搜索
ISAServer基本安装配置指南本指南介绍了在现有的基于Windows的网络中拥有少于255台工作站的小型公司如何通过使用MicrosoftInternetSecurityAcceleration(ISA)防火墙安全服务,将计算机连接到Internet。1.配置网络连接ISA防火墙需要一台装有两个网络适配器的计算机。需要将其中的一个适配器连接到内部网络。将另外一个适配器连接到您的Internet服务供应商(ISP)。ISP能帮助您建立该连接。防火墙通过阻止Internet上的其他人访问内部网络或您的计算机上的机密信息,来充当企业Intranet与Internet之间的安全屏障。ISA可以安装在独立的计算机上、WindowsNT域成员计算机上或Windows2000ActiveDirectory域成员的计算机上。为实现最高的安全性,应在一台独立计算机上运行ISAServer。网络适配器的配置涉及到设置连接Internet的外部接口和连接基于Windows的网络的内部接口。您的ISP应该提供静态IP地址、子网掩码、默认网关以及一台或多台DNS服务器。在连接到ISP的网卡的TCP/IP设置中,输入该信息。一些ISP愿意使用动态主机配置协议(DHCP)指定该信息,这样也可以。配置服务器的网络适配器bitsCN.com中国网管联盟右键单击桌面上的网上邻居,然后单击属性。右键单击您的Internet连接,单击重命名,然后键入Internet连接。这将帮助您记住哪块网卡连接到了Internet。右键单击Internet连接,然后单击属性。在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。在该接口传输数据时,任务栏上的小图标将闪烁。清除Microsoft网络客户机和Microsoft网络的文件和打印机共享复选框。ISAServer通过清除这些复选框自动阻挡这些协议;从而使您可以节省内存。双击Internet协议(TCP/IP),然后执行以下步骤之一:如果您的ISP使用DHCP分配IP地址,则在Internet协议(TCP/IP)属性对话框中,单击以选中自动获得IP地址和自动获得DNS服务器地址复选框。如果需要手动输入ISP的IP地址信息,则在Internet协议(TCP/IP)属性对话框中,单击以选中褂孟旅娴?IP地址,然后键入您的ISP提供的地址、子网掩码和默认网关信息。单击以选中使用下面的DNS服务器地址,然后键入您的ISP提供的一个或多个DNS服务器的名称。单击高级,然后单击DNS选项卡。单击以清除在DNS中注册此连接的地址复选框。dl.bitsCN.com网管软件下载注意:您需要为内部适配器上的内部网络键入永久的地址和相应的子网掩码(不要在该接口上使用DHCP)。将默认网关留为空白。ISAServer计算机只需要一个默认网关:在外部接口上配置它。在内部适配器上配置默认网关会引起ISA故障。配置连接到网络的内部接口右键单击网上邻居,然后单击属性。右键单击本地连接(LAN),单击重命名,然后键入局域网。右键单击局域网,然后单击属性。在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。如果未选中,单击以选中Microsoft网络客户机和Microsoft网络的文件和打印机共享复选框。双击Internet协议(TCP/IP),然后单击以选中使用下面的IP地址复选框。在IP地址中,输入符合内部网络地址编排方案的内部IP地址和子网掩码。将默认网关留为空白。在首选DNS服务器中,键入网络的一台或多台DNS服务器的IP地址。备注:对于少于255台计算机的小型网络,如果使用Windows2000默认TCP/IP配置,并且网络中没有DNS服务器,则计算机依赖于自动专用IP地址分配(APIPA)。应该从APIPA迁移出来,并开始在客户机工作站上使用静态地址。网络中的每台计算机需要一个唯一的IP地址。如果配置了ISAServer的内部接口,需要键入静态地址,所以使用地址192.168.0.254,及子网掩码255.255.255.0。将默认网关框留为空白。在DNS服务器字段中键入ISP的DNS服务器。dl.bitsCN.com网管软件下载现在,在每台客户机上配置静态地址:在第一台计算机上,使用地址192.168.0.1,子网掩码为255.255.255.0,默认网关为192.168.0.254。对于DNS,输入ISP的一台(或多台)DNS服务器。在第二台计算机上,使用地址192.168.0.2,然后使用与上一步骤中使用的相同的值。除地址外,其他值都相同,只是为每台额外的计算机递增地址值。维护一个指示哪些计算机使用哪些地址的列表。得到提示时,重新启动计算机。2.安装ISAServer2000StandardEdition如果您没有安装Windows2000ServicePack1(SP1)和从MicrosoftISAServer2000StandardEdition光盘获得的修补程序,应立即安装。ISA安装程序提出一系列问题。使用ISAServerSetupWizard(ISAServer安装向导),在Welcome(欢迎)屏幕上,单击Continue(继续)。在相应的框中键入产品的标识号。您可以在光盘盒的背面找到该号码。请阅读许可协议,单击IAgree(同意)。单击Typicalinstallation(典型安装)作为安装类型。这将安装ISA服务和管理工具。然后选择安装模式:防火墙、代理服务器、集成模式。ISA停止计算机上的相关服务。play.bitsCN.com累了吗玩一下吧为ISA配置本地地址表(LAT)。配置LAT时需要仔细考虑。为您提供两种选择:构建LAT或者使用安装程序向导。根据以下条件作出选择:如果知道内部网络使用的子网,请在这里输入。小心:不要单击ConstructTable(建立表)按钮!如果单击,所输入的LAT信息将会被覆盖。如果不知道本地子网,请单击ConstructTable(建立表)按钮。ISASetupWizard(ISA安装向导)将根据计算机的路由表确定本地子网。如果未选中,请单击以选中Addthefollowingprivateranges(添加以下专用范围)复选框。如果未选中,请单击以选中AddaddressrangesbasedontheWindows2000routingtable(基于Windows2000路由表增加地址范围)。单击以清除包含与服务器的外部(Internet)接口相对应的子网的复选框。单击以选中包含与服务器的内部(LAN)接口相对应的子网的复选框。当安装程序完成时,启动AdministratorGettingStarted(管理员入门向导),然后在完成该向导之前阅读下一节。3.配置ISAServer以允许客户访问InternetISAServer安装后的状态将阻挡对Internet的来往访问。这是一件好事!请记住,您是在设置防火墙。防火墙的主要功能是在两个网络之间充当检查点。ISAServer的行为是通过策略阻挡任何没有被明确允许的内容。需要什么来搜一搜吧so.bitsCN.com配置ISA安装后的状态必须对访问策略的以下两个组件进行配置,以便客户机能够访问Internet:必须至少配置一个站点和内容规则,在其中指定用户可访问哪些站点以及可检索哪些类型的内容。必须至少配置一个协议规则,以便指定哪些类型的通信允许通过ISAServer。安装完成后,ISA创建一个默认站点和内容规则,允许所有客户机在所有时间访问所有站点上的所有内容。但是这对于要开始在Internet上冲浪的用户来说是不够的:现在还没有已定义的协议规则。没有它,将不允许通过ISA的通信。入门向导在GettingStartedWizard(入门向导)中,单击ConfigureProtocolRules(配置协议规则)。协议规则列表显示在Microsoft管理控制台(MMC)中。单击CreateaProtocolRule(创建协议规则)。键入名称,如所有协议。为规则的操作单击Allow(允许)(这是默认值)。单击AllIPtraffic(所有IP通信)作为协议列表(这是默认值)。单击Always(始终)(这是默认值)作为计划。单击Anyrequest(任何请求)(这是默认值)作为客户机类型。bbs.bitsCN.com国内最早的网管论坛单击Finish(完成)。创建用户如何连接到Internet的策略ISAServer的作用远不止允许所有的客户机使用所有(已定义的)协议,在所有时间访问所有站点上的所有内容。在ISA中,可以创建用于准确定义用户如何访问Internet的访问策略。ISA访问策略由以下三个元素组成:站点和内容规则协议规则IP数据包筛选器而这些规则又由以下策略元素组成:计划目标集合客户机地址集合协议的定义内容组在试图使用ISA策略定义复杂内容之前,应了解一些依存关系。下表描述哪些策略元素属于哪些策略规则:站点和内容规则协议规则目标集合协议的定义内容组计划计划客户机地址集合客户机地址集合从ISA计算机访问Internet从ISA计算机本身访问Internet会怎样?已创建的协议规则、站点和内容规则仅应用于ISA服务器后面的客户机,当客户机希望访问Internet时,只要规则允许该请求,ISA就为该连接请求创建一个动态数据包筛选器。但是,如果想在ISA计算机上访问Internet,则必须按照将产生的通信的种类创建静态数据包筛选器。例如,若要访问一个Web站点,