ISA防火墙部署与设置

ISA 优化配置学校校园网功能(2008-04-12 14:26:00)转载标签：分类：windows serveritMicrosoft Internet Security and Acceleration (ISA) Server是微软公司2001年发布的一款功能强大的高级应用程序层防火墙,虚拟专用网络 (VPN) 和 Web 缓存解决方案.目前,用的最多的版本是ISA Server 2004 ,许多学校都应用它建立了校园网的防火墙.不过,相当多的学校只是应用当初刚安装时所提供的一小部分功能,白白浪费掉了ISA其它方面的强大功能,为了更好的管理和安全,我们做了一些有益的探索,与大家共勉.为了更好的使ISA2004发挥更大作用,我选用了Windows 2003+Microsoft ISA 2004 Server,本文就学校日常常遇到的几个问题,谈谈ISA在学校应用中的几个功能,希望你能从中得到启发,把学校网络维护的更好.一 ,在ISA SERVER本机配置上网ISA SERVER2004安装后,默认不允许任何连接,可以通过5个预定义的网络模板向导快速进行配置,方法不再重复,但是对于HTTP访问,还有一个URL限制,默认情况下,ISA只允许*等三个网站才可以安全访问,若要进行其它站点的访问,必须手动添加新的URL站点,方法如下:1,选择"防火墙策略",在右侧工具箱选择网络对象,点击"新建"-"URL"集,名称任意取(本例假设取名为"permit all"),在URL集包含的URL中输入http://* ).2,选择"防火墙策略"右侧的任务,点击"编辑系统策略",在"不同的"组下面选择"允许的站点",右栏中选择"到",然后点击"填加",选择"URL"集中的"permit all",然后确定,如图所示.应用就可以上网了.3,许多时候,我们都用ISA 发布自己的WEB服务器,配置完成后,外部主机都可以访问,自己却不能访问,不是已经修改过"URL集"了吗为什么内部主机还是不能访问自己发布的WEB等服务,原因是ISA服务器上配置WEB服务器,内网对防火墙上WEB等服务的访问也受控于防火墙安全策略,标准模块创建的访问策略中只有内部到外部的安全策略允许,但"外部"定义中并不包括自己,因此,应该修改防火墙的出站策略,将"到"也运用到本机.如图所示.二,利用ISA,代理上网通常情况下,想做代理服务,需要有两个独立的网卡,而使用ISA,我们只要有一个INTERNET 出口的情况下,就可以为其做代理服务.1.在ISA Server2004的管理控制台中,鼠标右键单击"防火墙策略"-"新建"-"服务器发布规则",在向导对话框中输入"PROXY server"名称2.输入"服务器IP地址",这里我们输入内网的IP地址192.168.0.1,在选择协议页,选择"http,https",用户选择"所有用户".在IP地址页选中"外部(所有IP)".完成发布.3.选择"配置"-"网络",双击"内部",在"内部属性"页中进入"WEB代理",确保"启用WEB代理客户"和"启用HTTP"被选中,同时"HTTP端口"号为"8080",然后确定返回.4.在需要使用代理的客户机上,设置IE浏览器的"工具"-"INTERNET选项"-"连接"-"局域网设置",在"代理服务器"下的为LAN使用代理服务器,并且在地址字段后面输入"192.168.0.1"端口为"8080".三,控制师生员工上网权限大家都知道,除非是特殊行业,否则学校不会允许员工无限制,无限时的上网的,因此,我们需要分别对待:行政管理人员与计算机技术人员全天候上网部分老师只在特定的时间段上网其实要实现以上的功能,我们只需要用同样的方法建立几个不同的用户组即可.再分别根据不同的需要设置不同的访问规则.1,我们先来分别建立"行管和计算机组",在防火墙策略选项的右边工具栏中,选择用户对象,再在其下表中选择新建用户,在"用户集名称"中输入用户名,再分别根据需要选择相应的域帐号或组,即可完成帐号的建立.2,建立访问规则来控制师生上网权限,我们为防火墙策略新添加了名称为"教师限时上网"的规则,内容是这样的:所有内部的网络(安装ISA时设定的地址范围和本地主机)访问外部网络.用户只能选择"教师"组,在计划中我们选择"上班时间",如图所示,具体配置步骤略.3,同样的办法,设置"行管组和计算机专业人员"全部时间段访问策略.四,使用访问规则来禁止学生对某些网站的访问1, 我们来建立要禁止网站的域名集,在防火墙策略选项的右边工具栏中,选择网络对象,再在其下表中选择新建一个域名集.下来的工作就是把我们要禁止掉的一些网站的域名输入到这个集中.在实际的工作中,我们是不断的积累和完善这个集合,特别是在防止访问含有木马,病毒的网站中往往能及时的补救过来,把危险降低到最低程度.建立的集合如下图所示.2,我们为防火墙策略新添加了名称为禁止上某一网站的规则,内容是这样的:拒绝所有受保护的网络(安装ISA时设定的地址范围和本地主机)访问被我们禁止的网站.这些站点主要考虑不健康网站或可能带木马网页的网页,为了安全我们不让客户端访问.如图6所示,具体配置步骤略.五,禁止公用机房上外部网站,只上校园网比如说我们在学校机房上课的时候,或者学生在电子阅览室都只能访问校内资源等.这时都需要做这种设置,以节约和保护学校有限的网络带宽.现在我们在网络对象中新建一个URL 集,只要求我们客户端上校园网络,在这里我们的校园网址为:,在这里我们的URL集建立办法前面已经介绍过了.在建立访问网络规则前,我们还需定义一个公用机房的网络.这里我们以"STUDENT"为例来加以说明.在防火墙策略选项的右边工具栏中,选择网络对象,再在其下表中选择新建一个网络,在打开的向导对话框中先命名为"student",接下来输入公网的IP地址集合,这里我们输入我校机房学生IP地址:192.168.5.1-192.168.5.255和192.168.6.1-192.168.6.255.完成后属性如下图所示.下来我们还要建立一个名为访问校园网的规则:即只允许公用机房客户端student能通过出站通讯来访问我们的校园网内部资源.如果要访问外部资源,只必须要通过身份验证.具体步骤略.Win7中IIS7和ASP的安装配置和使用有些高端用户也许会用到IIS，Win7和Vista一样都内置了最新的IIS7，那么ISS7要如何安装配置和使用呢？在IIS7下ASP又该如何配置呢？本站整理了相关操作步骤，如下。

二、安装ISA Server 2004首先要有一台双网卡的电脑，一个网卡连接外网，另一网卡连接内网，外网网卡的Ip地址是自动获取的，内网网卡的Ip地址是与内网在同一个网段的，内网网卡只要：注意：上面的Ip地址要根据你的实际情况来设置我们安装的版本是ISA Server 2004中文标准版（Build 4.0.2161.50）。

运行ISA Server 20 04安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如下图：点击“安装ISA Server 2004”，出现安装界面：点击“下一步”，在“许可协议”页，选择“我接受许可协议中的条款”，点击“下一步”。

在安装类型页，如果你想改变ISA Server的默认安装选项，可以点击“自定义”，然后点击"下一步"：在“自定义”页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。

如果你想安装消息筛选程序，需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。

点击“下一步”继续：在内部网络页，点击“添加”按钮。

内部网络和ISA Server 2000中使用的LAT已经大大不同了。

在ISA Server 2004中，内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。

防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。

在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：注意：上面是我机子上设置的，地址，在你的机子上可能会显示的不一样这里的LAN表示你的内网网卡地址，WAN表示你的外网网卡地址在“选择网卡”对话框中，移去“添加下列专用范围...”选项，保留“基于Windows路由表添加地址范围选项。

选上连接内部网络的适配器，点击OK。

ISA第一次作业
计网1034 25 唐游虎
一、实验要求：
∙1.初识ISA：
安装ISA
初始配置，设置被保护网段
自动服务：嵌入 Mini SQL server ，服务，默认拒绝所有
界面：监视，网络，策略
2.通用配置步骤：
网络模型-网络规则-防火墙策略-测试
3.一个简单的配置：
Client--------------ISA
10.0.0.99/24 10.0.0.100/24
如何设置让client能ping通ISA ？
∙二、实验拓扑结构图：
三、实验步骤：
1、将虚拟机client设置仅本地并设置其IP地址10.0.0.99/24和RRS设置物理链接和仅本地、IP地址为10.0.0.100/24。

二、相互ping下看是否相通！
三、在client虚拟机上安装ISA防火墙。

设置内部网络范围的地址
安装完后点重启。

四、重启电脑后再PING下看二台机子是否能通。

用client ping RRS没能ping通。

五、配置ISA网络原则、使其能ping通ISA
1、打开ISA服务器管理
2、创建网络规则命名为client-ping-rrs。

选择路由并点击下一步！
点击应用！
六.应用后稍等下!再用client ping RRS。

实验完成请老师批阅！。

isa防火墙功能有哪些isa防火墙功能介绍一：首先看性能，因为hf是做网络层过滤，执行的检查过滤少的多，当然可以做到指令精简化，这个处理性能肯定比isa高。

isa执行的是应用层过滤，执行的指令数和hf相比，基本上是100:1这种级别，当然处理性能会比hf低。

其次看功能，这个是isa的优点了，可能有些hf可以实现isa 的部分功能，但是价位是isa的很多倍，在isa这个价位上，没有哪个硬件防火墙可以和它相比的;而且，isa很多功能都是全世界唯一的况且，基于软件性质，isa的升级、更新的方便性都不是hf 可以相比的。

对于用户的选择，如果需要isa的功能，那么肯定是选择isa，例如你需要isa的应用层过滤。

其次，要从性能考虑，最关键的是你需要什么样的性能?在测试中，isa可以达到 1.5 g的网络层流量和超过300m的应用层过滤流量，当然这个和服务器硬件有关了。

hf通常可以达到超过1 g的网络层流量，但是，不会具有应用层流量性能的说明，因为它通常不具有这个功能。

还有一个很关键的，就是企业it系统的整合，这个isa和ad的结合是无敌的。

isa防火墙功能介绍二：isa 默认阻止所有对外通讯, 只需添加策略使用户能访问允许的网站.或者先加一条阻止禁止的网站, 在其后再加一条允许所有网站isa防火墙功能介绍三：isa server 2004上安装有两个网络适配器，它作为边缘防火墙，让内部客户安全快速的连接到internet，内部的lan我以192.168.0.0/24为例，不考虑接入internet的方式(拨号或固定ip均可)。

isa server 2004上的内部网络适配器作为内部客户的默认网关，根据惯例，它的ip地址要么设置为子网最前的ip(如192.168.0.1)，或者设置为最末的ip(192.168.0.254)，在此我设置为192.168.0.1;对于dns服务器，只要内部网络中没有域那么内部可以不建立dns服务器，不过推荐你建立。

ISA配置方法1、打开ISA服务器管理，会看到已经创建好的阵列，点击阵列名称——配置会看到网络选项，邮件单击，选择启动网络负载平衡集成； 2、点击后会弹出网络负责平衡集成向导，点击下一步；
3、选择启用负载均衡的网络，我们选择内部；
4、点击完成，配置好负载均衡
5、字防火墙策略中，右键单击——选择新建——访问规则；
6、打开想到后，添加访问规则的名称（名字要比较容易理解，避免以后规则过多混乱）
7、选择允许，点击下一步；8、此处选择所选协议，单击添加
9、选择需要允许通过的协议，点击确定 10、确定协议后，点击下一步
11、添加源网络 12、选择目标网络
13、单击添加选择账户类型点击下一步；14、创建好后，点击完成；
15、点击阵列——网络——双击内部打开属性 16、在web 代理处，选择“为此网络启用web代理客户端连接”并设置代理端口；点击身份验证配置身份验证方法；
17、选择身份验证为“集成”，也就是通过AD域验证的方式，点击确定；
18、配置好ISA服务器后，在左上角可以看到“应用” 19、应用后，选择“保存更改并重启服务”
20、保存完成后，5分钟左右配置生效；。

ISA Server 2006不仅功能强大，而且设置与使用也很方便，入门也很容易。

如果读者有配置其他防火墙的经验，在做过一些实际操作后，可以很容易的掌握ISA Server 2006的使用。

ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例，如果选择三向外围网络模板，则分为内网、外网、本地主机、DMZ区)，这一点是和其他防火墙软件包括ISA Server 2000不同的地方，其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。

ISA Server 2006比其他防火墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006本身的安全性。

对于普通防火墙来说，根据网络通讯的“方向”不同，有两项设置，即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。

而对于ISA Server来说，除了有两这项设置之外，还包括对ISA Server服务器本身“称做‘本地主机’”的访问：“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。

在默认情况下，ISA Server 2006安装完成后，ISA Server会“隔离”内、外网的通讯，任何通过ISA Server进行通讯的上述行为都要经过设置。

在ISA Server中，任何未经明确“允许”的行为，默认都是“禁止”。

11.5.1 允许内网访问Internet前面已经说过，ISA Server中的任意一种网络行为都要经过“定制”，未经明确设置为“允许”的行为默认都是“禁止”。

当ISA Server 2006安装完毕后，如果网络中的用户想通过ISA Server连接到Internet，必须要进行设置。

对于一般的上网来说，通常要包括访问远程（指Internet上的）服务器的这些服务：●WWW服务，即访问远程Web服务器，实际为使用TCP协议访问远程的TCP 80端口，如果远程的Web服务器没有使用TCP的80端口，必须要另加定义。

isa防火墙如何配置isa防火墙要怎么样去配置，才能更好的使用呢?下面由店铺给你做出详细的isa防火墙配置介绍!希望对你有帮助!isa防火墙配置一：配置ISA Server网络环境网络环境中是否有必要安装ISA、是否可以安装ISA、安装前ISA 保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题，本文将具体阐述一下。

文章导读1、ISA server概述2、边缘防火墙模型 3、单网络与多网络模型ISA Server 2004是目前世界上最好的路由级软件防火墙，它可以让你的企业内部网络安全、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。

你可以在网络的任何地方，如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。

ISA Server 2004对于安装的要求非常低，可以说，目前的服务器对于ISA Server 2004的硬件系统需求都是绰绰有余的。

ISA Server作为一个路由级的软件防火墙，要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等，它并不像其他单机防火墙一样，只需安装一下就可以很好的使用。

在安装ISA Server时，你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置，这样才能做到安装ISA Server后即可很容易的使用，而不会出现客户不能访问外部网络的问题。

再谈谈对在单机上安装ISA Server 2004的看法。

ISA Server 2004可以安装在单网络适配器计算机上，它将会自动配置为Cache only的防火墙，同时，通过ISA Server 2004强大的IDS和应用层识别机制，对本机提供了很好的防护。

但是，ISA Server 2004的核心是多网络，它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙，它太过于庞大了，这样会为服务器带来不必要的性能消耗。