ISA2006 标准版的常规安装.docVIP

ISA2006 标准版的常规安装和无人值守安装 ISA2006（Internet Security and Acceleration）是微软公司推出的一款重量级的网络安全产品，被公认为X86 架构下最优秀的企业级路由软件防火墙。ISA 凭借其灵活的多网络支持、易于使用且高度集成的VPN 配置、可扩展的用户身份验证模型、深层次的HTTP 过滤功能、经过改善的管理功能，在企业中有着广泛的应用。从今天开始的一系列课程中我们将陆续介绍ISA 的管理和使用技巧，内容重点是访问控制，服务器发布和VPN 三部分。今天我们从ISA2006 的部署开始介绍。 ISA2006 分为标准版和企业版，两种版本的结构和功能都存在一定差异。标准版部署起来相对容易，适合中小企业使用，也适合ISA 爱好者的入门学习；企业版由于引入了配置存储服务器，部署起来有一定难度，我们将它放在后期课程中介绍。 今天我们准备给大家分别介绍ISA2006 标准版的常规安装和无人值守安装。拓扑如下图所示，服务器Beijing 有两块网卡，内网网卡的IP 地址为54，外网网卡的IP 地址为54。Beijing 的操作系统为Win2003SP1，准备安装ISA2006 作为企业的边缘防火墙。 ISA2006 的安装要求如下： 带有 Service Pack 1 (SP1) 的 Windows Server? 2003 或Windows Server 2003 R2 操作系统。 256 MB 内存。 150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。 至少两块网卡（如果只有一块网卡，只能安装成缓存服务器）。 一个采用 NTFS 文件系统格式的本地硬盘分区。 安装ISA2006 的服务器上不能有进程占用80 和8080 端口。 一、 ISA2006 标准版的常规安装 在 Beijing 上放入ISA2006 的安装光盘，如下图所示，启动ISA2006 的安装程序，点击“安装ISA Server 2006”。 出现ISA2006 的安装向导，选择“下一步”。 同意软件许可协议，选择下一步。 输入用户名，单位及序列号等参数后，来到安装类型界面，如下图所示，选择自定义安装。 选择ISA2006 的安装组件，从下图可知，只有ISA 服务器和ISA 服务器管理两个组件。有ISA2004 经验的管理员要注意，ISA2004 中的ISA 客户端共享和消息筛选两个组件已经不再被支持，消息筛选被Forenfront 取代，ISA 客户端共享需要用手工共享的方法实现。 接下来设置内网的地址范围，点击“添加”按钮。顺便提一下，这个参数很重要，因为在ISA 中网络是防火墙策略中最基本的一个考虑因素，具体我们回头再说 设置内网范围时，点击“添加适配器”，如下图所示，选择与内网相连的网卡，点击确定。这里建议大家最好把ISA 上的网卡根据实际连接情况命名为内网，外网，外围等，以方便后续使用。 根据我们提供的网卡，ISA 将内网的地址范围设置为-55，点击确定。 安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000 之前的防火墙客户端，ISA2000 之后的防火墙客户端支持数据加密，安全性更好，由于在实验环境中不需要使用早期防火墙客户端，因此我们不用勾选“允许不加密的防火墙客户端连接”。 安装程序警告我们在安装过程中有些服务会重新启动，选择“下一步”。 完成了参数设置，终于开始安装了。 如下图所示，点击“完成”，结束了ISA2006 的常规安装。 至此，我们完成了ISA2006 的常规安装。安装过程并不复杂，相信大家都可以完成，难的地方在后面的管理部分，慢慢来吧。 二详解 ISA2006 三种客户端 ISA 能干什么活？从字面意思看，ISA 的意思是互联网安全加速器，安全指的是防火墙功能，加速器则是代理服务器功能。今天我们就要部署ISA 的代理服务器功能，看看内网用户如何利用ISA 来访问互联网。 ISA 的代理服务支持三种客户端，分别是: Web 代理客户端 防火墙客户端 SNAT 客户端 我们搭建一个实验环境测试三种客户端的具体应用，实验拓扑图如上所示，Beijing 安装了ISA2006 标准版，Perth 是内网客户机。 因为ISA 默认的防火墙策略是拒绝一切通讯，所以实验之前我们需要先在ISA 上创建一条访问规则，允许内网用户访问互联网。由于当前的主要目的是测试ISA 的代理服务器功能，因此我们在防火墙上暂时不做任何限制。在Beijing 上依次点击开始－程序－Microsoft ISA Server－ISA 服务器管理，如下图所示，右键点击防火墙策略，选择新建“访问规则”。 给新建的访问规则取名为“允许内网用户任意访问”，如下图所示。 设置当客户端的访问行为与规则设