ISASERVER使用指南随着因特网的使用继续扩展,安全和性能也同样面临挑战。在以前仅仅给我们提供了代理服务的软件渐渐的在我们的要求面前越来越显得苍白无力了。怎么办?我们选择了寻找新的软件以及企业上网的解决方案。从长远来考虑,我们需要的不仅仅是一个代理软件,让企业职工能够通过这个代理访问到外面的世界,让他们感知外面的世界并且尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界,而且还需要世界来了解我们。当然,这个时候那么安全和性能就越来越得到企业和用户的重视了。当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理服务器不算少,每个代理服务器均使用了一个月以上了,但是都不是非常满意。大致归纳起来lSYSGATE:功能太简单,效率不是很高,稳定性还可以;lWINGATE:功能适中,速度效率都还不错,稳定性不好;lWINROUTE:功能适中,速度效率基本上来说还可以,稳定性也还是不错;lCCPROXY:速度不错,但是总的来说总有一些或多或少的毛病;lINTERNET连接共享:功能太简单,效率非常一般,稳定性还可以;还是说说我们单位的大致情况吧。8M专线ADSL接入INTERNET,两台HP服务器,网络中心为100M到桌面,整个企业网络为全交换式网络。企业内部所以科室机器全部需要连接到INTERNET,科室机器大约为200台。机房有4个,机器大约总共为200台左右。我们需要能够随时控制哪些科室在什么时间段能够上网,并且能够对这些科室的上网带宽进行控制。能够随时灵活的控制机房是否能够上网。能够在企业内部建立若干个WEB和FTP站点,并且通过这个代理服务器发布到INTERNET上,让INTERNET上的朋友对这些个资源进行访问……在使用了这些代理之后,我渐渐的开始失望,难道真的没有让我满意的代理服务器吗?最后,在朋友的介绍下我们使用了这款微软发布的代理服务器——InternetSecurityandAccelerationServer。首先澄清一点,我绝对不是微软的枪手,而且微软也绝对不会找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。InternetSecurityandAcceleration(ISA)Server可以说是原来基于WindowsNT4.0的MSPROXY的一个升级版本吧。它在前一版的基础上修补了许多安全性及缓存上的缺陷,提供了更快速、更安全、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说,这款软件不仅仅再是一个代理软件了,它还充当了一个“防火墙”的功效。ISAServer允许被安装成Cachemode(缓存模式)、Firewallmode(防火墙模式)、Integratemode(集成模式)三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时,也要对公司内部的主机进行相应的保护的话,那么Firewall或Integrate模式正是您所需要的。但在很多企业没有任何相关的Internet主机或外部已经有防火墙,而他们知识希望能加快网络间流量传递速度,则采用Cache模式是最理想的一种方案了。那么ISA能够提供给大家一些什么服务呢?多层防火墙安全防火墙可以通过各种方法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙,如ISAServer所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层,ISAServer检查在IP消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的TCP或UDP消息头中的端口。动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。ISAServer可以动态地确定,哪些数据包可以传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。集成的入侵检测ISAServer利用一家名为InternetSecuritySystems的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke和PingofDeath之类的常见网络攻击的这种服务。并且ISA能够自动对其作出响应。这项技术给ISAServer提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时,警报还能同时指出ISAServer应采取什么行动,这些行动可包括向系统管理员发送电子邮件或寻呼,停止Firewall服务,写入到系统事件日志,或运行任何程序或脚本。高性能Web缓存ISAServer对Web缓存进行了彻底的重新设计,使它可以将缓存放入RAM中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的Web缓存可提供更强的后端可伸缩性,并提供了更快的Web客户机总体响应时间。这对于企业内部来说尤其重要,因为员工需要快速访问Web内容,而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。缓存阵列路由协议ISAServer使用了缓存阵列路由协议(CacheArrayRoutingProtocol,CARP)。因此您可以通过多台ISAServer计算机组成的阵列来提供无缝缩放和更高的效率。活动缓存通过一个叫做活动缓存的功能,可配置ISAServer使其自动更新缓存中的对象。使用这种功能,ISAServer可通过主动刷新内容来优化带宽的使用。通过活动缓存,经常被访问的对象在它们到期之前,在低网络流量时段自动更新。统一管理ISAServer利用基于Windows2000的安全性,ActiveDirectory服务、VPN和Microsoft管理控制台(MMC,MicrosoftManagementConsole)。所有这些功能,特别是MMC,会使得管理更容易,因为操作人员熟悉它,并可从一个控制台同时管理防火墙和Web缓存。企业策略和访问控制ISAServer还支持创建企业级和本地阵列策略,用于集中实施或本地实施。ISAServer可作为独立服务器安装或作为阵列成员安装。为便于管理,各个阵列成员都使用相同的配置。对阵列配置进行修改时,阵列中的所有ISAServer计算机也都将得到修改,包括所有访问和缓存策略。好了,说了这么多了,也许大家都还不是很明白或者正在怀疑是否这个ISAServer能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安装以及调试还有配置过程吧。ISA安装入门篇在实验中,我们使用的是企业版的ISA2000Server,而开始当然是要进行安装ISA了哦!在这里我们选择“InstallISAServer”。在这里,会要求你输入10位的数字“CDKey”,请大家输入了之后点击“OK”确认。然后进入下一步。面对M$的授权信息你除了点击“IAgree”之外还能做些其他什么吗?至于内容嘛还是那些老一套,看不看我觉得都无所谓了。在这里,程序会提示请你选择安装的路径以及安装的方式,在这里,我选择的是“FullInstallation”,因为即使是完全安装也只需要花费24.5M的空间,而且安装速度也是非常的快。所以我还是推荐大家使用完全安装吧。如果您的计算机没有成为域控制器而是一个独立的服务器的话,那么ISA到这里会向您发出一个警告。如果您不想配置ISAServer阵列的话,那么您可以不用理会这个警告,直接“Yes”过去就可以了。我们前边说过的ISA的三种工作模式在这里就要做一个选择了!我选择的是集成模式“Integratedmode”。在这里,如果您已经安装IIS的话,那么ISA到这里会提醒你,它会马上关闭掉IIS所使用的80端口。因为ISA会对80端口进行独占使用,而这也是基于安全考虑。大家都知道,一个成功的黑客只需要一个80端口就可以对您的硬盘完成格式化的操作——这绝对不是骇人听闻了,是真的哦。当然,如果您非要在这台机器做WEB服务的话,那么就只要委屈你使用其他的端口了,但是必须注意的是不能占用80和8080端口。因为80和8080端口都让ISA强行占用了。在这里还是OK吧,不要老是念叨你的WEB服务了,后边我们有几乎完美的解决方案的。在这里选择CACHE存放的磁盘以及CACHE的容量。现在已经都是宽带网络时代了,所以我建议不要把CACHE设得太了,根据实际使用的情况,在合理分配带宽的前提下,尽量的使用网络资源不是很好吗?我们这里设置的为100M。到了这里,ISA会请您设置一个本地的IP范围。我们这里是划分的一个B类的子网,所以,在这里我们的IP范围为192.168.0.1~192.168.5.255。如果是一般的中小型网络,采用255.255.255.0做掩码,用192.168.0.X作为IP地址的话,那么这里请你按照您本地网络的情况加上这个IP段就可以了。然后“OK”进行下一步。等待系统复制必要的程序文件。到了这里,您的ISA就基本已经安装完了,剩下的就是配置方面的事情了。在这里,系统会提示您是否需要进行“向导化配置”。建议大家不要使用这个向导,因为实际上我们根本就用不到其中的一些功能。这里取消掉“StartISASserverGettingStartedWizard”前边的小勾,然后电击“OK”。恭喜您,您的ISAServer已经安装成功了。我们现在打开“开始”à“程序”à“MicrosoftISAServer”à“ISAManagement”。大家在管理窗口中选中“服务器名称(BLUEWOLF)”标签下的“Monitoring”标签,然后选中“Services”这个标签,在右边会出现三个服务内容,由于我安装的是“集成模式”所以在这里有三个服务,他们三个服务最好都能够正常的启动起来,这样你才能使用ISA的所有功能。如果其中有功能不能正常启动的话,那么就说明这次的ISA需要重新安装了。如果出现了上述问题,请卸载掉ISA,然后检查是否有一些服务占用了系统某些ISA必须要使用的资源,还有停掉一些不会用到的服务,然后再安装ISA吧。这种不能启动服务的原因你可以查看日志或者是通过经验来进行判断。一般都是因为软件冲突才会发生这些情况的。好了,如果服务都启动了的话,现在我们就来对这个ISA进行最基础的设置吧。首先保证客户端能够正常的上网,然后我们再进行其他的限制之类的工作吧。默认的,ISA是一个软件防火墙,不允许任何的数据通过它。那么我们现在先要使ISA允许内部的所有申请都能够通过它,这样内部才能访问到INTERNET上的资源嘛。请大家展开“AccessPolicy”标签,然后选中里边的“ProtocolRules”点击鼠标右键,然后选择“新建”à“Rule…”。接着就跟我一步一步进行设置吧。这里填写的是这个协议规则的名称,用户可以根据自己的需要和喜好自行设置。我这里设置的为“AlowToInternet”。这里是请你选择这个协议规则的处理方法,这里有两个选择项目“Allow”和“Deny”,也就是允许通过以及禁止通过。在这里我们是希望LAN内的机器允许通过这里访问外部,所以这里我们选择“Allow”。在这里是让你选择这条规则对那些IP生效,在这里,我们先不进行限制,等以后了再进行修改也可以。这里我们选择“AllIPtraffic”——允许所有IP通过。这里是选择协议规则生效的时间段的。在这里您可以根据您的需要对协议生效的日期和时间段进行设置。比如说,你想周1至周5的上班时间允许这个规则生效而周末是全天开放,这些都可以在这里进行设置,非常的灵活。但是这里一个下拉只有让您暂时选择一下,然后等后边了我们再进行详细的修改吧。这里我们选择了“Always”。这里是对允许通过的客户端进行授权的,您在这里