ISAServer2006安裝之完全手冊

1、（一）ISA Server計(jì)算機(jī)網(wǎng)絡(luò)適配器的TCP/IP設(shè)置在你安裝ISA防火墻之前，你需要正確的配置這臺服務(wù)器計(jì)算機(jī)的網(wǎng)絡(luò)屬性，這對ISA防火墻的運(yùn)行至關(guān)重要。因?yàn)镮SA防火墻的防火墻服務(wù)和系統(tǒng)的TCP/IP驅(qū)動(dòng)工作在相同的層次，錯(cuò)誤的配置將可能導(dǎo)致你的ISA防火墻不能正常運(yùn)行。在這篇文章中我將通過一個(gè)簡單的ISA防火墻計(jì)算機(jī)的配置進(jìn)行介紹并對每一步驟加以說明，我假設(shè)了一個(gè)這樣的網(wǎng)絡(luò)環(huán)境：你擁有一臺ISA防火墻，它具有兩個(gè)網(wǎng)絡(luò)適配器，一個(gè)連接到你的內(nèi)部網(wǎng)絡(luò)，并且另外一個(gè)連接到Internet。從安全上考慮，我們現(xiàn)在將連接到Internet的網(wǎng)絡(luò)適配器從物理上斷開，直到配置完成后才連接到Int

2、ernet；你可以訪問內(nèi)部或外部的DNS服務(wù)器解析Internet域名，你的內(nèi)部網(wǎng)絡(luò)中的客戶通過內(nèi)部網(wǎng)絡(luò)中的DNS服務(wù)器來解析Internet名字；你已經(jīng)了解網(wǎng)絡(luò)適配器所需要的TCP/IP配置；你對Windows 2000網(wǎng)絡(luò)具有基本的了解；防火墻的網(wǎng)絡(luò)適配器通常改名為“North”和“South”，分別代表Internet和內(nèi)部網(wǎng)絡(luò)，在此我也按照這種方式進(jìn)行命名。配置網(wǎng)絡(luò)適配器順序首先我們需要確認(rèn)網(wǎng)絡(luò)適配器按照正確的順序進(jìn)行綁定，由于名字解析依賴于此設(shè)置，所以我們需要確認(rèn)它是絕對正確的。1.右擊網(wǎng)上鄰居，然后選擇屬性，在彈出的網(wǎng)絡(luò)和撥號連接窗口中，你可以看到ISA防火墻上的網(wǎng)絡(luò)適配器，其中N

3、orth代表Internet，South代表內(nèi)部網(wǎng)絡(luò)；2.點(diǎn)擊菜單欄的高級，再點(diǎn)擊高級設(shè)置，彈出的對話框如下圖所示。首先我們需要確認(rèn)South網(wǎng)絡(luò)適配器在面板的最上面，如果沒有，選中它再點(diǎn)擊右邊的向上箭頭，文件和打印機(jī)共享和Microsoft網(wǎng)絡(luò)客戶這兩個(gè)服務(wù)都應(yīng)該綁定到South網(wǎng)絡(luò)適配器上。對North網(wǎng)絡(luò)適配器強(qiáng)化安全1、接下來我們需要檢查服務(wù)器計(jì)算機(jī)上的服務(wù)沒有對外部的非法訪問者開放，選擇North網(wǎng)絡(luò)適配器，然后取消綁定這些相同的服務(wù)（文件和打印機(jī)共享和Microsoft網(wǎng)絡(luò)客戶），配置如下圖所示。我們并不需要讓外部網(wǎng)絡(luò)中的客戶訪問這些服務(wù)，并且我們應(yīng)該在安裝ISA防火墻之前將這臺服

4、務(wù)器配置為比較安全的狀態(tài)。2.        點(diǎn)擊確定關(guān)閉對話框。配置North網(wǎng)絡(luò)適配器的TCP/IP設(shè)置現(xiàn)在我們來分別配置每個(gè)網(wǎng)絡(luò)適配器，首先是配置連接到Internet適配器North，1.右擊North網(wǎng)絡(luò)適配器，然后選擇屬性，確認(rèn)取消綁定了文件和打印機(jī)共享和Microsoft網(wǎng)絡(luò)客戶。2.雙擊Internet協(xié)議(TCP/IP)，然后選擇使用下面的IP地址，然后輸入正確的IP地址，將DNS服務(wù)器留空。相信我，當(dāng)我們配置完成時(shí)，這一切工作是正常的。3. 點(diǎn)擊高級按鈕，如果你具有其他的IP地址，你可

5、以在此輸入。在你繼續(xù)進(jìn)行配置之前，確認(rèn)你的配置是正確的。4.        點(diǎn)擊DNS標(biāo)簽，我們在這個(gè)地方需要做的唯一一件事情是取消選擇在DNS中注冊此連接的地址。這將禁止DHCP客戶端服務(wù)嘗試為這個(gè)網(wǎng)絡(luò)適配器在DNS服務(wù)器更新自己的記錄。5.        點(diǎn)擊WINS標(biāo)簽，取消選擇啟用LMHOSTS查詢和選擇禁用NetBIOS over TCP/IP，這樣就關(guān)閉了外部網(wǎng)絡(luò)適配器上的最后一個(gè)安全漏洞；6. 依次點(diǎn)擊確定關(guān)閉所

6、有North網(wǎng)絡(luò)適配器的對話框。配置South網(wǎng)絡(luò)適配器的TCP/IP設(shè)置   現(xiàn)在我們來配置連接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器South，我們將允許它擁有更多的服務(wù)，當(dāng)然也就擁有更多的安全弱點(diǎn)。1. 右擊South網(wǎng)絡(luò)適配器，然后選擇屬性。在彈出的South屬性對話框中，不需要修改綁定的協(xié)議。2.           雙擊Internet協(xié)議(TCP/IP) ，然后為你的內(nèi)部網(wǎng)絡(luò)輸入正確的IP地址。對于內(nèi)部網(wǎng)絡(luò)，你應(yīng)該選擇IANA在RFC-1918中定義的私有I

7、P地址，這些私有IP地址不能在Internet上進(jìn)行路由。如果你在內(nèi)部網(wǎng)絡(luò)中使用Internet上可以路由的IP地址，會(huì)帶來很多問題。在此我使用最常用的地址段，配置好的IP地址如下圖所示，注意，在這個(gè)網(wǎng)絡(luò)適配器上沒有配置默認(rèn)網(wǎng)關(guān)。3.輸入為內(nèi)部網(wǎng)絡(luò)提供名字解析服務(wù)的DNS服務(wù)器的IP地址作為DNS服務(wù)器。如果你在內(nèi)部網(wǎng)絡(luò)中使用了域服務(wù)，那么域中的DNS服務(wù)器將是首選。4.留空默認(rèn)網(wǎng)關(guān)設(shè)置，默認(rèn)網(wǎng)關(guān)只能有一個(gè)。5.如果你在內(nèi)部網(wǎng)絡(luò)中具有多個(gè)子網(wǎng)，你必須為這些遠(yuǎn)程子網(wǎng)定義靜態(tài)路由。最簡單的辦法是創(chuàng)建一個(gè)無類別的路由項(xiàng)，例如，如果你的這些網(wǎng)絡(luò)都使用定義，那么你可以執(zhí)行以下命令：Route -p ad

8、d 192.168.0.0 mask 255.255.0.0 192.168.0.1 這樣就可以告訴ISA防火墻如何路由到達(dá)這些遠(yuǎn)程子網(wǎng)的數(shù)據(jù)包。6.        點(diǎn)擊DNS標(biāo)簽，如果你的內(nèi)部DNS服務(wù)器支持動(dòng)態(tài)更新（例如AD集成的DNS服務(wù)器），那么可以選擇在DNS中注冊此連接的地址。7.        點(diǎn)擊WINS標(biāo)簽，你可以保留啟用NetBIOS over TCP/IP。注意，啟用LMHOSTS查詢是一個(gè)全局設(shè)置，在一個(gè)網(wǎng)絡(luò)適配

9、器上禁止它將會(huì)影響所有的網(wǎng)絡(luò)適配器。8.依次點(diǎn)擊確定關(guān)閉所有South網(wǎng)絡(luò)適配器的屬性對話框。9.打開命令提示符窗口，然后運(yùn)行“ipconfig /all”，下面列出了我們做的網(wǎng)絡(luò)適配器的TCP/IP配置：Ethernet adapter sounth: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2 Physical Address. . . . . . . . . : 00-03-FF

10、-06-E6-A6 DHCP Enabled. . . . . . . . . . . : No Default Gateway . . . . . . . . . :Ethernet adapter North: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) Physical Address. . . . . . . . . : 00-03-FF-05-E6-A6 DHCP Enabled.

11、 . . . . . . . . . . : No Default Gateway . . . . . . . . . : NetBIOS over Tcpip. . . . . . . . : Disabled （二）安裝 ISA Server 2006 以域管理員身份登錄到需要安裝ISA Server 2006的主機(jī)(ISA_Server)上，由于我們的ISA Server服務(wù)器已經(jīng)加入了域，在ISA Server 服務(wù)器上內(nèi)部網(wǎng)卡的DNS上面我們填寫了內(nèi)網(wǎng)的DNS服務(wù)器的IP。ISA Server的內(nèi)部接口（192.168.0.200）。都是以正確的安裝為基礎(chǔ)的，所以，我們會(huì)對

12、安裝ISA Server 2006進(jìn)行著重的介紹。我們安裝的版本是ISA Server 2006 中文標(biāo)企業(yè)版。運(yùn)行ISA Server 2006安裝光盤根目錄下的ISAAutorun.exe開始ISA Server 2006的安裝，如下圖：點(diǎn)擊“安裝 ISA Server 2004”，出現(xiàn)安裝界面：點(diǎn)擊“下一步”，在授權(quán)畫面上選擇“我接受許可協(xié)議中的條款”，然后點(diǎn)擊“下一步”；在“客戶信息”頁，輸入個(gè)人信息和產(chǎn)品序列號，點(diǎn)擊“下一步”繼續(xù)。出現(xiàn)“安裝方案”對話框，在該對話框中選擇”安裝方案”，在此選擇”同時(shí)安裝ISA Server服務(wù)和配置存儲(chǔ)服務(wù)器”選項(xiàng)，單擊“下一步”按鈕；出現(xiàn)“組件選擇

13、”對話框，在此安裝“ISA服務(wù)器”、“ISA服務(wù)器管理”和“配置存儲(chǔ)服務(wù)器”組件，單擊“下一步”按鈕：出現(xiàn)“企業(yè)安裝選項(xiàng)”對話框，選擇“創(chuàng)建新ISA服務(wù)器企業(yè)”選項(xiàng)，單擊“下一步”按鈕：出現(xiàn)“新建企業(yè)警告”對話框，顯示將此計(jì)算機(jī)配置為配置存儲(chǔ)服務(wù)器，單擊“下一步”按鈕；出現(xiàn)“內(nèi)部網(wǎng)絡(luò)”對話框，在該對話框中指定內(nèi)部網(wǎng)絡(luò)單擊“下一步”按鈕；單擊“添加”按鈕，出現(xiàn)“地址”對話框；單擊“添加適配器”按鈕，出現(xiàn)“選擇網(wǎng)絡(luò)適配器”對話框，在該對話框中選擇ISA Server的內(nèi)部網(wǎng)卡“sounth”來確定公司內(nèi)部網(wǎng)絡(luò)IP地址范圍；單擊“確定”按鈕，返回“地址”對話框，可以看到已經(jīng)添加了地址范圍。單擊“確定”按鈕，返回“內(nèi)部網(wǎng)絡(luò)”對話框；單擊“下一步”按鈕，出現(xiàn)“防火墻客戶端連接”