ISA2004 学校教程.docVIP

　当今的网络安全已成为必须重视的一个问题。微软的ISA2004在用于小型单位或个人构建安全高效的网站时很方便适用（针对有独立的服务器而言）。 ??? 　ISA2004比ISA2000的功能上改进了很多，ISA2004引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA2004提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题。本文介绍了一个用ISA2004构建的一个网站系统的方法。 一、构建网站的现有硬软件环境 ??? 　我用来构建网站的硬件环境是：用一台安装有双网卡的机器作为网站服务器，同时还作为单位内部机器共享上网的代理服务器，其中一块网卡连接Internet，有固定IP的地址。安装的是Windows2000系统，Web、Ftp服务等正常运行。现需要安装ISA2004加强安全性。 二、安装ISA2004的前提 ??? 　ISA2004的安装过程比较简单，但在安装前首先要了解安装ISA2004需要的最低要求：①具有300MHz或更高频率的兼容Pentium II的CPU的个人计算机；②Microsoft? Windows Server 2003 或 Windows 2000 Server操作系统。如果是Windows 2000的操作系统，还必须安装Windows 2000 Service Pack 4 (SP4) 或更高版本、安装Internet Explorer 6或更高版本；③256MB内存；④与计算机的操作系统兼容的网络适配器，对于连接到ISA服务器计算机的每个网络还都需要一个额外的网络适配器以便与内部网络通讯；⑤一个用NTFS文件系统格式化的本地硬盘分区，并且至少拥有150MB的可用硬盘空间。这是专门用于缓存的硬盘空间。 　　其次，要根据自己单位的需要，规划好网络安全部署方案。ISA2004自带了“Internet 边缘防火墙”、“Internet 边缘防火墙”、“分支办公室防火墙”、“安全服务器发布”、“安全 Exchange 服务器 SSL VPN”多种方案。 三、安装ISA2004的过程 　　首选将存储有微软ISA2004的光盘介质放入光驱中，会自动启动ISA2004的安装程序，如果不能自动启动安装程序可以点击光盘介质中的SETUP.EXE程序。 　　在安装程序主界面上，如果你的机器中原来安装得有ISA2000，可以通过点击“运行迁移向导”进行升级安装。我下面主要介绍怎样新安装ISA2004。 　　点击ISA2004安装程序主界面上的“安装ISA Server 2004”启动安装向导。根据安装向导的提示填写客户信息（用户名、单位）、产品序列号（必填内容）。安装类型，选择自定义安装。在下一个界面选择安装所有功能。 　　点击 “添加”按钮弹出如图所示的界面，输入内部网络的地址范围，我的内部地址范围是～55。这里也可以通过点击“选择网卡”按钮来进行内部地址设置。当然也可以安装完ISA2004以后使用过程中再配置。 配置IP地址段 　　完成以上关键的配置后，安装程序自动完成其余的安装过程，最后点击完成重新启动计算机完成整个安装过程。 四、配置访问服务策略 　　ISA安装完成后，首要的是要让单位内部的所有机器能够访问Internet网络。配置ISA的访问服务策略后就可以解决这个问题。启动ISA服务器管理，进入ISA的管理主界面，并点击左边“ISA 服务器管理”的控制台树中的“防火墙策略”。ISA有一个默认访问规则拒绝出入网络的全部访问，因而内网中的所有机器不能访问Internet。注意该默认规则不能修改和删除。 　　点击图中右边的防火墙策略任务选项卡中的“创建新的访问规则”选项，启动新建访问规则向导。输入访问规则名称，我输入的是“访问外网”，点击下一步进入“设置访问规则”界面，该界面主要设置当客户端提出请求时，ISA是“允许”还是“拒绝”该请求，我这里选择“允许”。 设置防火墙策略 　　选择允许后，点击下一步，进入如图所示的“协议”设置界面窗口，该界面主要设置该访问规则针对客户端提出请求时的哪一种协议。在下拉框中有“所有出站通讯”、“所选的协议”、“除选择以外的所有出站通讯”三种选择方式。我这里设置的是“所有出站通讯”，主要是让单位内部网络的所有机器都能访问Internet不受任何阻挡。在这里还可以点击“端口”按钮进入设置源端口范围，规定允许来自该范围内的端口的客户端的通讯。 设置访问规则 　　点击下一步进入的“访问规则源”设置窗口，点击添加按钮添加网络实体，我这里选择的网络实体是网络集中“所有受保护的网络”。再点击下一步进入“访问规则目标”设置窗口，点击添加按钮添加网络实体，我这里选择的网络实体是计算机集中“任何地点”。 　　点击下一步进入“用