ISA服務(wù)器安裝設(shè)置使用手冊

1、ISA服務(wù)器安裝設(shè)置全集(圖文) 2007年06月14日15:44 HYPERLINK t _blank ChinaByteISA SERVER使用指南隨著因特網(wǎng)的使用接著擴展，安全和性能也同樣面臨挑戰(zhàn)。在往常僅僅給我們提供了代理服務(wù)的軟件慢慢的在我們的要求面前越來越顯得蒼白無力了。如何辦?我們選擇了查找新的軟件以及企業(yè)上網(wǎng)的解決方案。從長遠(yuǎn)來考慮，我們需要的不僅僅是一個代理軟件，讓企業(yè)職工能夠通過那個代理訪問到不處的世界，讓他們感知不處的世界同時盡快的了解瞬息萬變的市場。我們不但需要主動的去了解世界，而且還需要世界來了解我們。因此，那個時候那么安全和性能就越來越得到企業(yè)和用戶的重視了。因此更

2、加一個迫使企業(yè)的網(wǎng)管們?nèi)ゲ檎腋玫拇碥浖木壒蚀_實是隨著用戶和訪問量的增加代理軟件的穩(wěn)定性幾乎成幾何數(shù)積的方式遞減。我所試過的代理服務(wù)器不算少，每個代理服務(wù)器均使用了一個月以上了，然而都不是特不中意。大致歸納起來l SYSGATE：功能太簡單，效率不是專門高，穩(wěn)定性還能夠;l WINGATE：功能適中，速度效率都還不錯，穩(wěn)定性不行;l WINROUTE：功能適中，速度效率差不多上來講還能夠，穩(wěn)定性也依舊不錯;l CCPROXY：速度不錯，然而總的來講總有一些或多或少的毛病;l INTERNET連接共享：功能太簡單，效率特不一般，穩(wěn)定性還能夠;依舊講講我們單位的大致情況吧。8M專線ADSL接入

3、INTERNET，兩臺HP服務(wù)器，網(wǎng)絡(luò)中心為100M到桌面，整個企業(yè)網(wǎng)絡(luò)為全交換式網(wǎng)絡(luò)。企業(yè)內(nèi)部因此科室機器全部需要連接到INTERNET，科室機器大約為200臺。機房有4個，機器大約總共為200臺左右。我們需要能夠隨時操縱哪些科室在什么時刻段能夠上網(wǎng)，同時能夠?qū)@些科室的上網(wǎng)帶寬進(jìn)行操縱。能夠隨時靈活的操縱機房是否能夠上網(wǎng)。能夠在企業(yè)內(nèi)部建立若干個WEB和FTP站點，同時通過那個代理服務(wù)器公布到INTERNET上，讓INTERNET上的朋友對這些個資源進(jìn)行訪問在使用了這些代理之后，我慢慢的開始失望，難道確實沒有讓我中意的代理服務(wù)器嗎?最后，在朋友的介紹下我們使用了這款微軟公布的代理服務(wù)器 I

4、nternet Security and Acceleration Server。首先澄清一點，我絕對不是微軟的槍手，而且微軟也絕對可不能找我這種蹩腳的槍手的?；蛘吣銈兛戳宋液筮叺氖褂靡约癐SA的功能之后就可不能覺得我在吹噓什么了。Internet Security and Acceleration(ISA) Server能夠講是原來基于Windows NT 4.0的MS PROXY的一個升級版本吧。它在前一版的基礎(chǔ)上修補了許多安全性及緩存上的缺陷，提供了更快速、更安全、更直觀易于治理的系統(tǒng)。并整合了企業(yè)級的防火墻系統(tǒng)及高性能的緩存機制也確實是講，這款軟件不僅僅再是一個代理軟件了，它還充當(dāng)了一

5、個“防火墻”的功效。ISA Server同意被安裝成Cache mode(緩存模式)、Firewall mode(防火墻模式)、Integrate mode(集成模式)三種模式當(dāng)中的一種。當(dāng)網(wǎng)絡(luò)系統(tǒng)需要通過ISA直接連入Internet的同時，也要對公司內(nèi)部的主機進(jìn)行相應(yīng)的愛護(hù)的話，那么Firewall或Integrate模式正是您所需要的。但在專門多企業(yè)沒有任何相關(guān)的Internet主機或外部差不多有防火墻，而他們知識希望能加快網(wǎng)絡(luò)間流量傳遞速度，則采納Cache模式是最理想的一種方案了。那么ISA能夠提供給大伙兒一些什么服務(wù)呢?多層防火墻安全防火墻能夠通過各種方法增強安全性，包括數(shù)據(jù)包篩選

6、、電路層篩選和應(yīng)用程序篩選。高級的企業(yè)防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡(luò)層提供愛護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報。狀態(tài)檢測狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISA Server 檢查在 IP 消息頭中指明的通信來源和目標(biāo)，以及在標(biāo)識所采納的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的 TCP 或 UDP 消息頭中的端口。動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請求，同時打開端口的持續(xù)時刻恰好滿足該請求的需要，從而減少與打開端口相關(guān)的攻擊。ISA Server 能夠動態(tài)地確定，哪些數(shù)據(jù)包能夠傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)?/p>

7、服務(wù)。治理員能夠配置訪問策略規(guī)則，以便只在同意的情況下自動打開端口，然后當(dāng)通信結(jié)束時關(guān)閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。集成的入侵檢測ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術(shù)，提供關(guān)心治理員識不諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。同時ISA能夠自動對其作出響應(yīng)。這項技術(shù)給 ISA Server 提供了能識不此類攻擊的集成入侵檢測機制。當(dāng)識不出這種攻擊時，警報還能同時指出 ISA Server 應(yīng)

8、采取什么行動，這些行動可包括向系統(tǒng)治理員發(fā)送電子郵件或?qū)ず?，停?Firewall 服務(wù)，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。高性能 Web 緩存ISA Server 對 Web 緩存進(jìn)行了完全的重新設(shè)計，使它能夠?qū)⒕彺娣湃?RAM 中我明白現(xiàn)在專門多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強的后端可伸縮性，并提供了更快的 Web 客戶機總體響應(yīng)時刻。這關(guān)于企業(yè)內(nèi)部來講尤其重要，因為職員需要快速訪問 Web 內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)約網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。緩存陣列路由協(xié)議ISA Server 使用了緩存

9、陣列路由協(xié)議(Cache Array Routing Protocol，CARP)。因此您能夠通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。活動緩存通過一個叫做活動緩存的功能，可配置 ISA Server 使其自動更新緩存中的對象。使用這種功能，ISA Server 可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡(luò)流量時段自動更新。統(tǒng)一治理ISA Server 利用基于 Windows 2000 的安全性，Active Directory 服務(wù)、VPN 和 Microsoft 治理操縱臺(MMC，Microsoft Man

10、agement Console)。所有這些功能，特不是 MMC，會使得治理更容易，因為操作人員熟悉它，并可從一個操縱臺同時治理防火墻和 Web 緩存。企業(yè)策略和訪問操縱ISA Server 還支持創(chuàng)建企業(yè)級和本地陣列策略，用于集中實施或本地實施。ISA Server 可作為獨立服務(wù)器安裝或作為陣列成員安裝。為便于治理，各個陣列成員都使用相同的配置。對陣列配置進(jìn)行修改時，陣列中的所有 ISA Server 計算機也都將得到修改，包括所有訪問和緩存策略。好了，講了這么多了，也許大伙兒都還不是專門明白或者正在懷疑是否那個ISA Server能夠做到這些吧?那么我們以我們企業(yè)為例詳細(xì)講解一下ISA的安

11、裝以及調(diào)試還有配置過程吧。ISA安裝入門篇 在實驗中，我們使用的是企業(yè)版的ISA2000 Server，而開始因此是要進(jìn)行安裝ISA了哦!在那個地點我們選擇“Install ISA Server”。 在那個地點，會要求你輸入10位的數(shù)字“CD Key”，請大伙兒輸入了之后點擊“OK”確認(rèn)。然后進(jìn)入下一步。 面對M$的授權(quán)信息你除了點擊“I Agree”之外還能做些其他什么嗎?至于內(nèi)容嘛依舊那些老一套，看不看我覺得都無所謂了。 在那個地點，程序會提示請你選擇安裝的路徑以及安裝的方式，在那個地點，我選擇的是“Full Installation”，因為即使是完全安裝也只需要花費24.5M的空間，而且

12、安裝速度也是特不的快。因此我依舊推舉大伙兒使用完全安裝吧。 假如您的計算機沒有成為域操縱器而是一個獨立的服務(wù)器的話，那么ISA到那個地點會向您發(fā)出一個警告。假如您不想配置ISA Server陣列的話，那么您能夠不用理會那個警告，直接“Yes”過去就能夠了。 我們前邊講過的ISA的三種工作模式在那個地點就要做一個選擇了!我選擇的是集成模式“Integrated mode”。 在那個地點，假如您差不多安裝IIS的話，那么ISA到那個地點會提醒你，它會立即關(guān)閉掉IIS所使用的80端口。因為ISA會對80端口進(jìn)行獨占使用，而這也是基于安全考慮。大伙兒都明白，一個成功的黑客只需要一個80端口就能夠?qū)δ?/p>

13、硬盤完成格式化的操作這絕對不是駭人聽聞了，是確實哦。因此，假如您非要在這臺機器做WEB服務(wù)的話，那么就只要委屈你使用其他的端口了，然而必須注意的是不能占用80和8080端口。因為80和8080端口都讓ISA強行占用了。在那個地點依舊OK吧，不要老是念叨你的WEB服務(wù)了，后邊我們有幾乎完美的解決方案的。 在那個地點選擇CACHE存放的磁盤以及CACHE的容量?，F(xiàn)在差不多差不多上寬帶網(wǎng)絡(luò)時代了，因此我建議不要把CACHE設(shè)得太了，依照實際使用的情況，在合理分配帶寬的前提下，盡量的使用網(wǎng)絡(luò)資源不是專門好嗎?我們那個地點設(shè)置的為100M。 到了那個地點，ISA會請您設(shè)置一個本地的IP范圍。我們那個地點

14、是劃分的一個B類的子網(wǎng)，因此，在那個地點我們的IP范圍為55。假如是一般的中小型網(wǎng)絡(luò)，采納做掩碼，用192.168.0.X作為IP地址的話，那么那個地點請你按照您本地網(wǎng)絡(luò)的情況加上那個IP段就能夠了。然后“OK”進(jìn)行下一步。 等待系統(tǒng)復(fù)制必要的程序文件。 到了那個地點，您的ISA就差不多差不多安裝完了，剩下的確實是配置方面的情況了。在那個地點，系統(tǒng)會提示您是否需要進(jìn)行“向?qū)Щ渲谩?。建議大伙兒不要使用那個向?qū)В驗閷嶋H上我們?nèi)痪陀貌坏狡渲械囊恍┕δ?。那個地點取消掉“Start ISA Sserver Getting Started Wizard”前邊的小勾，然后電擊“OK”。 恭喜您，您的I

15、SA Server差不多安裝成功了。 我們現(xiàn)在打開“開始”“程序”“Microsoft ISA Server”“ISA Management”。 大伙兒在治理窗口中選中“服務(wù)器名稱(BLUEWOLF)”標(biāo)簽下的“Monitoring”標(biāo)簽，然后選中“Services”那個標(biāo)簽，在右邊會出現(xiàn)三個服務(wù)內(nèi)容，由于我安裝的是“集成模式”因此在那個地點有三個服務(wù)，他們?nèi)齻€服務(wù)最好都能夠正常的啟動起來，如此你才能使用ISA的所有功能。假如其中有功能不能正常啟動的話，那么就講明這次的ISA需要重新安裝了。假如出現(xiàn)了上述問題，請卸載掉ISA，然后檢查是否有一些服務(wù)占用了系統(tǒng)某些ISA必須要使用的資源，還有停掉

16、一些可不能用到的服務(wù)，然后再安裝ISA吧。這種不能啟動服務(wù)的緣故你能夠查看日志或者是通過經(jīng)驗來進(jìn)行推斷。一般差不多上因為軟件沖突才會發(fā)生這些情況的。共2頁。好了，假如服務(wù)都啟動了的話，現(xiàn)在我們就來對那個ISA進(jìn)行最基礎(chǔ)的設(shè)置吧。首先保證客戶端能夠正常的上網(wǎng)，然后我們再進(jìn)行其他的限制之類的工作吧。默認(rèn)的，ISA是一個軟件防火墻，不同意任何的數(shù)據(jù)通過它。那么我們現(xiàn)在先要使ISA同意內(nèi)部的所有申請都能夠通過它，如此內(nèi)部才能訪問到INTERNET上的資源嘛。 請大伙兒展開“Access Policy”標(biāo)簽，然后選中里邊的“Protocol Rules”點擊鼠標(biāo)右鍵，然后選擇“新建”“Rule”。接著就

17、跟我一步一步進(jìn)行設(shè)置吧。 那個地點填寫的是那個協(xié)議規(guī)則的名稱，用戶能夠依照自己的需要和喜好自行設(shè)置。我那個地點設(shè)置的為“Alow To Internet”。 那個地點是請你選擇那個協(xié)議規(guī)則的處理方法，那個地點有兩個選擇項目“Allow”和“Deny”，也確實是同意通過以及禁止通過。在那個地點我們是希望LAN內(nèi)的機器同意通過那個地點訪問外部，因此那個地點我們選擇“Allow”。 在那個地點是讓你選擇這條規(guī)則對那些IP生效，在那個地點，我們先不進(jìn)行限制，等以后了再進(jìn)行修改也能夠。那個地點我們選擇“All IP traffic”同意所有IP通過。 那個地點是選擇協(xié)議規(guī)則生效的時刻段的。在那個地點您能

18、夠依照您的需要對協(xié)議生效的日期和時刻段進(jìn)行設(shè)置。比如講，你想周1至周5的上班時刻同意那個規(guī)則生效而周末是全天開放，這些都能夠在那個地點進(jìn)行設(shè)置，特不的靈活。然而那個地點一個下拉只有讓您臨時選擇一下，然后等后邊了我們再進(jìn)行詳細(xì)的修改吧。那個地點我們選擇了“Always”。 那個地點是對同意通過的客戶端進(jìn)行授權(quán)的，您在那個地點能夠設(shè)置同意哪些客戶端通過那個地點，我們那個地點先不做限制，等后邊定義了組之后再進(jìn)行設(shè)置修改吧。 OK!那個協(xié)議規(guī)則差不多都配置完成了。點擊“完成”吧。好了，那個規(guī)則配置完成了也就意味著那個時候我們能夠通過那個ISA代理上網(wǎng)了。我們現(xiàn)在找一個客戶端，打開IE，然后在IE的“工

19、具”“Internet選項”“連接”標(biāo)簽“局域網(wǎng)設(shè)置”按鈕“代理服務(wù)器”里邊把這臺ISA的內(nèi)部LAN IP地址填寫到里面去，然后端口填寫8080，然后確認(rèn)，保存設(shè)置。那個時候，客戶端就能夠?qū)NTERNET進(jìn)行訪問了因此ISA要差不多連在了INTERNET上了哦!至于其他的服務(wù)，我建議大伙兒安裝一個ISA的客戶端軟件。那個客戶端在你安裝完了ISA Server之后，就能夠在你安裝的目錄中找到一個共享出來了的目錄，你能夠把那個目錄復(fù)制下來，然后到其他機器上安裝上，你就能夠享受所有的服務(wù)了。然而還有一個問題，那確實是QQ上不了線啊!對那個問題必須講清晰。因為QQ是正宗的“中國造”因此，ISA可不能

20、專門為QQ打開一個協(xié)議規(guī)則。那個協(xié)議規(guī)則還需要我們自己來添加。通過我們3天時刻的研究，終于把QQ的發(fā)送和同意端口搞清晰了。下邊請大伙兒跟著我們做就能夠了。 現(xiàn)在我們來定義一個端口號，以便讓QQ的數(shù)據(jù)能夠順利的出去和進(jìn)來。我們先展開“Policy Elements”那個標(biāo)簽，然后選中“Protocol Definitions”標(biāo)簽，同時在上邊單擊鼠標(biāo)右鍵，然后選擇“新建”“Definition”。 在那個地點選擇那個定義名稱，我在那個地點取的名稱叫做“Tencent QQ”。 下一步了之后確實是定義端口號和使用協(xié)議了!在那個地點，QQ相關(guān)于ISA來講需要發(fā)送一個數(shù)據(jù)到服務(wù)器的8000端口，而且Q

21、Q使用的是UDP協(xié)議，因此我們在那個地點就按照圖示進(jìn)行設(shè)置。然后下一步。 在那個地點的設(shè)置略微復(fù)雜一點。我們明白，QQ默認(rèn)客戶端是使用的4000端口，而增加一個QQ端口就加1。而相關(guān)于QQ的客戶端來講確實是同意消息了，因此依舊使用的是UDP協(xié)議。設(shè)定好了之后，請點擊“OK”同時“下一步”確定。 OK了，QQ的定義那個地點也完成了?，F(xiàn)在快去試試吧，保證QQ能夠上線了哦，而且你全然就感受不到有什么延遲，和本機撥號幾乎一模一樣，絕對能夠體現(xiàn)速度!ISA安裝配置進(jìn)階篇通過IP限制上網(wǎng)客戶端我們前邊的“Protocol Rul”里邊設(shè)置的是同意所有的客戶端通過那個ISA連接到外部的INTERNET上去。然而現(xiàn)在我想要對那個客戶端進(jìn)行分類，然后在不同時刻內(nèi)進(jìn)行操縱哪些IP能夠上網(wǎng)，哪些IP不能上網(wǎng)。如此的話，需要如何做呢?大伙兒依舊跟我一步一步的來吧。 首先我們要定義組。我們展開“Policy Elements”那個標(biāo)簽，然后選中“Client Address Sets”那個標(biāo)簽，在上邊單擊鼠標(biāo)右鍵，選擇“新建”“Set”。 然后在“Name”一欄中填寫進(jìn)一個組名的標(biāo)識。下邊的描述能夠不用寫。然后下邊的IP地址范圍你就能夠按照實際需要進(jìn)行添加了。我那個地點舉例是用的我們307機房作為例子。我那個地點的IP地址范圍為0。添加