在ISA 2006企业版环境下配置存储服务器

ISA Server 2006 性能最佳操作Microsoft? Internet Security and Acceleration (ISA) Server 2006 提供网络之间受控的安全访问，并充当一个提供快速Web 响应和卸载功能以及用于远程访问的安全Web 发布的Web 缓存代理。

它的多层体系结构和高级策略引擎为您需要的安全级别和所要的资源之间的平衡提供了精确的控制。

在一台边缘服务器连接多个网络时，与组织中的其他服务器相比，ISA Server 要处理大量流量。

因此，ISA Server 是专为高性能而构建的。

本文为部署具有最佳性能和充足容量的ISA Server 提供指南（本文还包含指向英文网页的链接）。

摘要在大多数情况下，可用网络带宽（特别是Internet 链路带宽）可通过运行在可用的入门级硬件上的ISA Server 来保护。

对于各种Internet 链路，典型的保护超文本传输协议(HTTP) 流量的出站Web 访问的默认ISA Server 部署需要以下特定硬件配置。

下表列出了这些硬件配置（有关详细信息，请参阅本文档中的―Web 代理方案‖）。

使用传输层状态筛选而不是Web 代理筛选器，将同样流量模型的CPU 使用率提高了10 倍。

状态筛选和应用程序筛选可同时使用，以便对性能进行精确控制。

返回页首规划ISA Server 容量了解容量需求是确定ISA Server 部署所必需的资源的第一步。

对于大规模的部署，会有几种具体的部署情况。

一般情况下，您可能需要考虑下列衡量指标：•连接到ISA Server 计算机的每个网络上的可用和实际带宽。

•组织中的用户数量。

•应用层的各种衡量指标（例如，邮件服务器中的平均邮箱大小）。

对于ISA Server 容量的最重要的衡量指标是实际网络带宽，因为它们通常代表真实的容量需求。

在许多情况下，网络带宽（特别是Internet 链路的网络带宽）可以确定ISA Server 容量。

ISA Server 2006是目前企业中应用最多的ISA版本，该版本增强了对OWA发布和多个Web 站点发布的支持，并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性，支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能，支持通过多个Web服务器组成服务器群集以实现负载均衡，并且此特性无需Windows的NLB 或群集支持;强化了DDOS防御功能，极大的增强了对于DDOS攻击的防范能力。

下面让我们来看看如何搭建ISA Server 2006的实验环境。

一、实验环境：按如图1所示拓扑图构建域环境，域名为。

其中域控制器主机名为DC_Server。

将主机ISA_Server加入到域中，成为域成员服务器，然后增加第2块网卡，连接内部网络的网卡标识为LAN，连接外部网络的网卡标识为WAN，该主机作为ISA防火墙。

外部Internet客户机主机名为WAN_Client，它是工作组中的计算机。

二、查看域控制器和ISA防火墙的TCP/IP设置1、ISA服务器网卡配置情况：ISA防火墙有2块网卡，更改网卡标识如图2所示。

使用命令【ipconfig/all】查看ISA防火墙的IP设置情况，如图3所示。

2、域控制器网卡配置情况：使用命令【ipconfig/all】查看域控制器的IP设置情况，如图4所示。

本文是ISA Server 2006 速战速决实验指南第二部分，以第一部分里我们讲述了ISA Server 2006实验环境的搭建，本次将详细讲术ISA Server 2006企业版的安装……【IT专家网独家】本文是ISA Server 2006 速战速决实验指南第二部分，以第一部分里我们讲述了ISA Server 2006实验环境的搭建，本次将详细讲术ISA Server 2006企业版的安装……一、安装ISA Server 2006企业版以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上，放入光盘运行程序，出现如图1所示界面。

ISA Server 2006之CARP与NLB的构建一，CARP与NLB基本概念概要：CARP(Cache Array Routing Protocol)只针对网页对象，而且只对内部网络用户来提供服务；然而NLB(Network Load Balancing)并不限于网页对象，同时它对内部用户访问外部对象、外部用户访问内部对象都可以同时提供NLB服务。

CARP基本概念：CARP具备着负载平衡(load balancing)与故障转移的功能。

CARP大幅度提高了网页缓存效率，它将网页缓存分散到阵列中的多台ISA Server内，而且各个ISA Server的网页缓存内容绝不重复，如此便可以减少占用硬盘空间，增加缓存对象的数量。

CARP的运算逻辑是根据所连接的主机名称(如：)来决定由阵列中的哪一台ISA SEVER 来负责处理此请求，它可以确保请求与响应都是由同一台ISA SERVER来处理。

客户端的上网请求会先发送给哪一台ISA SERVER？这要看客户端的设置而定：1.如果客户端是通过WPAD服务器或执行自动配置脚本来检测ISA，则这个请求会直接发送给检测到的ISA来处理。

2.如果客户端是手动指定ISA，例如图1中客户端手动指定将ISA SERVER2当作是代理服务器，则客户连接的请求会先给ISA Server2,而ISA Server2通过CARP的运算逻辑得知连接的请求必须由ISA Server1来负责，因此会将此请求转送给ISA Server1处理。

当ISA Server1收到网站返回的网页对象后，会将其保存到缓存区，并发送给ISA Server2，再由ISA Server2传给客户端。

ISA Server并不会缓存此网页对象。

以上两种方式以第1种较佳，因为客户端通过WPAD服务器或代码就知道所要连接的ISA Server，然而第2种方式却可能还需要在阵列成员中转送请求，增加处理的负担。

《全国信息技术高级人才水平考试》大纲（2009年）网络工程师考试大纲考试大纲（中级）培养具有系统的计算机网络的基本理论和知识，具备网络设计、网络工程、网络管理、网络维护、安全配置、安全方案设计的相关技能，能独立完成大中型网络工程方案、企业级网络解决方案的设计。

考试内容覆盖了网络工程师、系统工程师，系统集成工程师、售后技术支持工程师等职位所要求的知识与技能，突出强调并着重考查考生的对计算机网络各部分熟悉和沟通的能力。

一、考试对象已完成NIEH课程“网络工程师”的学习，深入透彻掌握行业先进技术和行业规范的学习者。

二、考试题型：选择题及方案编写单选题1、某网络管理员忘记了enable密码，而所有的密码都是经过加密的。

该网络管理员应该如何在不丢失当前配置的情况下进行密码恢复呢？（）1.向TAC申请特殊的后门密码2.向TAC申请工程密码3.重新启动路由器，启动过程中按下break键，然后进入RAM模式，修改配置寄存器的值4.重新启动路由器，在启动过程中按下break键，然后进入ROM模式，修改配置寄存器的值，在路由器重新启动之后删除旧的密码信息答案：D2、如果2950系列交换机上的端口状态LED是（），那就是出了物理层连接问题。

1.闪烁的绿色和浅黄色2.闪烁的绿色3.浅黄色4.闪烁的浅黄色答案：C多选题1、在OSPF协议中，下述哪些有关AD和FD的说法是正确的？（）1.AD是邻居路由器前往特定网络的EIGRP度量值；2.AD是当前路由器前往特定网络的EIGRP度量值；3.FD是当前路由器前往特定网络的EIGRP度量值；4.FD是邻居路由器前往特定网络的EIGRP度量值；5.AD是当前路由加上邻居路由前往特定网络的EIGRP度量值。

答案：A C2、在什么样的环境中不使用BGP协议（）1.连接到互联网或其它AS只有一个出口；2.路由器等网络设备的内存容量有限、CPU速度不快、带宽很窄；3.技术人员了解BGP但不了解BGP路由如何过滤、路径如何选择；4.AS之间带宽比较低（窄）时；5.在ISP环境中不使用BGP协议。

ISA2006 安装
在这里先把ISA2006的安装步骤给大家贴出来,后面陆续会有一些配置及日常的应用,希望大家多多指教!呵呵.ISA功能的强大自然不用多说了,一句话只要能想到它就能做到!
放入光盘出现在我们面前还是其人性化的界面
点默认的下一步吧
接受协议
序列号大家把网上搜搜,到处都是!(:
在这里大家选择第三项(要是想要部署阵列话先要安装第一项,等第一项安装完成后再重新安装第二项)
选择你想要安装的位置
因为这是我们安装的第一台服务器,所以选择第一项
添加内部的网卡或者选择内部网络的IP范围
接下来就是下一步的下一步了,呵呵!
最后一步,大功告成.
访问规则：
右键防火墙----新建----访问规则----
名称允许/拒绝所有出站通讯/所选协议从到所有用户
开通全部网络允许所有出站通讯内部内部所有用户
……
由”中要设置。

开始----管理工具----路由和远程访问
路由和远程访问下有个静态路由，右键点击静态路由，新建静态路由，接口：inside
目标：192.168.1.0，网络掩码：255.255.255.0 网关：192.168.5.1 跃点数：1 确定
即可。

192.168.1.0 192.168.2.0 192.168.3.0 192.168.6.0 192.168.7.0 192.168.8.0 192.168.10.0
4和9段没有，5段不要设，本服务器ISA段。

利用ISA Server2006发布DMZ区服务器上次咱们通过设置防火墙策略使内网用户可以上网了，并且通过配置缓存加快了访问Internet的速度。

今天我们的任务就是把外围区域（DMZ）的服务器发布出去。

我重点会去说web服务器的发布。

其它的服务比如：mail、FTP、DNS都是一样的，大家掌握一种方法其它的就都学会了啊。

拓扑图在下面，前面两次虽然也是这幅图，但我们一直没有说到的一个地方，就是DMZ 区域，在ISA Server中它又叫外围区域。

接下来我们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。

为什么不让他们直接访问而要通过发布的方式呢？因为如果没有防火墙的保护，直接暴露在外网的话，估计不到两分种就歇菜了。

什么病毒啊，黑客啊全来了。

所以我们要把它们发布出去，这样Internet上的用户访问外网接口，就等于访问了DMZ区域中的服务器。

我想大家在路由器上都应该做过NA T，NA T有个技术叫PA T，它也可以用来发布服务器，通过端口来定位服务。

咱这和那个道理是一样的。

我们还要把这些服务器发布到内网——而不是让他们直接访问，为什么呢？“家贼难防”！，就不用解释了。

来看看具体的步骤吧！首先还是分析一下拓扑。

为了大家看起来方便我把大概的的信息罗列到下面：1. DMZ区域中有两台服务器，分别是：1>.web服务器主机名： IP:172.16.1.20/16 GW:172.16.1.12>.mail服务器主机名： IP:172.16.1.10/16 GW:172.16.1.12. ISA Server的三块网卡IP分别为：1>.内网卡LAN IP：192.168.1.1/242>外围网卡DMZ IP：172.16.1.1/163>外网卡W AN IP:61.134.1.4/8主要的TCP/IP参数就是上面罗列的那些，其他没说到的咱们边做边说吧。

第一部分：创建并配置DMZ区域前面一直是这个图，但其实DMZ区我们并没有去用到它，所以这之前我们一直是一种边缘防火墙的部署方式。

ISA2006的安装1、安装ISA Server 2006 的机器应该至少有两个网卡，一个为外部接口，一个为内部接口。

所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy 控制所有网络间的数据传输。

2、下图为一个测试网络，ISA Server 作为一个边缘防火墙（Edge Firewall）：3、ISA2006的安装。

（环境Windows Server 2003 R2 +AD +DNS）第一步：运行ISA2006安装程式，如图，点击“安装ISA Server 2006”第二步：出现ISA Server 2006安装向导，点击“下一步”第三步：接受软件许可条款，点击“下一步”：第四步：选择“同时安装IAS Server服务和配置存储服务器”，点击下一步第五步：组件选择，点击“下一步”，如图所示：第六步：选择“创建新的ISA服务器企业”，点击“下一步”：第七步：出现一个警告画面，不会理会，点击“下一步”，出现如图所示：第八步：添加指定要包括在ISA服务器内部网络中的地址范围，点击“添加”出现下图，点击“添加适配器”，选择网卡连接内部网络的那块，点击“确定”，如下图第十步：完成以上步骤后，ISA开始安装，如下图第十一步：出现下图，安装完毕。

实验二、使用ISA2006代理上网实现安全策略二、平台搭建：1、使用VPC建立2台Wisndows Server 2003 R2 ，一台做ISA Server ,一台做Client加入AD做测试用。

2、将ISA Server 2003 安装好AD和DNS, 域名为：,主机名为：3、按拓扑图中的IP，配置好设备的IP地址，注意在使用VPC的时候，在配置网卡的使用，一定要注意IP地址不要配反，不然实验无法实现（注意：VPC网卡分:Internal network adapters,External network adapters）4、安装ISA Server 2006.三、需求分析：1、公司以前只有一个网段192.168.23.0/23,有一台DNS服务器，IP：192.168.23.1。

Windows域环境下部署ISA Server 2006防火墙（一）安装和配置ISA Server 2006服务器及客户端ISA Server 2006可以部署在各种规模的网络中，不同的部署方式可以针对不同规模的企业。

为其提供一个安全的解决方案。

ISA Server 2006主要有三大功能：第一、将其部署成一台专用防火墙，作为内部用户接入Internet的安全网关；第二、利用ISA Server 2006，企业内部用户能够向Internet发布服务器；第三、ISA Server 2006可以像代理防火墙一样，通过服务器的缓存实现网络的加速。

这三大功能咱们都会说到。

今天先来看一下如何在域环境下部署ISA Server 2006.ISA Server 2006有两个版本，标准版和企业版。

咱们今天用的是企业版，在安装之前先说一些注意事项如下：1、硬件配置是否支持（这个问题在这个年代，应该不是个问题，呵呵！）2、是否已存在ISA Server3、是否需要缓存功能4、是否进行安全服务器的发布5、windows域环境是否已搭建好6、ISA Server的应用有多大规模为什么要注意上面所说的几个问题呢？主要还是考虑到性价比的问题。

如果要求不是很高，完全用不着企业版，标准版足亦！还能节省成本，毕竟这玩艺儿还不是很便宜。

再说一下ISA Server 2006的组件，想有效地部署ISA Server 2006，必须了解ISA Server 2006的各个组件及其功能。

ISA Server 2006主要由下面的组件构成：1、阵列——阵列是对一组ISA Server 2006服务器的统一管理方式。

并且它们可以共享同样的配置。

2、配置存储服务器——用于存储企业中全部阵列的配置信息，是ISA中最重要的部分3、ISA服务器服务——运行防火墙、VPN和缓存服务的ISA服务器4、ISA服务器管理——用于管理企业和阵列成员的管理终端本次以及后面要说的ISA Server 2006部分都会依据下面这幅拓扑图。