搜索
ISA2006标准版常规安装及无人值守ISA2006(InternetSecurityandAcceleration)是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能,在企业中有着广泛的应用。从今天开始的一系列课程中我们将陆续介绍ISA的管理和使用技巧,内容重点是访问控制,服务器发布和VPN三部分。今天我们从ISA2006的部署开始介绍。ISA2006分为标准版和企业版,两种版本的结构和功能都存在一定差异。标准版部署起来相对容易,适合中小企业使用,也适合ISA爱好者的入门学习;企业版由于引入了配置存储服务器,部署起来有一定难度,我们将它放在后期课程中介绍。今天我们准备给大家分别介绍ISA2006标准版的常规安装和无人值守安装。拓扑如下图所示,服务器Beijing有两块网卡,内网网卡的IP地址为10.1.1.254,外网网卡的IP地址为192.168.11.254。Beijing的操作系统为Win2003SP1,准备安装ISA2006作为企业的边缘防火墙。ISA2006的安装要求如下:带有ServicePack1(SP1)的MicrosoftWindowsServer™2003或MicrosoftWindowsServer2003R2操作系统。256MB内存。150MB可用硬盘空间。这是专门用于缓存的硬盘空间。至少两块网卡(如果只有一块网卡,只能安装成缓存服务器)。一个采用NTFS文件系统格式的本地硬盘分区。安装ISA2006的服务器上不能有进程占用80和8080端口。一ISA2006标准版的常规安装在Beijing上放入ISA2006的安装光盘,如下图所示,启动ISA2006的安装程序,点击“安装ISAServer2006”。出现ISA2006的安装向导,选择“下一步”。同意软件许可协议,选择下一步。输入用户名,单位及序列号等参数后,来到安装类型界面,如下图所示,选择自定义安装。选择ISA2006的安装组件,从下图可知,只有ISA服务器和ISA服务器管理两个组件。有ISA2004经验的管理员要注意,ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持,消息筛选被Forenfront取代,ISA客户端共享需要用手工共享的方法实现。接下来设置内网的地址范围,点击“添加”按钮。顺便提一下,这个参数很重要,因为在ISA中网络是防火墙策略中最基本的一个考虑因素,具体我们回头再说。设置内网范围时,点击“添加适配器”,如下图所示,选择与内网相连的网卡,点击确定。这里建议大家最好把ISA上的网卡根据实际连接情况命名为内网,外网,外围等,以方便后续使用。根据我们提供的网卡,ISA将内网的地址范围设置为10.1.1.0-10.1.1.255,点击确定。安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000之前的防火墙客户端,ISA2000之后的防火墙客户端支持数据加密,安全性更好,由于在实验环境中不需要使用早期防火墙客户端,因此我们不用勾选“允许不加密的防火墙客户端连接”。安装程序警告我们在安装过程中有些服务会重新启动,选择“下一步”。完成了参数设置,终于开始安装了。如下图所示,点击“完成”,结束了ISA2006的常规安装。至此,我们完成了ISA2006的常规安装。安装过程并不复杂,相信大家都可以完成,难的地方在后面的管理部分,慢慢来吧。二ISA2006标准版的无人值守安装ISA2006的无人值守安装原理是很简单的,常规安装时我们通过交互方式输入安装参数,无人值守时只需事先将安装参数写到答案文件中,然后让ISA的安装程序从答案文件中获取参数就可以了。因此我们实现ISA2006的无人值守只需要注意两点:1)如何创建答案文件2)如何让安装程序调用答案文件先解决第一个问题。ISA2006的安装光盘中有一个无人值守答案文件的示例,如下图所示,在ISA2006的安装光盘\FPC\Unattended_Setup_Sample\Standard_Edition目录下,有一个msisaund.ini文件,这就是示例文件。我们只要对示例文件进行简单修改,就可以满足我们无人值守安装的需求。打开模板文件看看,如下图所示,文件中有各种参数的解释。如果觉得E文看起来很吃力,我们可以在ISA2004标准版的安装光盘中找到\FPC\msisaund.ini,这个文件是ISA2004无人值守安装的示例文件。打开ISA2004的示例文件,内容和ISA2006基本相同,但帮助是中文的,呵呵,这回E文不好的兄弟可以好好参考一下了。将光盘中的msisaund.ini复制到C:\,然后对文件中的内容进行修改,我们就可以创建自己的ISA2006无人值守答案文件了。修改后的内容如下图所示,原文件中以分号开头的内容为注释,我们就不保留了。对答案文件中的内容解释一下:IDKEY=××××××××××××……这里应该填写25位长度的产品序列号INTERNALNETRANGES=110.1.1.0-10.1.1.255设置内网的地址范围,1代表只有一个地址范围,10.1.1.0-10.1.1.255是具体的范围内容SUPPORT_EARLIER_CLIENTS=0不允许早期的防火墙客户端连接INSTALLDIR=C:\ProgramFiles\MicrosoftISAServerISA2006的安装目录为C:\ProgramFiles\MicrosoftISAServerCOMPANYNAME=ITET公司名称为ITETADDLOCAL=ALL安装所有组件其实ISA2006无人值守安装还有一个很实用的功能,可以导入防火墙策略的XML配置文件,这样ISA安装完毕后,配置也就完成了,非常方便。语法是:IMPORT_CONFIG_FILE=配置文件名设置好答案文件后,我们就要考虑如何让ISA的安装程序调用这个答案文件了。我们在Beijing上输入D:\FPC\setup.exe/v/qbFULLPATHANSWERFILE=\c:\msisaund.ini\,如下图所示,这样安装程序就会将C:\MSISAUND.INI作为ISA2006的无人值守答案文件了。ISA2006的安装开始启动了,如下图所示,整个安装过程无需用户参与。安装完毕后,打开ISA2006管理器,如下图所示,安装已经顺利完成。至此,我们完成了ISA2006标准版的部署,在下次课程中,我们将介绍ISA2006的三种客户端。详解ISA2006三种客户端上一篇我们介绍了如何部署ISA2006,本文我们要让部署好的ISA来干活了。ISA能干什么活?从字面意思看,ISA的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能,看看内网用户如何利用ISA来访问互联网。ISA的代理服务支持三种客户端,分别是:Web代理客户端防火墙客户端SNAT客户端我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,Beijing安装了ISA2006标准版,Perth是内网客户机。因为ISA默认的防火墙策略是拒绝一切通讯,所以实验之前我们需要先在ISA上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在Beijing上依次点击开始-程序-MicrosoftISAServer-ISA服务器管理,如下图所示,右键点击防火墙策略,选择新建“访问规则”。给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许ISA服务器也能访问互联网。设置好通讯源后,点击下一步。现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。用户我们则选择“所有用户”,注意,所有用户中包括未经身份验证的用户。如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或ISA本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户,ISA一律允许。怎么样,这个规则很宽泛吧。如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。一Web代理客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。Web代理设置起来很容易,以IE浏览器为例,在客户机上打开IE,依次点击工具-Internet选项-连接-局域网设置,如下图所示。我们将代理服务器设置为ISA内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。默认情况下ISA已经启用了Web代理服务,如果不放心可以检查一下。打开“ISA服务器管理”,展开配置-网络-内部,查看内部网络的属性,切换到“Web代理”标签,如下图所示,我们发现ISA的Web代理服务已经在8080端口启动了。在客户端测试一下,如下图所示,我们在客户机上成功地使用Web代理访问了互联网上的网站。下图是客户机的TCP/IP设置,我们发现,客户机并没有设置DNS参数,那客户机访问网站时怎么解析域名呢?答案是转发至ISA服务器由ISA进行解析。Web代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。二防火墙客户端代理由于Web代理只能使用浏览器访问互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为Mspclnt(和老版本的ISA保持一致),如下图所示。客户机访问\\beijing\mspclnt,运行Setup.exe,如下图所示。出现防火墙客户端的安装向导,点击下一步。同意软件许可协议,点击下一步。选择软件安装文件夹,我们取默认值。指定ISA服务器,用计算机名或IP均可。准备开始安装。安装过程很快完成。安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有DNS转发功能。三SNAT客户端微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。但Web代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。客户机尝试SNAT之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用MicrosoftFirewallClien