单网卡+ISA 204实现内部网络的管理.docVIP

我所管理的网络采用了10.8.X.X此类的IP地址，其中，10.8.10.X这个网段为单位的主干网，内网可以直接以IP地址访问，访问网部时转化为真实的公网IP，在这里我们的ISA服务器所管理的是-55这个网段。使用此网段的电脑为单位公用机房的电脑。共有800多台，将近九百台电脑。这个网段中共用4台ISA，都是只有一块网卡，分别处在1-55、1-55 -55 1-55网段中，使用的是工作组环境，不是域环境。本文所描述的ISA 2004服务器的配置如下，一块普通的8139网卡，IP地址为5,子网掩码为,默认网关为,dns:44,这台ISA所管理的IP地址范围为：-54。网络中还有-55、-55、-55，因为子网掩同为,所以，可以说，是处在同一网段内，即这个网段。本文所描述的这台ISA服务器的IP地址为5,所处的网段为-55,和44 、45、 47三个网段的ISA所处位置不同，但基本配置都是一样的（都是单网卡）。44网段的ISA服务器的IP地址为：1,45网段的ISA服务器IP地址为：1,47网段的ISA服务器的IP地址为：1。当初在规则网络的时候，-0 、- 0-55这几段IP地址另有他用，客户机不使用。由于服务器上以前使用的是ISA 2000进行管理，受管理的客户端的类型是:Webproxy+防火墙客户端这种客户端的类型，由于客户机实在太多，为了节省时间，所以没有部署Snat客户端。所以，在05年升级到ISA 2004时，只是把ISA 2000升级成了ISA 2004,下面的客户端就没有动，还是延用以前的客户端类型，客户端软件，及客户端设置。在安装ISA 2004时需要注意的是：如果你的内网曾经或正在使用ISA2000客户端的请注意看下图: 2000.jpg (34.85 KB) 2007-4-20 09:49 一定要将“允许运行早期版本的防火墙客户端软件的计算机连接(A)”此选项选中。 isa1.JPG (97.01 KB) 2007-4-20 09:49 刚刚安装完ISA 2004后，只有一条规则，即图中高亮显示的那条默认规则。安装完成后，要配置访问规则了，在配置访问规则之前，需要对内网的客户进行规划，由于我这里的网络是工作组环境，所以，我就用IP地址进行了控制，我共划分出一七个IP地址段，名称为301-307,然后，我建了一个计算机集，名称为外网，见图： isa7.JPG (31.09 KB) 2007-4-20 09:49 上图中的几个IP地址，我在此做一一说明0为我单位一共用SQL Server服务器的地址，50是我单位的网站，在内网访问直接输入此IP可以打开我单位网站，和在公网访问的页面是一样的22是我单位一Oracle服务器的地址43是我单位另一台Web服务器44是DNS服务器，负责将内部的DNS请求转发到ISP提供的DNS服务器上去。-55，此为公网的出口。为什么这么定义呢？稍后为大家解释。先来看一下我的访问规则，同样，见下图：第一条访问规则，禁止上某些网站，从“本地主机，301-307”到“禁止访问的网站”，那么，那些网站禁止访问呢，见图： isa8.JPG (30.44 KB) 2007-4-20 09:49 这只是其中的一部分，大家可以自已定义。第二条规则，“internet”,大家看上面的图，我选择的是“所有出站通讯”，从“本地主机”等到外网，这里，我没有用ISA 2004已经定义好的那个外部，为什么呢？用我定义的那个地址范围去访问外网的话，也是可以上网的。但是，我想让客户机上外网的时候，除了能访问50、0、22、44、这几个内部IP以外，不可以访问其他的内网服务器。-55是我所定义的真正的外网。不知道大家能明白不？第三条规则，电子商务上课，这条规则的名字我是瞎起的。这条规则只开放了三个协议，HTTP,HTTPS,FTP。并且，还进行了一些限制，我做的限制，见下面的图片 isa4.JPG (34.69 KB) 2007-4-20 09:49 阻止包含Windows可执行内容的影响被选中后，可执行文件不能下载，如扩展名为.exe的文件不能下载。 isa5.JPG (30.41 KB) 2007-4-20 09:49 我还阻止了图片中所有的扩展名的文件的下载及通过Web页的访问。并且，阻止了不明确的扩展名的请求。 isa6.JPG (26.79 KB) 2007-4-20 09:49 当然，少不了封QQ这一项啦。至此，访问规则配置完成下面进行缓存规则的配置，首先，要先启用缓存，然后再定义缓存驱动器，然后建立缓存规则，我所建立的缓存规则如下，同样，见图： isa3.JPG (88.56 KB) 2007-4-20 09:49 第一条缓存规则