Windows域环境下部署ISA2006企业版

Windows域环境下部署ISAServer2006防火墙（一）安装和配置ISAServer2006服务器及客户端ISAServer2006可以部署在各种规模的网络中，不同的部署方式可以针对不同规模的企业。为其提供一个安全的解决方案。ISAServer2006主要有三大功能：第一、将其部署成一台专用防火墙，作为内部用户接入Internet的安全网关；第二、利用ISAServer2006，企业内部用户能够向Internet发布服务器；第三、ISAServer2006可以像代理防火墙一样，通过服务器的缓存实现网络的加速。这三大功能咱们都会说到。今天先来看一下如何在域环境下部署ISAServer2006.ISAServer2006有两个版本，标准版和企业版。咱们今天用的是企业版，在安装之前先说一些注意事项如下：1、硬件配置是否支持（这个问题在这个年代，应该不是个问题，呵呵！）2、是否已存在ISAServer3、是否需要缓存功能4、是否进行安全服务器的发布5、windows域环境是否已搭建好6、ISAServer的应用有多大规模为什么要注意上面所说的几个问题呢？主要还是考虑到性价比的问题。如果要求不是很高，完全用不着企业版，标准版足亦！还能节省成本，毕竟这玩艺儿还不是很便宜。再说一下ISAServer2006的组件，想有效地部署ISAServer2006，必须了解ISAServer2006的各个组件及其功能。ISAServer2006主要由下面的组件构成：1、阵列——阵列是对一组ISAServer2006服务器的统一管理方式。并且它们可以共享同样的配置。2、配置存储服务器——用于存储企业中全部阵列的配置信息，是ISA中昀重要的部分3、ISA服务器服务——运行防火墙、VPN和缓存服务的ISA服务器4、ISA服务器管理——用于管理企业和阵列成员的管理终端本次以及后面要说的ISAServer2006部分都会依据下面这幅拓扑图。之所以用这幅图主要是它比较常见，是很多中型企业大概的拓扑结构。拓扑如下：我们可以看到：1、这是一种三向外围的网络形式2、windows域环境，域名为：zpp.com3、公司内部有WebServer主机名为需要发布,它们处在DMZ区。4、ISASERVER上有三块网卡，a.LANIP：192.168.1.1/24；b.DMZIP:172.16.1.1；c.WANIP：61.134.1.4/8此次的部署我们就从安装说起，安装其实很简单，设置比较少。基本都是NEXT就可以了，但还是需要注意一些问题，下面我截取了几幅需要注意的图。供参考，windows不像Linux哪样抽象，还是比较直观的。现在咱们开始安装吧！1、首先确认windows域已经搭建好，我这里已经搭好了的，域名为zpp.com,DNS也OK，如拓扑上一致。搭域的步骤很简单我这就不在多说。如图确认一下：2、确认ISAServer三块网卡已经连接好，并配置了正确的TCP/IP参数。如图：3、打开ISAServer2006的安装光盘，找到“ISAAutorun.exe”文件，双击启动ISAServer2006的安装界面，如下图：4、单击安装ISAserver2006，再单击下一步。选择我同意后输入用户名、单位名及产品序列号，单击下一步，如图：5、下面这幅图我解释一下。它是让我们选择安装方案，如果域中已经配置了存储服务器，我们就选第一项就可以了；如果还没有就选第三项；要是只想安装配置存储服务器，选择第二项就可以了；第四项用于仅安装ISA服务器管理；现在咱们的网络中还没有配置存储服务器，所以就选第三项。如图：下面几步很简单我就以笔带过，不截图了哈，免得大家说我没有一点技术含量6、选择所有安装组件，单击下一步7、选择新ISA服务器企业，单击下一步8、这时会弹出一个警告，咱们不用理会，直接单击下一步即可。9、设置配置存储服务器所使用的用户帐号，注意此帐号必须属于DomainAdmin组，咱们就用administrator吧！10、接下来设置企业内部网络，单击添加，然后单击添加适配器，将LAN网卡加入即可，下图是我确定之后的画面。11、此时需要清除“允许不加密的防火墙客户端连接”，单击下一步。为什么要清除此项呢？这一项的作用还是为了兼容像98、me这样的老版操作系统，我想这样的操作系统也只能在博物馆里找到了，呵呵！所以咱们用不着这一项。12、在服务警告页中单击下一步，再单击安装，我们就开始安装了哈！注意：核心组件装完后，系统还会自动安装附加组建并进行系统初始化。初始化完毕后就好了。装好之后ISAServer2006的配置管理界面就长这样的，如图：就这样我们的ISAServer2006服务端就装好了。接下来咱们来看一下客户端的安装，装了客户端后我们才能使用到后面会说到的众多功能。客户端的安装比服务器更简单，步骤如下：1、打开ISAServer2006安装光盘中的Client文件夹，双击“setup.exe”文件，开始安装防火墙客户端。如图：2、单击下一步，选择同意，单击下一步；选择“我接受许可协议中的条款”，确定之后，单击下一步，选择连接到此ISA服务器计算机，输入ISA服务器内网卡的地址。单击下一步，如图：3、现在单击安装按钮，我们就开始安装ISA防火墙。如图：安装完成之后，确认一下计算任务栏的右侧出现一个小图标。表示防火墙客户端启动。如图：好了！现在我们已经将ISAServer2006服务器端和客户端都配置好了.我们现在要做的事就是先来熟悉一下ISA2006管理器的控制台。先从管理控制台中的模板说起吧，ISAServer2006共给我们提供了四种模板分别是：边缘防火墙、3向外围网络、前端防火墙、后端防火墙和单网卡适配器。下面我们来具体看看这几种防火墙模板。了解了这几种模板对我们了解ISAServer乃至安全解决方案都是有帮助的。1、边缘防火墙边缘防火墙配置起来很方便。下图就是边缘放火墙的模板，可以看到防火墙将Internet与内网连接起来了，形成了一个屏障。有效的避免了来自Internet的网络攻击行为。另外边缘也是目前windows安全解决方案中使用昀广泛的之一。大多数企业可以考虑这种方案的部署。说明：前端防火墙只需要一台ISAServer就可以了，但需要有两块网卡。一块用来连接内网，一块用来连接Internet。2、前端防火墙下图就是前端防火墙的典型应用，利用ISAServer连接外部网络的网络拓扑，其作为前端防火墙，内部还有一个防火墙，配置在后端来保护内部网络。说明：前端防火墙至少需要两台ISAServer，且每台都要有两块网卡。一台用来隔离内部网络，另一台用来隔离内网及放置服务器的DMZ区。3、后端防火墙看到下图，感觉和上面差不多，其实不一样。在前端防火墙的后面，用于连接外围（DMZ）网络和内部网络的防火墙配置，用以保护内部网络的为后端防火墙。说明：和前端防火墙一样，后端防火墙的设备要求和拓扑结构是一样的。只是前后角色有些不同而已。4、单网卡型适配器说明：单网卡型适配器就没什么好说的了，它几乎是被当成了代理服务器在使用。对安全要求不太高的小型企业如果只有访问Internet的需求，可以考虑部署这种结构。5、3向外围网络第五种就是咱们特别要去说的一种类型，在接下来的配置中都是采用的这种模板，那就是3向外围网络。3向外围也是一个比较热门的部署方案，从下图中我们可以看到，部署这种方案的投资并不是太大。说明：这种部署方案在ISAServer上需要有三块网卡，一块用来连接内部网络，另一块用来连接服务器所在的外围网络，也就是DMZ区，还有一块当然就是用来连接Internet.好了，相信现在大家对windows的安全解决方案产品ISAServer2006有了一个大概的了解，由于篇幅的限制这次就只能说到这里，在后面将会看到常用防火墙策略的应用，及各种服务器的发布。Windows域环境下部署ISAServer2006防火墙（二）本次接上回，上次咱们在windows域环境中部署了ISAServer2006,安全性确实提高了，但也有点“太高了”，因为现在用户只能在局域网里活动，连昀基本的上网服务都无法使用。这次就来解决这个问题，利用ISA防火墙策略及缓存实现用户安全快速上网。我们分两部分来说，第一部分先使用防火墙策略，把内网用户上网的问题解决了。第二部分再来优化部署加快访问速度，提高效率。下面是拓扑图：可以看到基本上还是上次的图，DMZ区咱们先不看。后面说服务器发布时才会说到的。在外网上多了一台web服务器，主机名为：，（注意公网DNS我也做到这上面了）现在我们要做的就是能让内网用户通过域名的方式成功的访问web主机，并通过配置缓存加快其访问外网的速度。下面开使实施：第一部分：配置放火墙策略使内网用户能够访问Internet1、在ISA服务器管理的控制台中，选中防火墙，现在可以看到是空的，我们将要在这里添加访问策略。如图：２、右击防火墙策略，选择新建然后选择访问规则。如图：３、在弹出的新建访问规则向导中，键入访问规则的名称。我们这里因为是给内网用户访问Internet用的，所以我们键入一个名称“内网用户到Internet”来做一个标识。4、这里选择允许，就是说我们允许符合这个规则的对象去做什么。如果要拒绝某个对象，比如我们不让财务部的小财访问Internet。我们就可建一条拒绝的策略。5、现在是让我们选择协议。因为我们只有上网的需求，所以只须选择DNS、HTTP、HTTPS就可以了。如果要收发邮件或使用FTP啊其它什么的，就可以都添加进来就是了。有很多协议可以选。6、现在让我们选择访问规则源，也就是说从什么地方来的。我们这里就选择内部。因为我们现在是一个从内网到外网的访问过程。7、刚才是打哪儿来，现在是到哪儿去，当然是选择外部喽！如图：8、现在是让我们选择这个规则将会应用到哪些用户集，这里可以选择“所有通过身份验证的用户”、“系统和网络服务”、“所有用户”，咱这里选择所有用户，因为我们目的是让所有内网用户访问Internet.9、好了现在这条策略就设置好了，应用一下点击确定就可以了。如图：现在我们到客户机上来看看能否访问。我们用这台IP为192.168.1.11/24的内网用户测试一下。看到下图，说明策略生效了，内网用户可以使用域名成功的访问Web主机。注意：我这里用了一台Linux服务器模拟web服务器，并且安装了DNS。为了内网用户能够使用域名访问Web主机，还得在内网的DNS服务器（我这是和DC集成到一起的）上做转发器转到外网的DNS上。现在上网的问题解决了，可能过不了多久就会有员工像你抱怨。上网速度太慢了，能否加快一点。这时我们可以通过启用ISAServer的缓存功能来实现这个需求。第二部分：加快内网用户访问Internet的速度1、在“ISA服务器管理”的控制台树中，单击“缓存”。然后在详细信息窗格中，选择“缓存驱动器”选项卡，位置如图所示：2、然后在缓存驱动器选项卡里选择要设置的驱动器，咱这里C盘是系统，那就用D盘吧，把缓存大小设置为2000MB，单击设置，再确定就好了。注意：缓存的大小要根据实际情况来设置3、现在可能会弹出一个警告对话框，我们选择第二项“保存更改，并重新启动服务”。点击确定之后，应用策略。4、现在到缓存规则选项卡中，点击任务栏中的“配置缓存设置”。如图：5、选择高级选项卡中的“在内存中缓存的URL的昀大大小（字节）”的文本框，设置信息如图所示，还是比较好理解的，就不啰嗦了设置完毕后我们到D盘下，会看到系统自动生成了一个用于存放缓存内容的数据库文件（注意这个文件是无法打开的）。好了，经过这样一设置之后。内网用户访问Internet时速度会因为缓存而大大提高。内网用户会访问到实时的信息，因为缓存是动态更新的。本次就说到这里吧！希望大家能活学活用，ISAServer策略非常的多，而且运用起来千变万化，但原理都是一样。只要始终