PCI总线接口芯片及其ISA模式应用
1引言
PCI(Peripheral Component Interconnect)总线,即外围部件互连总线,是一种先进的高性能32/64位地址数据复用局部总线。PCI总线与处理器和时钟频率无关,可以提供高达132MB/s的数据传送速率;它具有严格的规范,只要符合PCI规范的扩展卡插入任何PCI系统就能可靠地工作。但由于PCI总线协议的复杂性,其接口的实现比VESA、ISA和MCA等总线要困难得多。
目前,开发PCI接口设备有两种方法:一种方法是采用可编程逻辑芯片,它的最大好处是比较灵活,用户可以根据自己的需要开发出适合于特定功能的芯片,而不必实现PCI 的全部功能。现在有许多生产可编程逻辑器件的厂商,如Xilinx的LogiCore和Altera的AMPP 都提供经过严格测试的PCI接口功能模块,用户只要进行组合设计即可。另一种常用的方法是使用专用接口器件,通过专用芯片可以实现完整的PCI主控模块和目标模块的功能,将复杂的PCI总线接口转换为相对简单的用户接口,用户只要设计转换后的总线接口即可。
专用接口芯片具有较低的成本和通用性,能够有效降低接口设计的难度,缩短开发时间。现有的PCI接口芯片主要有AMCC公司的AMCCS59xx系列和PLX公司的PCI90xx系列。在PLX系列产品中,PCI9052是一款常用的PCI总线目标接口芯片,该芯片最大的特色是带有一个ISA接口,通过它可以实现ISA总线到PCI总线的无缝连接,这为目前仍存在的ISA插件移植到PCI提供了极大的方便。
利用PCI9052的ISA模式进行PCI的开发可以简化设备开发过程,但难度还是较大。设计者不仅要理解掌握手册中的要点,还要学习硬件设计和软件设计的方法和过程。为了让大家能够系统地了解利用PCI9052的ISA模式进行PCI板卡开发的过程和方法,本文从硬件设计、配置寄存器的编写、板卡调试和驱动程序的编写等方面介绍了PCI9052的开发过程。
2PCI9052的ISA接口模式
2.1基本特点
PCI9052是PLX公司继PCI9050之后推出的低成本PCI总线接口芯片,它符合PCI2.1规范,可作为PCI总线目标设备实现基本的传送要求;它有5个局部地址空间和4个局部设备片选信号,局部总线与PCI总线时钟相互独立运行。通过配置EEPROM的内容可以将PCI9052设定为ISA接口模式,通过8位或16位内存或I/O映射可直接使PCI总线与ISA
总线相连,从而将ISA总线快速地转换到PCI总线上。
在我们的数控测井系统中,原来的通信控制模块是基于ISA总线的插件,端口地址为0X100~0X10F,总线宽度是16位,可以实现输入输出,有中断功能。现在,我们利用PCI9052芯片的ISA模式对原来的板卡进行升级改造,使原来的板卡在做少量改动的情况下可以插在PCI总线插槽中正常工作。
2.2引脚介绍及连接
在不同的模式下,PCI9052的部分引脚有不同的定义和功能。工作在ISA模式下,其主要引脚如图1所示。
PCI9052硬件连接正确与否直接关系到芯片能否正常工作,某些引脚处理不当往往会引起芯片工作不正常或死机。在图1中,9052左上方的信号和PCI信号相连,左下方信号和串行EEPROM相连,右边的信号和局部总线信号相连,也就是和ISA总线信号相连。 PCI端主要信号完全符合PCI规范要求,直接和PCI总线上对应的引脚相连即可。ISA端连接如下:在我们的板卡中由于只涉及到I/O,且为16位宽的数据,因此,MEMWR #、MEMRD#、SBHE#和BALE信号可以不用。
2〕一起进行地址译码。需要注意的是,并不是所有的地址线都要进行地址译码,这里要根据板卡上实际I/O口空间的大小选择译码地址线的数目。对于我们的板卡,LA〔3:2〕和ISAA〔1〕地址译码是必需的(ISAA〔1〕为低位),当然,所有的地址线都参加地址译码也是可以的。
IOWR#和IOWD#是局部端口读写信号。LCLK是ISA端时钟信号,按芯片要求外接8MHz的时钟。LRESET#是9052芯片上电时PCI端复位后所发出的对ISA端进行复位的信号。在ISA模式下,该信号输出高有效。
LINTi1和LINTi2是局部总线中断输入信号,这里,我们只用到LINTi1信号,由于9052内部没有对这两个信号进行上拉或下拉处理,因此,在外部将LINTi2上拉或下拉到一个确定的状态。
NOWS#是无等待标志信号,此引脚上拉或接地可以减少等待的时钟数。LRDY#是局部准备就绪信号,如果局部芯片没有提供该信号,一般对它进行下拉或接地处理。CHRDY 是局部通道准备好信号,一般要进行上拉处理。LHOLD是局部总线请求信号,应该进行下拉或接地处理。MODE是模式选择信号,由于我们使用的是ISA非复用模式,因此该引脚接地。
在设计电路板时,要严格遵循PCI规范。电源和地线要尽可能宽且电源滤波要良好,在芯片的每个电源引脚最好接0.1μF的滤波电容。由于PCI时钟信号的一半要靠反射波来提升,因此,时钟信号CLK走线长度近似为2500 mil。prstn1和prstn2两者必须有一个接地,主板就是靠这两个信号来判断这个插槽上是否有卡的。用作上拉或下拉的电阻一般取值2.2 k欧姆即可。一般来说,PCI板卡推荐做4层板,其实只要布线合理做两层板也是可以的。
串行EEPROM端信号有以下几种:时钟信号(EECK)、读数据信号(EEDO)、写数据信号(EEDI)和片选信号(EESC),分别和EEPROM相应管脚相连即可。
2.3串行EEPROM的配置
与ISA总线相比,PCI总线支持三个物理空间:存储器地址空间、I/O地址空间和配置空间。配置空间是PCI所特有的一个空间,所有的PCI设备必须提供配置空间。串行EEPROM存储了PCI9052重要的配置信息,如设备号DID、制造商号VID、子设备号SDID、子制造商号SVID、中断号、设备类型号、局部空间基地址、局部空间描述符、片选响应以及局部响应控制CNTRL等信号。EEPROM的内容非常重要,它直接关系到整个板卡能否正常工作,在设计时要非常注意。
系统加电时,通过PCI的RST复位以后,PCI9052首先检测EEPROM是否存在。如果检测到EEPROM首字不是FFFFH,PCI9052将依次读取EEPROM的内容来初始化内部寄存器。PCIBIOS根据配置寄存器的内容进行系统资源分配,这样,整个PCI设备的资源才不会发生冲突,从而实现了PCI总线的即插即用的特性。
PCI9052的内部寄存器为总线接口的设计与实现提供了最大的灵活性,这些寄存器可以分为两类:PCI配置寄存器和局部配置寄存器。PCI配置寄存器有6个基地址寄存器,这些基地址是在系统中的物理地址。其中,基地址0和基地址1分别是以内存方式和I/O方式访问局部配置寄存器的基地址,基地址2和基地址3分别映射到局部基地址0和局部基地址1。局部总线配置寄存器用于设定局部总线的工作方式,如基地址和地址范围等。实际上,9052在PCI和ISA总线之间起到一个翻译作用,要访问ISA端地址只需对PCI端基地址进行操作就可以了。对于我们的设计,EEPROM的值及装入顺序如表1所示。
表1中,DID和VID是PLX公司的标志,一般不能更改。操作系统就是通过DID、VID、SDID、SVID及设备类型码来识别不同厂家的设备的。
在ISA模式下,局部空间1必须映射为I/O空间,局部空间0必须映射为内存空间。另外要注意:在ISA模式下虽然不存在片选信号,但我们必须设置它,使它的值和局部空间1的基地址和范围相匹配,否则,局部地址空间无法响应PCI的控制指令。同样,如果用到局部地址空间0,也要设置它的值。
对于PCI9052芯片,它的配置寄存器的内容是在芯片复位时通过串行EEPROM加载
的。在ISA模式下,串行EEPROM一定不能省略,我们一般使用松下公司的NM93CS46或与之兼容的存储器。配置寄存器的内容编写完以后,可以用编程器写入EEPROM中。另外,也可以通过主机在线烧写,但由于各种原因,成功率很低。
3板卡调试
板卡做好以后,就可以插入主机板的PCI插槽中进行调试。在调试的过程中,为了跟踪信号的变化通常要用到数字示波器,另外,还需要一个软件调试工具。PLX公司提供了一个905X的专用调试软件PLXmon,我们可以从它的网站免费下载。PLXmon包括以下功能:PCI总线的探测与选择;配置寄存器的检查和修改;内存空间的显示、修改和填充;EEPROM内容的读写等。利用这个工具,我们可以很清楚地看到EEPROM的内容以及PCI 配置寄存器和局部端配置寄存器的内容,另外,用户还可以进行内存和I/O端口的读写。
此外,我们也可以用WinDriver或SoftICE软件进行板卡调试,但总的来说,使用起来都不如PLXmon方便。有了开发工具,设计者就可以根据板卡的具体要求进行调试了。
4驱动程序的编写
板卡调试成功以后就可以编写驱动程序了。目前,编写驱动程序最常用的工具是VtoolsD和WinDriver,它们都是专门的驱动开发工具。尤其是WinDriver,开发人员不需要掌握WINDOWS驱动编程的知识,利用它的向导工具,能很快地开发出高质量的驱动程序。
在Windows9x环境下,操作系统统一管理硬件资源,出于安全性考虑,ring3层应用程序不能直接访问硬件(I/O端口访问除外),因此,必须编写运行在ring0层的虚拟设备驱动程序(VxD)来响应系统底层的中断。如果板卡只有I/O操作,而没有用到中断和内存操作,可以不用编写驱动程序,直接在应用程序里实现输入输出就可以了。编程的方法是先找到板卡,再找到卡中与我们用到的局部空间相对应的PCI基地址,然后就可以根据要求对这个基地址进行操作了。如果在WINDOWS98以上版本的操作系统下,就要编写WDM 设备驱动程序了。
5结束语
由于PCI总线数据吞吐量大,传输速率高,在微机接口设计中,基于PCI总线的设计成为主流。PCI9052是一款优秀的PCI接口芯片,设计者用它可避免直接面对复杂的PCI 总线协议,降低了设计难度,从而使用户可以集中精力解决具体的应用问题,缩短了开发周期。实践证明,PCI9052为开发作为总线接口目标设备的产品,特别是对基于ISA总线的接口板向PCI的转换提供了极大的方便。
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web 站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB 或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。下面让我们来看看如何搭建ISA Server 2006的实验环境。 一、实验环境: 按如图1所示拓扑图构建域环境,域名为https://www.doczj.com/doc/7f7900379.html,。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。 二、查看域控制器和ISA防火墙的TCP/IP设置 1、ISA服务器网卡配置情况: ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。 2、域控制器网卡配置情况:
使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。 本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装…… 【IT专家网独家】本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装…… 一、安装ISA Server 2006企业版 以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,放入光盘运行程序,出现如图1所示界面。
1.ISA Server 2006 说明 ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。下面让我们来看看如何搭建ISA Server 2006的实验环境。 2. ISA Server 2006实验环境 按如图1所示拓扑图构建域环境,域名为https://www.doczj.com/doc/7f7900379.html,。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。
3.查看域控制器和ISA防火墙的TCP/IP设置3.ISA 2006服务器的网络环境 3.1 ISA 2006服务器网卡配置情况 ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。 3.2域控制器网卡配置情况 使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。 本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述
ISA Server 2004标准版安装指南 一、系统及网络需求 要使用 ISA 服务器,您需要: ?CPU:至少550MHz,最多支持四个CPU; ?内存:至少256MB; ?硬盘空间:150MB,不含缓存使用的磁盘空间;缓存需要存放在NTFS分区上; ?操作系统:Windows Server?2003 或 Windows?2000 Server 操作系统。但是如果在运行 Windows2000 Serve r的计算机上安装 ISA Server 2004服务器,那么必须达到以下要求: ?必须安装 Windows2000 Service Pack4 或更高版本; ?必须安装 Internet Explorer6 或更高版本; ?如果您使用的是 Windows2000 SP4 整合安装,还要求打KB821887补丁(“为 Windows 2000 授权管理器运行库配置审核时,安全日志中未记录授权角色的事件”,可在本站下载); ?网络适配器:必须为连接到 ISA Server 2004服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用。 ?DNS服务器:ISA Server 2004服务器不具备转发DNS请求的功能,必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器,或者使用外网(Internet)的DNS服务器。 ?网络:在安装ISA Server 2004服务器以前,应保证内部网络正常工作,这样可以避免一些未知的问题。二、安装ISA Server 2004 下图是我们的网络拓朴结构: 在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server机的内部接口(10. 0.1.1)作为它的网关和DNS服务器。 我们安装的版本是ISA Server 2004中文标准版(Build 4.0.2161.50)。运行ISA Server 2004安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装,如下图:
ISA安装设置全集 发布时间:2003-10-245inet 点击: 34171 ISA安装设置全集 安装ISA Server 设定ISA Server Policy Elements 设定 如何建立ISA Server 封包过滤Packet Filtering 原则 Publishing Service 转送服务 ISA 2000 Server 备份及还原 ISA Server 记录档管理 ISA Server 入侵侦测功能 安装ISA Server 将Microsoft ISA 2000 Server 光碟放在Windows 2000 伺服器上;按下Install ISA Server 如图下。
Fig 1.撰择Full Installation; ISA Server 2000 有下列三个安装元件: 一、ISA Services: 防火墙运作及控制服务。 二、Add-In Services: 附加网路服务元件,可选择安装包括H.323 Gatekeeper Service,这 是提供内部使用者运用MS Netmeeting 或H.323 和外面网路(Internet) 沟通的闸道 (Gateway)应用程式,Message Screener 用作提供过滤进出防火墙的SMTP Packet 的管制监墆服务元件。 三、Administrator Tools: 管理ISA Server 介面程式包括H.323 Gatekeeper Service 的 管理介面。这个管理工具可以安装在Windows 2000 Professional 工作站作远端管理 ISA Server 运作。 2.警告讯息; 如你安装于Windows 2000 Stand-Alone Server 且没有加任何Active Directory,这个讯息如图下是
理论部分 一.放火墙的概述 1.放火墙的主要功能:强化安全策略;记录用户的上网活动;隐藏用户站点或网络拓扑;安全策略的检查 2.放火墙的分类 1)包过滤型放火墙:工作在OSI参考模型的网络层,根据数据包头源地址,目的地址,端口号和协议类型等标志来确定是否允许数据包通过2)代理型放火墙:工作在OSI的最高层,应用层,代理服务器实是在确认客户端连接请求后接管连接,代其向服务器发出连接请求,代理服务器根据服务器的应答,决定如何响应客户端请求;缺点是速度慢 3)状态检测型放火墙:是由包过滤型发展而来的,可以自动生成和删除响应过滤规则,还可以追踪连接状态,工作在网络层 3.放火墙体系 双宿主堡垒主机:两块网卡的主机做放火墙,一个用外网,一个用内网三宿主堡主机:放火墙有三个接口,一个内网,一个外网,一个非军事区背靠背连接:有两台双网卡的放火墙,DMZ区就在两个放火墙之间 4.放火简介:NetScreen系列放火墙(是硬件放火墙);Ciso ASA系列放火墙(硬件放火墙);天融放火墙;Check Pint放火墙;ISA Server2004/2006(融合了状态检测型和代理型放火墙的特点) 二. ISA Server2006概述 1. ISA Server2006功能介绍(ISA Server2006是路由级别的放火墙,兼有高性能缓存功能
Internet放火墙: ISA Server2006可以部署成一台专用放火墙,作为内部用户接入Internet的安全网关 安全服务器的发布: ISA Server2006,内部用户能够向Internet发布服务, ISA Server2006计算机代表内部发布服务器来处理客户端的请求,避免服务器直接暴露在Internet上而收到攻击 Web缓存服务器: ISA Server2006可以像代理防火墙一样,通过服务器中的缓存实现网络的加速,可以同时将Internet放火墙和Web缓存部署到同一台服务器 2. ISA Server2006版本:标准版,企业版 三. ISA Server2006的安装 1. ISA Server2006安装注意事项 1)硬件配置:CPU(至少733MHZ);内存(至少512MB);硬盘空间(至少150MB);操作系统(Winsows2000/2003);网络适配器(必须为连接到ISA Server2006的每个网络单独准备一个适配器 2)DNS: ISA Server2006不自带DNS,必须使用额外的DNS服务器 3)Web发布:如果利用ISA Server2006发布Web服务器,必须让ISP保留保留静态IP地址 2. ISA Server2006的组件 阵列:对一组ISA Server2006服务器的统一管理 配置服务器:用于存储企业中全部阵列的配置信息 ISA服务器:运行放火墙.VPN和缓存服务和ISA服务器 ISA服务器:用于管理企业和阵列成员的管理终端
ISA Server 2006不仅功能强大,而且设置与使用也很方便,入门也很容易。如果读者有配置其他防火墙的经验,在做过一些实际操作后,可以很容易的掌握ISA Server 2006的使用。 ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例,如果选择三向外围网络模板,则分为内网、外网、本地主机、DMZ区),这一点是和其他防火墙软件包括ISA Server 2000不同的地方,其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分,可以进一步提高ISA Server 2006本身的安全性。 对于普通防火墙来说,根据网络通讯的“方向”不同,有两项设置,即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。而对于ISA Server来说,除了有两这项设置之外,还包括对ISA Server服务器本身“称做‘本地主机’”的访问:“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。 在默认情况下,ISA Server 2006安装完成后,ISA Server会“隔离”内、外网的通讯,任何通过ISA Server进行通讯的上述行为都要经过设置。在ISA Server中,任何未经明确“允许”的行为,默认都是“禁止”。 11.5.1 允许内网访问Internet
前面已经说过,ISA Server中的任意一种网络行为都要经过“定制”,未经明确设置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后,如果网络中的用户想通过ISA Server连接到Internet,必须要进行设置。对于一般的上网来说,通常要包括访问远程(指Internet上的)服务器的这些服务: ●WWW服务,即访问远程Web服务器,实际为使用TCP协议访问远程的TCP 80端口,如果远程的Web服务器没有使用TCP的80端口,必须要另加定义。 ●邮件服务,收发电子邮件,实际为使用TCP协议访问远程的SMTP服务(TCP的25端口)和POP3服务(TCP的110端口)。 ●FTP服务,即文件上传下载服务,实际为使用TCP协议访问远程的21端口(实际上还要使用TCP的20端口,如果使用PASV方式,还需要使用一个动态端口)。 上面这三种:浏览网页、收发邮件、FTP是Internet的三大基本应用之后,设计任何防火墙策略,这都是必不要少的。实际中,为了使用这三种功能,还需要使用DNS服务和SSL Web访问服务: ●DNS服务,提供域名解析功能,实际为使用TCP和UDP协议访问远程的53端口。 ●SSL Web服务,实际为使用TCP协议访问远程的TCP的443端口。 把上面这些规则进行统一,本条防火墙策略为: 设置原则:允许“内网”使用Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中,创建这条规则的步骤如下:
路由+ISA2004(双网卡)+内网 悬赏分:100 | 解决时间:2009-5-15 10:49 | 提问者:yvhkasd 2M的ADSL通过路由进入到ISA2004的网卡1,ISA2004的网卡2连接交换机,交换机下面接内网PC。 请问,ISA2004的网卡1,跟网卡2如何设置? 网卡1的填的是路由的网关192.168.1.1 IP是192.168.1.2 DNS是202.96.128.86 网卡2用来做内网的网关 IP是192.168.0.1 DNS是192.168.0.1 ISA2004上做DNS服务器。 如上设置后,我ISA2004服务器能上网,而且还能PING通内网的PC,但是内网的PC 不能PING通192.168.0.1这个网关,而且也不能上网! 请问,如何设置 DNS服务器,跟网卡1,跟网卡2? 求教高手现身指教,问题补充: 现在已经实现上网了 按照vicentejin哥们的方法, 最主要的是客户端的LAN代理设置! 最佳答案 ISA2004三步配置: 一、配置内部网络 在安装过程中,您通过指定内部网络中的地址范围配置了内部网络。请确认该配置有效,并且内部网络仅包含内部网络中的地址。然后在 ISA服务器上,执行下列 步骤: 1、打开 Microsoft ISA 服务器管理,展开“ISA(也就是主机名)”,再展开“配置”节点,然后单击“网络”。
2、在详细信息窗格中的“网络”选项卡上,会显示包含在每个网络中的地址范围。确认内部网络仅包含公司网络中的计算机的 IP 地址。 注意:如有必要,可以通过双击“网络”选项卡上的“内部”来打开“内部属性”对话框,以便重新配置内部网络。 3、请选择“地址”选项卡,然后使用“添加”和“删除”按钮在网络中添加或删除地址范围。还可以使用“添加适配器”按钮添加与特定的网络适配器关联的所有 IP 范围,或者使用“添加专用”按钮添加专用的地址范围。 4、双击“网络”选项卡上的“内部”打开“内部属性”对话框。在“Web 代理”选项卡上,确认选中了“启用 Web 代理客户端”和“启用 HTTP”,并且在“HTTP 端口”中指定了“8080”,然后单击“确定”。 二、创建网络规则 在安装过程中,创建了默认的 Internet 访问网络规则。此规则定义了内部网络与外部网络之间的关系。要验证规则配置,请执行下列步骤: 1、展开“配置”节点,然后单击“网络”。在“网络规则”选项卡上,双击“Internet 访问”规则以显示“Internet 访问属性”对话框。 2、在“源网络”选项卡上,确认列出了“内部”。如果未列出,请执行以下操作: 单击“添加”,在“添加网络实体”中,单击“网络”,再单击“内部”,单击“添加”,然后单击“关闭”;在“目标网络”选项卡上,确认列出了“外部”。如果未列出,请执行以下操作:单击“添加”,在“添加网络实体”中,单击“网络”,再单击“外部”,单击“添加”,然后单击“关闭”。 3、在“网络关系”选项卡上,选择“网络地址转换 (NAT)”。单击“确定”。 4、在详细信息窗格中,单击“应用”来应用更改(如果进行了更改)。 三、创建策略规则 要允许内部客户端访问 Internet,必须创建允许内部客户端使用 HTTP 和HTTPS 协议的访问规则。请执行下列步骤:
isa防火墙如何配置 isa防火墙配置一: 配置isa server网络环境 网络环境中是否有必要安装isa、是否可以安装isa、安装前isa保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题,本文将具体阐述一下。文章导读 1、isa server 概述 2、边缘防火墙模型 3、单网络与多网络模型 isa server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业内部网络安全、快速的连接到internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。 你可以在网络的任何地方,如两个或多个网络的边缘层(lan 到internet、lan到lan、lan到dmz、lan到等等)、单个主机上配置isa server 2004来对你的网络或主机进行防护。 isa server 2004对于安装的要求非常低,可以说,目前的服务器对于isa server 2004的硬件系统需求都是绰绰有余的。 isa server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、tcp/ip设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用。在安装isa server时,你需要对你内部网络中的路由及tcp/ip设置进行预先的规划和配置,这样才能做到安装isa server后即可很容易的使
用,而不会出现客户不能访问外部网络的问题。 再谈谈对在单机上安装isa server 2004的看法。isa server 2004可以安装在单网络适配器计算机上,它将会自动配置为cache only的防火墙,同时,通过isa server 2004强大的ids和应用层识别机制,对本机提供了很好的防护。但是,isa server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。 所以,我不推荐在单机上安装isa server 2004。对于单机防火墙,我推荐sygate personal firewall pro(spf pro)、zonealarm、blackice等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装zonealarm或者blackice,spf pro因为太过于强大,反而不适合作为服务器使用。对于基于iis的web 服务器,你还可以安装iislockdown和urlscan工具,这样就可以做到比较安全了。对于单网络适配器的isa server,我会在后面的实例中介绍。 至于安装isa server前内部的客户如何进行配置,我以几个实例来进行介绍: 1、边缘防火墙模型 如下图,isa server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到internet,内部的lan 我以192.168.0.0/24为例,不考虑接入internet的方式(拨号或固定ip均可)。 isa server 2004上的内部网络适配器作为内部客户的默认网
ISA-ES配置 一、前提条件: 1、正确安装SDH CT 软件 2、正确安装 ISA CT 软件 3、正确安装ALCATEL 虚拟网卡 二、软件集成: 三、SDH层面的配置: 1、配置IP Address Configuration of Point_To_Point Interfaces:点击 Configuration---Comm/Routing---IP Configuration---IP Address Configuration of Point_To_Point Interfaces 2、配置ISA Board IP Address:点击菜单 Configuration---Comm/Routing---IP Configuration---ISA Board IP Address 3、配置IP Over OSI:点击菜单Configuration---Tunneling Configuration---IP Over OSI;输入相邻站点的NASP 地址 4、配置ISA Port Configuration: 点击菜单 Configuration--- ISA Port Configuration; 选择映射类型,点击Creat/Change(本例为VC12XV)和速率(本例为1个2M);激活LCAS cfg: 点击图上的LCAS cfg,点击Enable。 5、配置Control Path Activation:点击Ctrl Path Act.
在TPs to be Active 选择1点击Apply 激活所有通道。 6、建立交叉连接 双击ES1 机盘,进入最后一层,选中VC12Virtual 按鼠标右键选中Create Cross Connection 根据实际情况选择合适的TU12,点击OK 建立交叉连接。每个VC12Virtual都应建立交叉连接, 四 ISA 层面的配置: 在1320CT 的Network Element Synthesis 下选中网元,按鼠标右键选中Realign ISA board population ,等XXX#r01sr1slxx图标出现后按鼠标右键选中Start supervision 开始监控ISA 板,再选择Show Equipment 进入ISA板: ETS模式的配置:此模式用于点到点的以太网业务 注意:若通过的业务数据帧大于1518的时候,则需要先更改桥接类型为802.1q. 1、UP local 口(物理口):在Transmission页面选中local 口(本例为第9口即ETHLocPort#9)按鼠标右键选中 Configure Ethernet Port在Admin.status 栏选择 up 起端口 2、UP Remote 口(系统口):在Transmission页面选中Remote 口(与三、4节设置一一对应,即Port Number 1对应ETHRemPort#1001; Port Number 3对应ETHRemPort#1003。故此处应选择ETHRemPort#1001)按鼠标右键选中 Configure Ethernet Port 在Admin.status栏选 up ;在Underlying Layer栏选vconc; 在
防火墙设计(ISA配置) ISA三向外围网络初级实验 任务十二:用ISA2006实现本方案的三个安全区域,并制订一些防火墙规划,实现内网所有的用户都可以上网浏览网页,访问FTP,使用聊天工具MSN。DMZ区域发布的网站可以从外部和内部正常访问,该网站服务器使用私网地址。从外部无法访问内部网络的任何数据。实验环境需要用到3台虚拟机,角色分别是:ISA主机、DMZ区域的WEB,和内网用户机器,外网用户的虚拟机可用物理机充当。实验成功后,需要保存如下图片:(1)内网用户正常访问https://www.doczj.com/doc/7f7900379.html,网站;(2)外网用户成功访问DMZ中WEB服务器时,对页面截图。(3)外网用户访问内部主机时出错的提示信息(用Ping和远程桌面连接来测试)。 说明:本实验非项目内容,是对项目相关联的知识点的实践。 1、实验环境 VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP2、ISA Server 2006企业版或标准版、Windows XP Professional。
2、实验拓扑 WebSer ISASer PC1UserPC Bridge VMnet3 VMnet2DMZ LAN 图1 ISA Server 2006实验拓扑 3. 实验要求 (1)实验环境准备: WebSer : 操作系统:Windows Server 2003 Enterprise Edition ; 计算机名:webSer IP :172.16.1.2/24,GW :172.16.1.1,DNS :202.96.128.68(电信DNS ); 所在网络:DMZ 区,VMNet3 作用:安装Internet Information Services (IIS )的计算机,配置测试的Web 网站; ISA Server : 操作系统:Windows Server 2003 Enterprise Edition ; 计算机名:isaSer 要求本机有三个网卡,分别处于不同的网络:
ISA server代理服务器安装与组建!第五部分! ISA server代理服务器安装与组建!第五部分! 转自54master: 说明:以下内容来网络,发在这里只是为了能和大家一起分享和讨论ISA服务器的相关技术。 如作者有任何改动,这里可能将有会及时做更改? 上接:ISA server代理服务器安装与组建!第四部分! https://www.doczj.com/doc/7f7900379.html,/read.php?tid-3061.html “弄完这些,ISA服务器就算弄好了吧?” “只能说是初步完成了,后面需要根据你的实际情况来调整策略即可。” “那其他的电脑需要怎么设置才可以通过ISA来上网呢?” “现在,我就跟你讲一下ISA中的三种客户端,以及这三种不同的客户端的设置方法。”“好。” ISA 2004中,客户端有三种类型,Snat,Webproxy(WEB代理),防火墙客户端(FWC)。这三种客户端。 “你能具体说说吗?” Snat客户端的设置是,只要你现在把其他的电脑的默认网和DNS设置成ISA服务器的内网卡即可。同时,这样的话,就要在ISA服务器上,将内部DNS服务器建起来。 在此把DNS服务器安装在ISA Server同一台计算机上)打开控制面板下的添加/删除程序,点击添加/删除Windows组件,在Windows 组件向导中双击网络服务,勾选域名系统[font]DNS),点击”确定”,再点击”下一步”,安装过 程中可能需要你插入Windows Server 2003的安装光盘。
跟着向导一步一步将DNS组件装完后,打开DNS管理器(开始-程序-管理工具-DNS)。这个DNS的设置比较简单,只有几个地方需要注意。见图
ISA SERVER使用指南随着因特网的使用继续扩展,安全和性能也同样面临挑战。在以前仅仅给我们提供了代理服务的软件渐渐的在我们的要求面前越来越显得苍白无力了。怎么办我们选择了寻找新的软件以及企业上网的解决方案。从长远来考虑,我们需要的不仅仅是一个代理软件,让企业职工能够通过这个代理访问到外面的世界,让他们感知外面的世界并且尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界,而且还需要世界来了解我们。当然,这个时候那么安全和性能就越来越得到企业和用户的重视了。当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理服务器不算少,每个代理服务器均使用了一个月以上了,但是都不是非常满意。大致归纳起来l SYSGA TE:功能太简单,效率不是很高,稳定性还可以l WINGA TE:功能适中,速度效率都还不错,稳定性不好l WINROUTE:功能适中,速度效率基本上来说还可以,稳定性也还是不错l CCPROXY:速度不错,但是总的来说总有一些或多或少的毛病l INTERNET连接共享:功能太简单,效率非常一般,稳定性还可以还是说说我们单位的大致情况吧。8M专线ADSL接入INTERNET,两台HP 服务器,网络中心为100M到桌面,整个企业网络为全交换式网络。企业内部所以科室机器全部需要连接到INTERNET,科室机器大约为200台。机房有4个,机器大约总共为200台左右。我们需要能够随时控制哪些科室在什么时间段能够上网,并且能够对这些科室的上网带宽进行控制。能够随时灵活的控制机房是否能够上网。能够在企业内部建立若干个WEB 和FTP站点,并且通过这个代理服务器发布到INTERNET上,让INTERNET上的朋友对这些个资源进行访问?6?7?6?7在使用了这些代理之后,我渐渐的开始失望,难道真的没有让我满意的代理服务器吗最后,在朋友的介绍下我们使用了这款微软发布的代理服务器——Internet Security and Acceleration Server。首先澄清一点,我绝对不是微软的枪手,而且微软也绝对不会找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。Internet Security and AccelerationISA Server可以说是原来基于Windows NT 4.0的MS PROXY的一个升级版本吧。它在前一版的基础上修补了许多安全性及缓存上的缺陷,提供了更快速、更安全、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说,这款软件不仅仅再是一个代理软件了,它还充当了一个“防火墙”的功效。ISA Server允许被安装成Cache mode缓存模式、Firewall mode 防火墙模式、Integrate mode集成模式三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时,也要对公司内部的主机进行相应的保护的话,那么Firewall或Integrate 模式正是您所需要的。但在很多企业没有任何相关的Internet主机或外部已经有防火墙,而他们知识希望能加快网络间流量传递速度,则采用Cache模式是最理想的一种方案了。那么ISA能够提供给大家一些什么服务呢多层防火墙安全防火墙可以通过各种方法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙,如ISA Server 所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层,ISA Server 检查在IP 消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的TCP 或UDP 消息头中的端口。动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。ISA Server 可以动态地确定,哪些数据包可以传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。集成的入侵检测ISA Server 利用一家名为Internet Security Systems 的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke 和Ping of Death 之类的常见网络攻击的这种服务。并且ISA能够自动对
I S A防火墙策略配置 文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
第九章I S A防火墙策略配置实验案例一: 实验环境 实验拓扑图如图,请发布位在内网的exchange2007建立的网站,发布到ISA上,内网的IP 为网段,外网的IP为网段,ISA的内网的IP为 为了实验完成,配置一个为外部网络解析域名的DNS服务器 需求描述 1在WEB服务器上建立网站 2配置为外网解析域名的DNS服务器 3在ISA计算机上发布为外网提供服务的DNS服务器 4在ISA计算机上发布WEB服务器中的网站 5从外网计算上用域名访问WEB网站 推荐步骤 1实验准备 1按图所示的拓扑图建立网络环境 2在ISA计算机上安装ISA server 2006企业版 3在WEB服务器上的计算机上建立网站 2配置DN服务器 配置为外网提供服务的DNS服务器 3发布DNS服务器 (1)在ISA计算机上发布为外网提供服务的DNS服务器 在防火墙策略中选择新建“访问规则”是内网用户可以ping同外网用户,选择非WEB服务器协议发布规则建立DNS服务 在服务器名称中输入DNS 服务器IP地址中输入服务器IP地址 选择的协议选择DNS服务器 侦听器IP地址选择外部 (2)使用”pipng ”命令测试发布是否正常 4发布WEB服务器 (1)在ISA计算机上建立网站发布规则 选择防火墙策略中的网站发布规则 (2)应用网站发布规则
5访问WEB网站 (1)在外网计算上使用域名访问网站 (2)在外网计算机上使用IP地址访问 实验案例二:发布Exchange 2007邮件服务器 实验环境 Benet公司的局域网通过ISA server2006的防火墙与外网相连。如何在ISA防火墙上发布局域网内部的Exchange2007邮件服务器,使公司员工在外出差时可以使用outlook Express访问局域网的邮件服务器,收发商务邮件benet公司的网络拓扑图如图 需求描述 建立Exchange2007邮件服务器 发布邮件服务器 验证邮件服务器的发布 推荐步骤 1实验准备 (1)按图所示的拓扑图建立网络环境 (2)在邮件服务器的计算机上安装Exchange2007 (3)在ISA计算上安装ISA Server 2006企业版 2发布邮件服务器 在ISA计算机上发布邮件服务器 为了实验成功最好在hosts文件中添加记录 3验证邮件服务器的发布 (1)登陆邮件服务器给邮件服务器的administrator发邮件 (2)使用owa收发邮件,测试服务器的发布是否成功
ISA Server 2004配置详解 ISA2004本地主机访问规则 ISA 2004本机访问外界,需要建立从本地主机到外部网络的相应协议访问策略。所有网络(和本地主机)指的是所有的网络(内网和公网),本地主机指的是ISA服务器。如图01所示。 图01 本地主机允许通过所有出站去访问任何能连接到的网络,相对于安全的角度讲此处设置的外网(其它网络)访问本地主机的规则是只能过FTP和HTTP的21和80来访问本地服务器主机。 2.允许所有内部用户访问Internet的所有服务 ISA2004和ISA2000相比,再也不要求必须为用户所访问的服务定义协议,只需要一条策略就可以让内部客户完全的访问Internet上的所有服务。如图02所示。 图02 3.使用访问规则来禁止对某些网站的访问 首先建立要禁止网站的域名集,在防火墙策略选项的右边工具栏中的网络对象中新建一个如图03所示的被禁的网站的域名集。 图03
在此为防火墙策略新添加了名称为禁止上某一网站的规则,内容是这样的:拒绝所有受保护的网络(安装ISA时设定的地址范围和本地主机)访问被禁止的网站。这些站点主要考虑不健康网站或可能带木马网页的网页,为了安全不让客户端访问。如图04所示。 图04 使ISA更加安全 为了使ISA服务器更加安全,需要做两个设置:第一个设置是其它网络访问本地主机的规则,然后在弹出的“为规则配置HTTP 策略”对话框中右击,取消选择“阻止高位字符”和阻止包含Windows可执行内容的响应。如图05所示。 图05 第二:如果有必要的话,还可以控制响应文件的扩展名,在如图07所示中选择扩展名,然后进行编辑。 注意:出于安全考虑,ISA Server 2004 默认是不允许FTP上传的(即不能写FTP服务器),取消的办法是:在允许访问FTP服务器的规则上(在这儿是无限制的Internet访问)上点击右键,然后选择“配置FTP”,把“只读”选项去掉。 如果不想让某些客户端能过已建的规则访问设定的网站,除了修改和删除防火墙策略中的控制规则以外,最好的方法是可将其规则停止,如图06所示,内网无限制上网规则为停用。