ISA2008配置校园网实践的应用.docVIP

ISA2008配置校园网实践的应用 　　摘要:笔者结合工作实践,谈谈ISA2008在配置校园网实践过程中的应用,利用它为校园网提供了安全保护。 　　关键词:ISA2008;校园网配置;应用 　　中图分类号:G434 文献标识码:A 文章编号:1673-8454(2009)16-0080-03 　　 　　ISA2008是微软公司最新最强的路由级防火墙软件,也是我们学校常用的软件之一,如果正确的配置和划分我们的网络,它将为我们的校园网提供高级保护和较大实用性。下面就在校园网中的实践操作谈一谈ISA2008在校园网中的配置与实践应用。 　　 　　一、Vlan的划分 　　 　　划分Vlan的作用主要是为了减小广播域,提高交换机的数据传输效率,如果网络内的计算机数量较多,通过划分Vlan可以提高上网及数据传输的速度。根据校园内各虚拟网的连接端口在主交换机上划分Vlan的配置如下: 　　VlanID 　　Dstination 　　Subnet mask 　　Gateway 　　Vlan1 　　 　　 　　54 　　Vlan2 　　 　　 　　54 　　Vlan3 　　 　　 　　54 　　Vlan4 　　 　　 　　54 　　可以看出―172.5. 255.255都是作为校园内部的IP地址,由于是通过ISA代理上网,所有计算机共享一个城域网地址,所以内部和外部并不会有IP地址冲突。 　　 　　二、ISA代理服务器的设置 　　 　　代理服务器选用Win Server2003作为操作系统,ISA选用最新的2008版本。它支持的协议更全面,采取基于每个策略的HTTP过滤、阻止对所有可执行文件的访问、扩展名决定是否可以下载、“HTTP签名”控制HTTP访问、FTP只读等策略让网络更安全,ISA2008可以说是在所有代理软件中功能最强大的一种。 　　在代理服务器上安装两块网卡,分别设置如下: 　　网卡一IP:,Mask: ,为代理内部接口。 　　网卡二IP:(此IP地址为城域网分配)Mask:,Gateway:172.20.255. 254,DNS:8,为城域网接口,校园内部上因特网都是通过千兆内外接口进行的。 　　在ISA2008安装过程中一定要设置好内部的IP地址范围,即:―55,ISA2008安装成功以后,会自动识别内外接口。 　　 　　三、ISA代理软件的配置 　　 　　ISA2008安装成功以后需要加以配置才能使用,笔者主要做了以下几方面的配置: 　　1.内部网络的设置 　　建立一条访问规则允许所有内部网络能访问到Internet,启动ISA2008, 在“ISA 服务器管理”的控制台树中,右键单击“防火墙策略”,选择“新建”――“访问规则”,输入访问规则的名字,比方说是“内部访问因特网”,单击“下一步”,在“规则操作”中选择“允许”后单击“下一步”,在“协议”中选择“所有出站通讯”后再单击“下一步”,在“访问规则源”对话框中单击“添加”,弹出“添加网络实体”对话框,展开“网络”双击“内部”,也就是说这一规则应用于来自内部源的通讯,单击“下一步”,在“访问规则目标”中添加上“外部”,也就是说这一规则应用于发送到外部目标的通讯,单击“下一步”在“用户集”中按默认的“所有用户”即可,单击“下一步”完成了内部到外部也就是校内计算机访问Internet规则的建立。此时对于ISA2008来说如果城域网连接正常,则已经允许内部计算机访问因特网了。但由于ISA服务器内部接口属于Vlan1,为了同其它虚拟网通信,所以还需加上Vlan1到其他虚拟网的路由,在ISA服务器的DOS命令提示符下,分别执行以下四条命令: 　　route add ?Cp mask 54 　　route add ?Cp mask 54 　　route add ?Cp mask 54 　　启动一台内部计算机,设置好对应虚拟网的IP地址、掩码、网关以后,右击IE图标,在“Internet属性”对话框中选择“连接”选项卡,单击“局域网设置”按钮,在“局域网设置”对话框中勾选“使用代理服务器”和“对于本地地址不使用代理服务器”,在地址中输入ISA服务器内网接口IP,即:, 端口输入:8080,单击“确定”应用即可上因特网。 　　如果说我们想禁止内部某些子网的一些网站的访问,我们可以在“防火墙策略”右边窗口的工具箱中,展开“网络对象”,新建几个计算机集如:办公楼、高一教学楼、高二教学楼、高三教学楼实验楼、行政办公楼、家属区、微机室,在建立计算机集的时候分别把各计算机集对应子网的IP地址范围设置好,再建立一个域名集,把禁止访问的网站添加到此域名集中,然后再添加一条访问规则,比方说规则名