验过程: 一.在03上安装ISA 二.在ISA上配置策略 三.配置客户端 1.配置SecureNAT Client 客户机能ping通外网 2.配置Web Proxy Client 客户端不能ping通外网,但能访问,以为它不支持一个协议 3.配置Firewall Client 客户端不能ping通外网,但能访问,以为它不支持一个协议