手把手教你ISA 2006服务器架设.doc

ISA2006的安装 安装ISA Server 2006 的机器应该至少有两个网卡，一个为外部接口，一个为内部接口。所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy 控制所有网络间的数据传输。 下图为一个测试网络，ISA Server 作为一个边缘防火墙（Edge Firewall）： ISA2006的安装。（环境Windows Server 2003 R2 +AD +DNS） 第一步：运行ISA2006安装程式，如图，点击“安装ISA Server 2006” 第二步：出现ISA Server 2006安装向导，点击“下一步” 第三步：接受软件许可条款，点击“下一步”： 第四步：选择“同时安装IAS Server服务 和 配置存储服务器” ，点击下一步 第五步：组件选择，点击“下一步”，如图所示： 第六步：选择“创建新的ISA服务器企业”，点击“下一步”： 第七步：出现一个警告画面，不会理会，点击“下一步”，出现如图所示： 建议输入具有域管理员权限的帐号和密码。 第八步：添加指定要包括在ISA服务器内部网络中的地址范围，点击“添加” 出现下图，点击“添加适配器”，选择网卡连接内部网络的那块，点击“确定”，如下图 第九步：选中“允许不加密的防火墙客户端连接”后，点击“下一步”， 第十步：完成以上步骤后，ISA开始安装 第十一步：安装完毕。 实验二、使用ISA2006代理上网实现安全策略 实验拓扑图。 平台搭建： 使用VPC建立2台Wisndows Server 2003 R2 ，一台做ISA Server ,一台做Client加入AD做测试用。 将ISA Server 2003 安装好AD和DNS, 域名为：,主机名为： 按拓扑图中的IP，配置好设备的IP地址，注意在使用VPC的时候，在配置网卡的使用，一定要注意IP地址不要配反，不然实验无法实现（注意：VPC网卡分:Internal network adapters,External network adapters） 安装ISA Server 2006. 需求分析： 公司以前只有一个网段/23,有一台DNS服务器，IP：。 现在新增加了一个事业部，需要独立出来一个网段/24，这个事业部有自己的AD环境和DNS服务器，事业部的电脑利用AD+ISA+DNS这台服务器代理上网。 在AD上建立一个web access的OU，在OU中建立一个web-user的群组，建立web1,web2两个用户并隶属于web-user群组。 公司要求只有0—0这段IP可以上网，其他IP不行，而且只用web-user的用户才能上网，需要做身份验证，但是这些用户不能使用QQ代理上网。 实现配置： 当我们把IP地址设定完成后，要在ISA的DNS服务器上做转发的配置，如图： 点击“属性”后，配置只在内部接口上侦听：如图 接下来再配置转发器，可以选择和ISP的DNS服务器，如图： 这样就完成了DNS的配置，接下来我们来配置用户上网验证，如图，双击“内部”网络 出现下图，如红框内设置，点击“身份验证”： 如图： 点击完成后，就完成用户身份验证的配置。身份验证的方法“基本”是基于AD用户的。 接下来设置防火墙规则，此规则将设定内部使用者浏览Internet时必须要验证登录帐号和密码。建议按照网段将intranet to internet的策略分开，也就是不要将所有内容的IP套在同一条策略里，因为太多的IP会造成策略失效 出现“新建访问规则向导”，输入名称，点击“下一步”： 出现“规则操作”如下图配置，点击“下一步” 在出现的“协议”对话框里，如下图“添加”相应的协议： 选择协议“HTTP”和“HTTPS”点击“添加”，然后“下一步” 在出现的“访问规则源”点击“添加” 出现如下图点击“新建” 选择“计算机集” 出现下图所示：按照实际需求定义“规则源”，可以是单独的计算机，地址范围或者是某个子网，这里定义了一个内部网络的地址范围。点击“确定”。 选择我们刚刚”添加”的计算机集“inside network”,如图： 这时候“访问规则源”里出现了“inside network”,点击“下一步”： 出现定义“访问规则目标”，点击“添加”选择“外部”网络。点击“下一步”如下图： 出现“用户集”，点击“添加”出现“添加用户”框。点击“新建”，如图 出现“新建用户集向导”设置完毕点击“下一步”，如下图： 点击“添加”选择“windows用户和组” 将我们之前在AD中建立的web user群组加入到“用户集”中,点击“下一步”，如图 按照系统提示将web user加入到“用户集”中，“下一步”完成。 按照系统提示，完成规则的配置，当IS