ISA服务器安装设置使用指南

ISA效劳器安装设置全集(图文)://sina2023年06月14日

15:44

ChinaByteISASERVER使用指南随着因特网的使用继续扩展，平安和性能也同样面临挑战。在以前仅仅给我们提供了代理效劳的软件渐渐的在我们的要求面前越来越显得苍白无力了。怎么办?我们选择了寻找新的软件以及企业上网的解决方案。从长远来考虑，我们需要的不仅仅是一个代理软件，让企业职工能够通过这个代理访问到外面的世界，让他们感知外面的世界并且尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界，而且还需要世界来了解我们。当然，这个时候那么平安和性能就越来越得到企业和用户的重视了。当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理效劳器不算少，每个代理效劳器均使用了一个月以上了，但是都不是非常满意。大致归纳起来lSYSGATE：功能太简单，效率不是很高，稳定性还可以;lWINGATE：功能适中，速度效率都还不错，稳定性不好;lWINROUTE：功能适中，速度效率根本上来说还可以，稳定性也还是不错;lCCPROXY：速度不错，但是总的来说总有一些或多或少的毛病;lINTERNET连接共享：功能太简单，效率非常一般，稳定性还可以;还是说说我们单位的大致情况吧。8M专线ADSL接入INTERNET，两台HP效劳器，网络中心为100M到桌面，整个企业网络为全交换式网络。企业内部所以科室机器全部需要连接到INTERNET，科室机器大约为200台。机房有4个，机器大约总共为200台左右。我们需要能够随时控制哪些科室在什么时间段能够上网，并且能够对这些科室的上网带宽进行控制。能够随时灵活的控制机房是否能够上网。能够在企业内部建立假设干个WEB和FTP站点，并且通过这个代理效劳器发布到INTERNET上，让INTERNET上的朋友对这些个资源进行访问……在使用了这些代理之后，我渐渐的开始失望，难道真的没有让我满意的代理效劳器吗?最后，在朋友的介绍下我们使用了这款微软发布的代理效劳器——InternetSecurityandAccelerationServer。首先澄清一点，我绝对不是微软的枪手，而且微软也绝对不会找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。InternetSecurityandAcceleration(ISA)Server可以说是原来基于WindowsNT4.0的MSPROXY的一个升级版本吧。它在前一版的根底上修补了许多平安性及缓存上的缺陷，提供了更快速、更平安、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说，这款软件不仅仅再是一个代理软件了，它还充当了一个“防火墙〞的成效。ISAServer允许被安装成Cachemode(缓存模式)、Firewallmode(防火墙模式)、Integratemode(集成模式)三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时，也要对公司内部的主机进行相应的保护的话，那么Firewall或Integrate模式正是您所需要的。但在很多企业没有任何相关的Internet主机或外部已经有防火墙，而他们知识希望能加快网络间流量传递速度，那么采用Cache模式是最理想的一种方案了。那么ISA能够提供应大家一些什么效劳呢?多层防火墙平安防火墙可以通过各种方法增强平安性，包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙，如ISAServer所提供的那一种，综合了所有这三种方法，在多个网络层提供保护，为企业提供最低的投入的根底上最高的回报。状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，ISAServer检查在IP消息头中指明的通信来源和目标，以及在标识所采用的网络效劳或应用程序的TCP或UDP消息头中的端口。动态数据包筛选器能够使窗口的翻开只响应用户的请求，并且翻开端口的持续时间恰好满足该请求的需要，从而减少与翻开端口相关的攻击。ISAServer可以动态地确定，哪些数据包可以传送到内部网络的电路层和应用程序层效劳。管理员可以配置访问策略规那么，以便只在允许的情况下自动翻开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的平安性，使问题较少发生。集成的入侵检测ISAServer利用一家名为InternetSecuritySystems的公司所提供的技术，提供帮助管理员识别诸如端口扫描、WinNuke和PingofDeath之类的常见网络攻击的这种效劳。并且ISA能够自动对其作出响应。这项技术给ISAServer提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时，警报还能同时指出ISAServer应采取什么行动，这些行动可包括向系统管理员发送电子邮件或寻呼，停止Firewall效劳，写入到系统事件日志，或运行任何程序或脚本。高性能Web缓存ISAServer对Web缓存进行了彻底的重新设计，使它可以将缓存放入RAM中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的Web缓存可提供更强的后端可伸缩性，并提供了更快的Web客户机总体响应时间。这对于企业内部来说尤其重要，因为员工需要快速访问Web内容，而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。缓存阵列路由协议ISAServer使用了缓存阵列路由协议(CacheArrayRoutingProtocol，CARP)。因此您可以通过多台ISAServer计算机组成的阵列来提供无缝缩放和更高的效率。活动缓存通过一个叫做活动缓存的功能，可配置ISAServer使其自动更新缓存中的对象。使用这种功能，ISAServer可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。统一管理ISAServer利用基于Windows2000的平安性，ActiveDirectory效劳、VPN和Microsoft管理控制台(MMC，MicrosoftManagementConsole)。所有这些功能，特别是MMC，会使得管理更容易，因为操作人员熟悉它，并可从一个控制台同时管理防火墙和Web缓存。企业策略和访问控制ISAServer还支持创立企业级和本地阵列策略，用于集中实施或本地实施。ISAServer可作为独立效劳器安装或作为阵列成员安装。为便于管理，各个阵列成员都使用相同的配置。对阵列配置进行修改时，阵列中的所有ISAServer计算机也都将得到修改，包括所有访问和缓存策略。好了，说了这么多了，也许大家都还不是很明白或者正在疑心是否这个ISAServer能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安装以及调试还有配置过程吧。ISA安装入门篇在实验中，我们使用的是企业版的ISA2000Server，而开始当然是要进行安装ISA了哦!在这里我们选择“InstallISAServer〞。在这里，会要求你输入10位的数字“CDKey〞，请大家输入了之后点击“OK〞确认。然后进入下一步。面对M$的授权信息你除了点击“IAgree〞之外还能做些其他什么吗?至于内容嘛还是那些老一套，看不看我觉得都无所谓了。在这里，程序会提示请你选择安装的路径以及安装的方式，在这里，我选择的是“FullInstallation〞，因为即使是完全安装也只需要花费24.5M的空间，而且安装速度也是非常的快。所以我还是推荐大家使用完全安装吧。如果您的计算机没有成为域控制器而是一个独立的效劳器的话，那么ISA到这里会向您发出一个警告。如果您不想配置ISAServer阵列的话，那么您可以不用理会这个警告，直接“Yes〞过去就可以了。我们前边说过的ISA的三种工作模式在这里就要做一个选择了!我选择的是集成模式“Integratedmode〞。在这里，如果您已经安装IIS的话，那么ISA到这里会提醒你，它会马上关闭掉IIS所使用的80端口。因为ISA会对80端口进行独占使用，而这也是基于平安考虑。大家都知道，一个成功的黑客只需要一个80端口就可以对您的硬盘完成格式化的操作——这绝对不是骇人听闻了，是真的哦。当然，如果您非要在这台机器做WEB效劳的话，那么就只要委屈你使用其他的端口了，但是必须注意的是不能占用80和8080端口。因为80和8080端口都让ISA强行占用了。在这里还是OK吧，不要老是念叨你的WEB效劳了，后边我们有几乎完美的解决方案的。在这里选择CACHE存放的磁盘以及CACHE的容量。现在已经都是宽带网络时代了，所以我建议不要把CACHE设得太了，根据实际使用的情况，在合理分配带宽的前提下，尽量的使用网络资源不是很好吗?我们这里设置的为100M。到了这里，ISA会请您设置一个本地的IP范围。我们这里是划分的一个B类的子网，所以，在这里我们的IP范围为~55。如果是一般的中小型网络，采用做掩码，用192.168.0.X作为IP地址的话，那么这里请你按照您本地网络的情况加上这个IP段就可以了。然后“OK〞进行下一步。等待系统复制必要的程序文件。到了这里，您的ISA就根本已经安装完了，剩下的就是配置方面的事情了。在这里，系统会提示您是否需要进行“向导化配置〞。建议大家不要使用这个向导，因为实际上我们根本就用不到其中的一些功能。这里取消掉“StartISASserverGettingStartedWizard〞前边的小勾，然后电击“OK〞。恭喜您，您的ISAServer已经安装成功了。我们现在翻开“开始〞>“程序〞>“MicrosoftISAServer〞>“ISAManagement〞。大家在管理窗口中选中“效劳器名称(BLUEWOLF)〞标签下的“Monitoring〞标签，然后选中“Services〞这个标签，在右边会出现三个效劳内容，由于我安装的是“集成模式〞所以在这里有三个效劳，他们三个效劳最好都能够正常的启动起来，这样你才能使用ISA的所有功能。如果其中有功能不能正常启动的话，那么就说明这次的ISA需要重新安装了。如果出现了上述问题，请卸载掉ISA，然后检查是否有一些效劳占用了系统某些ISA必须要使用的资源，还有停掉一些不会用到的效劳，然后再安装ISA吧。这种不能启动效劳的原因你可以查看日志或者是通过经验来进行判断。一般都是因为软件冲突才会发生这些情况的。共2页。好了，如果效劳都启动了的话，现在我们就来对这个ISA进行最根底的设置吧。首先保证客户端能够正常的上网，然后我们再进行其他的限制之类的工作吧。默认的，ISA是一个软件防火墙，不允许任何的数据通过它。那么我们现在先要使ISA允许内部的所有申请都能够通过它，这样内部才能访问到INTERNET上的资源嘛。请大家展开“AccessPolicy〞标签，然后选中里边的“ProtocolRules〞点击鼠标右键，然后选择“新建〞>“Rule…〞。接着就跟我一步一步进行设置吧。这里填写的是这个协议规那么的名称，用户可以根据自己的需要和喜好自行设置。我这里设置的为“AlowToInternet〞。这里是请你选择这个协议规那么的处理方法，这里有两个选择工程“Allow〞和“Deny〞，也就是允许通过以及禁止通过。在这里我们是希望LAN内的机器允许通过这里访问外部，所以这里我们选择“Allow〞。在这里是让你选择这条规那么对那些IP生效，在这里，我们先不进行限制，等以后了再进行修改也可以。这里我们选择“AllIPtraffic〞——允许所有IP通过。这里是选择协议规那么生效的时间段的。在这里您可以根据您的需要对协议生效的日期和时间段进行设置。比方说，你想周1至周5的上班时间允许这个规那么生效而周末是全天开放，这些都可以在这里进行设置，非常的灵活。但是这里一个下拉只有让您暂时选择一下，然后等后边了我们再进行详细的修改吧。这里我们选择了“Always〞。这里是对允许通过的客户端进行授权的，您在这里可以设置允许哪些客户端通过这里，我们这里先不做限制，等后边定义了组之后再进行设置修改吧。OK!这个协议规那么已经都配置完成了。点击“完成〞吧。好了，这个规那么配置完成了也就意味着这个时候我们可以通过这个ISA代理上网了。我们现在找一个客户端，翻开IE，然后在IE的“工具〞>“Internet选项〞>“连接〞标签>“局域网设置〞按钮>“代理效劳器〞里边把这台ISA的内部LANIP地址填写进去，然后端口填写8080，然后确认，保存设置。这个时候，客户端就可以对INTERNET进行访问了——当然ISA要已经连在了INTERNET上了哦!至于其他的效劳，我建议大家安装一个ISA的客户端软件。这个客户端在你安装完了ISAServer之后，就可以在你安装的目录中找到一个共享出来了的目录，你可以把这个目录复制下来，然后到其他机器上安装上，你就可以享受所有的效劳了。但是还有一个问题，那就是QQ上不了线啊!对这个问题必须说清楚。因为QQ是正宗的“中国造〞所以，ISA不会专门为QQ翻开一个协议规那么。这个协议规那么还需要我们自己来添加。经过我们3天时间的研究，终于把QQ的发送和接受端口搞清楚了。下边请大家跟着我们做就可以了。现在我们来定义一个端口号，以便让QQ的数据能够顺利的出去和进来。我们先展开“PolicyElements〞这个标签，然后选中“ProtocolDefinitions〞标签，并且在上边单击鼠标右键，然后选择“新建〞>“Definition〞。在这里选择这个定义名称，我在这里取的名称叫做“TencentQQ〞。下一步了之后就是定义端口号和使用协议了!在这里，QQ相对于ISA来说需要发送一个数据到效劳器的8000端口，而且QQ使用的是UDP协议，所以我们在这里就按照图示进行设置。然后下一步。在这里的设置稍微复杂一点。我们知道，QQ默认客户端是使用的4000端口，而增加一个QQ端口就加1。而相对于QQ的客户端来说就是接受消息了，当然还是使用的是UDP协议。设定好了之后，请点击“OK〞并且“下一步〞确定。OK了，QQ的定义这里也完成了。现在快去试试吧，保证QQ可以上线了哦，而且你根本就感觉不到有什么延迟，和本机拨号几乎一模一样，绝对能够表达速度!!!ISA安装配置进阶篇通过IP限制上网客户端我们前边的“ProtocolRul〞里边设置的是允许所有的客户端通过这个ISA连接到外部的INTERNET上去。但是现在我想要对这个客户端进行分类，然后在不同时间内进行控制哪些IP可以上网，哪些IP不能上网。这样的话，需要怎么做呢?大家还是跟我一步一步的来吧。首先我们要定义组。我们展开“PolicyElements〞这个标签，然后选中“ClientAddressSets〞这个标签，在上边单击鼠标右键，选择“新建〞>“Set…〞。然后在“Name〞一栏中填写进一个组名的标识。下边的描述可以不用写。然后下边的IP地址范围你就可以按照实际需要进行添加了。我这里举例是用的我们307机房作为例子。我这里的IP地址范围为~0。