第二章：安装与测试ISA Server 2006

第二章：安装与测试ISAServer2006课程大纲•ISAServer2006的安装•网络模板的应用•防火墙策略•网络规则•访问规则•发布规则ISA硬件要求：对象要求CPU至少733MHz以上，推荐2.0GHz以上内存至少512MB，推荐2GB硬件空间至少150MB，如果使用缓存模式，需要NTFS分区操作系统Windows2000Server或WindowsServer2003网络适配器必须为连接到ISAServer2006的每个网络单独准备一个适配器，如果只有一个单适配器会自动作为缓存模式4ISAServer2006安装5网络模板•为方便设置防火墙策略，ISA为用户提供5个预定义的网络模板•边缘防火墙：–公司ISAServer有两个网络连接，一个连接内部网络，另一个连接外部网络6•3向外围网络：–ISAServer连接内部网络、外部网络和外围网络的网络拓扑。外围网络即DMZ区域网络模板7•前端防火墙–ISAServer连接外部网络和外围网络的拓扑，其作为前端防火墙，内部还有一个防火墙，配置在后端保护内部网络网络模板8•后端防火墙–连接外围网络和内部网络的防火墙配置，用以保护内部网络，为后端防火墙网络模板网络模板•单一网络适配器-作为网页缓存10防火墙策略规则•网络规则–网络规则定义了网络拓扑及网络间如何连接•网络地址转换•路由•访问规则–访问规则定义了用户如何访问网络，包括访问网络的协议、访问的时间、访问的内容等•服务器发布规则–在ISA上可以建立Web、邮件、FTP、SharePoint及其他服务器的发布规则，使外网用户可以访问内网的这些服务器网络规则例：三向外围内部DMZVPNClient12防火墙策略•防火墙策略由策略元素组成，用于指定防火墙规则的参数•ISA的策略元素包括：–协议–用户–内容类型–计划–网络对象–操作13策略元素•协议：–协议类型：TCP、UDP、ICMP或IP–方向：UDP包括“发送”、“接收”、“发送接收”或“接收发送”。TCP包括“入站”和“出站”。ICMP和IP包括“发送”和“发送接收”–端口范围：TCP和UDP的端口范围是1到65535之间–协议号：IP级别的协议是0到254之间的数14策略元素•用户：–可以包括来自任何身份验证方案的用户–ISAServer预定义了以下用户：•所有经过认证的用户•所有用户•系统和网络服务15•内容类型：–ISA可以根据已定义的规则检查数据包的内容，以便限制或过滤某些内容•计划：–时间计划用于设定时间范围,可以根据企业需求将一天24小时分成许多时段ISA预定义时间计划元素：–周末（Weekends），包括星期六和星期天–工作时间（Workhours），包括从星期一到星期五的上午9:00到下午5:00策略元素16•网络对象：–网络：网络是一定范围的IP地址–网络集：网络集包含一个或多个网络–计算机：一台计算机代表一个IP地址–地址范围、子网和计算机集：代表一定范围的IP地址策略元素17防火墙访问规则的配置•防火墙策略规则的工作原理–当客户要访问Internet时，ISA首先检测网络规则。网络规则可以是路由或NAT–检查网络规则后，ISA检查访问规则。只有访问规则中允许的协议才能通过，否则被拒绝–如果访问规则中没有定义任何协议，客户的访问也会被拒绝–如果ISA中设定了多个访问规则，前面的规则拒绝了某个协议，则此协议肯定被拒绝，无论后面的规则是否允许此协议通过创建访问规则•练习一：HT公司要求所有职员只能通过访问WEB服务，禁止其他类型的访问。•练习二：HT公司要求职员只能在中午12：00-14：00访问外网，但禁止访问视频类型的资源，但经理可以随时随意访问外网。19发布规则•发布服务器简介•Web服务器的发布•其他服务器的发布发布服务器简介•将内部网络中的服务提供给外部网络用户访问的过程叫做“发布”•发布内部网络中的服务后，ISA处理外部客户向内部提出的请求，并将请求转发给内部服务器21Web服务器发布•发布原理–发布位于ISA之后的Web服务器后，ISA将代表内部Web服务器接收请求。ISA上的Web发布规则将请求转发到内部Web服务器•发布方法–Web服务器的网关指向ISA的内网卡•练习一：发布内网Web服务器•练习二：发布内网RDP服务器•练习三发布内网文件服务器创建发布规则总结：•ISAServer2006的安装•网络模板的应用•防火墙策略•网络规则•访问规则•发布规则