ISA安装设置全集

ISA安装设置全集发布时间：2003-10-245inet点击:34171ISA安装设置全集文章来源：岚山夜话伺服器上；按下InstallISAServer如图下。Fig11.撰择FullInstallation；ISAServer2000有下列三个安装元件:一、ISAServices:防火墙运作及控制服务。二、Add-InServices:附加网路服务元件，可选择安装包括H.323GatekeeperService，这是提供内部使用者运用MSNetmeeting或H.323和外面网路(Internet)沟通的闸道(Gateway)应用程式，MessageScreener用作提供过滤进出防火墙的SMTPPacket的管制监墆服务元件。三、AdministratorTools:管理ISAServer介面程式包括H.323GatekeeperService的管理介面。这个管理工具可以安装在Windows2000Professional工作站作远端管理ISAServer运作。2.警告讯息；如你安装于Windows2000Stand-AloneServer且没有加任何ActiveDirectory，这个讯息如图下是正常的！Fig2接著按下Yes并选择Integratedmode(注解如下)。Fig3FirewallCacheIntegrated是否能自订存取原则(AccessPolicy)YesHTTPonlyYes是否能让内部网站转向(WebPublishing)给外部使用YesYesYes是否能让内部使用者运用虚拟网路(VPN)存取其他网路主机YesNoYes是否能让内部伺服器应用程式转向(WebPublishing)给外部使用YesNoYes是否提供快取服务(CacheService)NoYesYes是否提供封包过滤(Packetfiltering)YesNoYes是否提供进出防火墙网路应用程式的过滤程式(Applicationfiltering)YesNoYes是否提供即时监视(Real-timemonitoring)YesYesYes是否提供系塻发生错误或遭到攻击的警告(Alerts)YesYesYes是否提供报告(Reports)塻计图表功能YesYesYes由于ISAServer2000并不知道那一个IP位址段为内部网路。你必须宣告防火墙架构中内部IP位址区段(LocalAddressTable或LAT)。依据RPC1918定义的内部私人网路(PrivateNetwork)IP位址范围如下:10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.255设定LAT如下:按下ConstructTable(Fig4)；Fig4勾选AddaddressrangesbasedontheWindows2000RoutingTable；再勾选内部网路IPAddress为10.10.10.254那张网卡；接按三次Ok便完成安彚貱Fig5设定ISAServer为了防火墙的安全考虑，将下列预墇服务程式暂时“停止”运作:SimpleMailTransferProtocol(SMTP)WorldWideWebPublishingServiceNetworkNewsTransportProtocol(NNTP)IISAdminServiceFTPPublishingServiceRoutingandRemoteAccess由于在ISAServer上预墇是不允许内部使用者PING到外面IP位址。也就是内对外“IPRouting”功能关闭。因此你只要开这个“IPRouting”功能即可让内部PING到外面网路IP位址。一Fig6二Fig7注意:你内部网路使用端TCP/IP预墇闸道(DefaultGateway)必须是10.10.10.254(ISAServer对内网路IP位址)。三开启存取权限Protocolrules:这是ISAServer判断使用者是否具有向网际网路存取权限的第一关。而ISAServer预墇值是空白(Fig.8)，也就是拒绝所有内部使用端主机进行对外通讯的服务。Fig8开启存取权限Protocolrules如下图:Fig9Fig10点选:“Allow”à“AllIPTraffic”à“Always”à“Anyrequest”à完成。(Fig.11)Fig11ISAServer共有下列三个使用端角色:一WEBProxyClients就是设定使用者端的浏览器上的Proxy伺服器位址及埠口。二SecureNATClients让内部使用端能存取连线到网际网路(Internet)资源。如内部WebServer转向提供某些服务给外界使用者。三FirewallClients内部使用端想存取外面网际网路(Internet)必须经过使用者身份验证。如采用FirewallClient角色；必须为每一个使用端安装FirewallClient程式。四WebProxyClient网页代理使用端使用端只要设定浏览器(如:IE，Netscape…)上的代理服务伺服器(ProxyServer)IP位址壼勂(Fig.12)。要注意的是ISAServer预墇代理服务埠口(Port)为“8080”。Fig12五FirewallClient安装(Optional)为何要在使用端安装Firewallclient程式?系塻管理者可以针对“使用者帐号”进行存取权控管。当你在使用端安装Firewallclient程式时，你在ISAServer上的存取政策(AccessPolicy)即可以依据使用端登入“使用者帐号”来进行身份验证及存取权控管。如此一来，你可以在ISAServer上设定控管对象是针对使用者“帐号”同时也可使用端的“IP位址”来进行使用端存取权限监管。当然Firewallclient安装程式只限在MicrosoftWindows作业平台。到使用端电脑上，开启网路芳邻，寻找ISAServer主机并选择开启一个名为“mspclnt”的共用资料夹，对“Setup.exe”连续点选滑鼠右键二下即可。PolicyElements设定禁止内部网路某一使用端对外网路服务存取实习一:你将新增一个规限使10.10.10.1至10.10.10.99IP范围的内部使用端无法连线到网际网路上的FTP主机。点选“PolicyElements”下的“ClientAddressSets”à“新增”à“Set”(Fig13)à“Add”(Fig14)；Fig13Fig14Fig15Fig16接点选“Protocolrules”à“新增”à“Rules”(Fig17)；Fig17Fig18给Protocalrulename一个名称à“Next”(Fig18)à“Deny”à(Fig19)à“Always”à“Specificcomputers(clientaddresssets)”à“Add”NoFTPà“完成”(Fig20)。Fig19Fig20实习二:如何简单限制企业内部使用者去浏览色情网站。点选“PolicyElements”→“Destinationsets”→“新增”→“Set”(Fig.21)Fig21Fig22Fig23你输入这个目的位址(Destination)为“”(Fig.23)及该网站受限的目录(Path)为“/*”；Path之所以墇为“/*”是你要管制“”下所有网页档案。接下按“OK”→“OK”完成(Fig.24)。Fig24接你又发现到一个新的色情网站“”，而如何新增这个网址到这个目的集(Destinationsets)内呢？步骤如下:点选上述“NoSex”按滑鼠右键→“内容”(Fig.25)→“Destinations”→“Add”(Fig.26)→(Fig.27)→“OK”→“确定”完成。Fig25Fig26Fig27再订立一个新的站台及文件规则(SiteandContentRules)；点选“SiteandContentRules”→“新增”→“Rule”(Fig.28)→(Fig.29)→“Deny”→“Custom”→“Specifieddestinationset”→“NoSex”→“Always”→“Anyrequest”→(Fig.30)→“完成”。Fig28Fig29Fig30如图Fig30，由于是设定这个规则是属于(Deny)，也就是所设定的文件“Images”都不会由ISAServer传给内部使用者。实习三:内部使用端对外存取时间限制设定点选先前设定的“AllAccess”原则，按滑鼠右键并按下“内容”(Fig.31)。Fig31再选择“Schedule”→“New”(Fig.32)→输入新的排程元件(Schedule)为“LimitDate”(Fig.33)→拖曳选择“星期天”时段→并点选“Inactive”按钮→“确定”。这个设定即是星期天整天关闭存取服务不运作。当然你可开启这个“LimitDate”来进行时段编修。Fig32Fig33实习四:自订文件类别(ContentGroup)你可自行管制文件类别作内部向外存取规则。接下来你将建立一个名为“SelfDefine01”的文件类别，然后再加入到自订的站台及文件规则(SiteandContentRule)。点选:“ContentGroups”→按滑鼠右键→“新增”→“ContentGroup”(Fig.34)→输入名字“Name”为“SelfDefine01”(Fig.35)→加入文件格式或副档名为文件类别(Fig.35)→“OK”完成(Fig.36)。Fig34Fig35Fig36开启已存在的“NoSexWeb”文件规则内容中的“HTTPContent”(Fig.37)→点选“SelfDefine01”→“确定”完成。Fig37(注:要“Disable”或“删除”某些规则功能。按滑鼠右键选择“Disable”或“删除”即可。)实习五:汇出所有规则到档案点选:“AccessPolicy”→按滑鼠右键→“输出清单”→汇到档案名称为“2k012.txt”。如何建立ISAServer封包过滤(PacketFiltering)原则实习六:设定允许对外回应ICMP封包过滤原则ISAServer安装好后，是无法由网际网路(Internet)PING到对内的网卡(203.186.33.173)。设定允许防火墙对外回应ICMP的封包过滤如下:点选:“IPPacketFilters”→按滑鼠右键(Fig.38)→“新增”→“Filters”→输入“ICMP_Ping_Query”→“下一步”→“Allowpackettransmission”→点选“Predefined”→并向下拉再点选“ICMPpingquery”→“DefaultIPaddressesforeachexternalinterfaceontheISAServercomputer”(注:采用预设防火墙为本机对外网路卡IP(203.186.33.173)位址)→“Allremotecomputers”→“下一步”→“完成”(Fig.39)Fig38Fig39PublishingService转送服务WebPublishingRules:网页转送规则透过ISAServer设定可将内部HTTP及FTP主机传给外部网路使用者存取Ser