ISA SERVER2006的部署方案

ISASERVER2006的部署方案第一部分：服务器的配置一、硬件要求：下表根据Internet链路带宽总结了用于在三种典型单计算机部署上支持HTTP流量的硬件推荐配置。Internet链路昀高5T1(7.5Mbps)昀高25Mbps昀高T3(45Mbps)昀高90Mbps处理器/核1122/2处理器类型PentiumIII550MHz（或更高频率）Pentium42.0–3.0GHzXeon2.0–3.0GHzXeon双核AMD双核2.0–3.0GHz内存256MB512MB1GB2GB磁盘空间150MB2.5GB5GB10GB网络接口10/100Mbps10/100Mbps100/1000Mbps100/1000Mbps目前我司部署的ISASERVER服务器配置为单核Celeron2.53GHZ的处理器、1.21G内存、40G硬盘及10/100Mbps的网络接口二、ISA_2006.Ent的安装（ISA2006在windowsserver2003sp2下面NAT客户端无法使用）部署ISAServer2006企业版时，部署顺序为：1、安装WindowsServer2003及SP1；2、部署ISAServer2006的配置存储服务器及ISA服务器；3、部署WindowsServer2003SP2；4、按照KB936594进行补丁修补。直接双击ISAAutorun.exe，其安装与普通软件安装方法差不多，期间注意二个地方的设置：①由于是安装的是第一台ISA企业版服务器，在安装组件选择中必须选择安装ISA服务器管理和配置存储服务器，否则安装失败。②在内部网络地址范围中填写我们实际的所要控制的局域网的地址范围，即从192.168.0.1到192.168.6.254。三、ISASERVER规则在ISASERVER中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络之间是否能访问、以及如何进行访问，而访问规则则定义了用户的访问，服务器发布规则则定义了如何让用户访问服务器。1、网络规则网络的连接方式有：●路由：来自源网络的客户端请求将被直接转发到目标网络。●网络地址转换（NAT）：ISA服务器将用它自己的IP地址替换源网络中的客户端的IP地址。路由网络关系是双向的，而NAT关系则是唯一的和单向的。安装时系统会创建以下默认规则：●本地主机访问：此规则定义了在本地主机与其他所有网络之间存在的路由关系。●VPN客户端到内部网络：此规则定义了VPN客户端网络（“VPN客户端”和”被隔离的VPN客户端”）与内部网络之间存在的路由关系。●Internet访问：此规则定义了在内部受保护的网络与外部网络之间的存在的NAT关系。2、访问规则（1）防火墙系统策略在安装好ISA服务器事，会创建系统默认的系统策略。在防火墙策略上点击由键”查看”，然后点击”显示系统策略规则”.可根据实际需求对系统策略进行修改。如上图的第八条规则为：允许从ISA服务器到已选定服务器的DNS解析。第十一条规则为：允许从所选计算机到ISA服务器的ICMP（PING）请求。（2）访问策略（后面防火墙策略详述）此策略由用户定义，除了系统默认策略中允许的通信外，所有的访问都是禁止的.由客户端到ISA服务器，再由ISA服务器决定是否允许到外部网络，创建的策略关键是发送的请求要ISA服务器能通得过。（3）服务器发布策略：主要是做反向代理，可发布web、mail、sharepoint、非web站点功能。我司目前没有用到此功能，不做描述。四、系统和网络监控通过ISA控制台的”监视”，可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA的系统服务运行情况，还可以通过日志来查询当前的网络活动，也可以配置连接性检查和生产网络活动的报告。①、仪表板：对当前的状态一目了然。②、警报：自定义设置遇到某项事件时（如超大的UDP数据包、超过昀大连接限制等）进行报警③、会话：可以自定义查询当前正在与ISA服务器进行通讯的所有客户端的会话状态④、服务：可以查看服务器的运行状态⑤、配置：查询当前服务器设置的状态，只针对ISA企业版有用。⑥、报告：可以针对通讯和内容设置成定期产生报告⑦、日志：可以查询到用户一切的上网行为。五：缓存配置ISA2006对频繁请求的对象执行缓存，以改善网络性能。在安装ISA服务器时，ISA服务器计算机的任何磁盘驱动器上都没有指定用于缓存的空间，所以默认情况下是禁用缓存的。通过指定在驱动器上要使用的空间量，可以有效启用缓存后，根据存储指定站点中的内容设置缓存规则。①设置缓存驱动器及大小②创建缓存规则：设置从内部到外部根据网络实体、wev对象、http缓存规则及大小。五、ISASERVER策略。针对策略可以按下图表总结策略=条件+行为用户规则我司目前配置好的防火墙策略如下：1、允许从本地主机和内部网络到外部的DNS解析。2、允许内部到内部网络之间的所有通讯3、拒绝除无限上网用户以外的内部网络和任何地点到外部使用QQ。其中发送的源头为除‘无限上网用户’外的所有地点其中无限上网用户在我司环境中只设置了IT信息部用户，而QQServerAutoIn和QQ为所有我们检测出来的所有发布QQ服务器的IP地址和域名集。4、此规则是禁止MSN传输文件的。注：此规则只针对windows系统自带的windowsmsnenger有效，对下载的MSNMessenger无效，所以对开通上MSN的用户请使用windows系统自带的MSN软件。5、允许可以上MSN的用户。6、允许可以上http、https、SSL类型的网站的用户若对外部网络中某些个别的网站不可以上，也可以把它除外7、第8~~11条规则为配置允许收发邮件的规则将需要收发外部邮件的源通讯用户收集在一个计算机集中，对于要发送到目标的通讯需要设置成一个地址范围。比如目标通讯为popx.163vip.net,需要将这个地址的IP范围填加进来。8、第12条规则为也许本地主机到内部的所有出站通讯六、ISA规则元素类型描述协议创建访问规则时需要使用这些协议：协议类型、出站\入站方向、端口范围、协议号、ICMP属性、辅助连接等用户结合域环境下ActiveDirectory使用，我司目前没有通过用户进行限制内容类型规则中允许访问那些内容类型：HTML文档、VRML、宏文档、视频、图像、文档、文本、压缩的文件、音频、BT下载文件等计划控制时间段对某个策略生效。此功能在我司没做配置网络对象包括网络、网络集、计算机、地址范围、子网、计算机集、URL集、域名集等七、ISA包过滤使用包过滤可以阻止某一类型文件的访问，可以优化网络速度和访问规则①、指定用于阻止所选规则的HTTP通讯的常规参数②、HTTP刷选器——扩展名：所请求的扩展名（如.exe和.asp）来阻止HTTP请求。③、HTTP刷选器——签名：指定要阻止的签名（字符串）来禁止某些软件通过HTTP包访问。第二部分：ISASERVER客户端的设置1、ISASERVER总共包含三种客户端，根据需要再安装客户端软件：●防火墙客户端FWC：这是用户端电脑上，防火墙客户端软件是安装并起用的●SecureNat客户端：这是用户端没有安装FWC软件的电脑。●Web代理客户端：这是客户端的Web应用程序，这是设置为使用ISAServer计算机。针对三种客户端的详细比较：功能SecureNAT客户端防火墙客户端Web代理客户端要求安装要求更改某些网络配置是不，要求Web浏览器配置操作系统支持任何支持传输控制协议/Internet协议(TCP/IP)的操作系统仅Windows平台所有平台，但采用Web应用程序的形式协议支持要求有用于多种连接协议的应用程序筛选器所有Winsock应用程序超文本传输协议(HTTP)、安全HTTP(HTTPS)、文件传输协议(FTP)和Gopher用户级身份验证要求更改某些网络配置是是服务器应用程序不要求配置或安装要求配置文件不适用2、目前我司是使用web客户端和FWC客户端相结合使用的1、需要安装防火墙客户端FWC.①打开防火墙客户端软件,双击setup.exe点下一步直到完成后,电脑右下角出现FWC图标或开始→所有程序→MicrosoftFirewallClient管理.②打开FWC面板,选择手动指定的ISA服务器的IP地址,即为192.168.0.10③此时FWC已经配置完成2、需要对客户端的outlook做如下两处修改:①、将outlook的POP3/SMTP地址填写实际的地址②、修改服务器端口号,改为标准端口,即:①选择手动指定的ISA服务器地址192.168.0.10②验证是否可以连接到ISA服务器③应用配置填写实际的POP3/SMTP地址ISA对外部邮箱统一使用标准端口发布