4-1_部署企业级防火墙软件ISA 2006

ISA Server 2006 性能最佳操作Microsoft? Internet Security and Acceleration (ISA) Server 2006 提供网络之间受控的安全访问，并充当一个提供快速Web 响应和卸载功能以及用于远程访问的安全Web 发布的Web 缓存代理。

它的多层体系结构和高级策略引擎为您需要的安全级别和所要的资源之间的平衡提供了精确的控制。

在一台边缘服务器连接多个网络时，与组织中的其他服务器相比，ISA Server 要处理大量流量。

因此，ISA Server 是专为高性能而构建的。

本文为部署具有最佳性能和充足容量的ISA Server 提供指南（本文还包含指向英文网页的链接）。

摘要在大多数情况下，可用网络带宽（特别是Internet 链路带宽）可通过运行在可用的入门级硬件上的ISA Server 来保护。

对于各种Internet 链路，典型的保护超文本传输协议(HTTP) 流量的出站Web 访问的默认ISA Server 部署需要以下特定硬件配置。

下表列出了这些硬件配置（有关详细信息，请参阅本文档中的―Web 代理方案‖）。

使用传输层状态筛选而不是Web 代理筛选器，将同样流量模型的CPU 使用率提高了10 倍。

状态筛选和应用程序筛选可同时使用，以便对性能进行精确控制。

返回页首规划ISA Server 容量了解容量需求是确定ISA Server 部署所必需的资源的第一步。

对于大规模的部署，会有几种具体的部署情况。

一般情况下，您可能需要考虑下列衡量指标：•连接到ISA Server 计算机的每个网络上的可用和实际带宽。

•组织中的用户数量。

•应用层的各种衡量指标（例如，邮件服务器中的平均邮箱大小）。

对于ISA Server 容量的最重要的衡量指标是实际网络带宽，因为它们通常代表真实的容量需求。

在许多情况下，网络带宽（特别是Internet 链路的网络带宽）可以确定ISA Server 容量。

ISA2006 安装
在这里先把ISA2006的安装步骤给大家贴出来,后面陆续会有一些配置及日常的应用,希望大家多多指教!呵呵.ISA功能的强大自然不用多说了,一句话只要能想到它就能做到!
放入光盘出现在我们面前还是其人性化的界面
点默认的下一步吧
接受协议
序列号大家把网上搜搜,到处都是!(:
在这里大家选择第三项(要是想要部署阵列话先要安装第一项,等第一项安装完成后再重新安装第二项)
选择你想要安装的位置
因为这是我们安装的第一台服务器,所以选择第一项
添加内部的网卡或者选择内部网络的IP范围
接下来就是下一步的下一步了,呵呵!
最后一步,大功告成.
访问规则：
右键防火墙----新建----访问规则----
名称允许/拒绝所有出站通讯/所选协议从到所有用户
开通全部网络允许所有出站通讯内部内部所有用户
……
由”中要设置。

开始----管理工具----路由和远程访问
路由和远程访问下有个静态路由，右键点击静态路由，新建静态路由，接口：inside
目标：192.168.1.0，网络掩码：255.255.255.0 网关：192.168.5.1 跃点数：1 确定
即可。

192.168.1.0 192.168.2.0 192.168.3.0 192.168.6.0 192.168.7.0 192.168.8.0 192.168.10.0
4和9段没有，5段不要设，本服务器ISA段。

为企业布署 ISA SERVER为企业布署ISA SERVER由于Internet的运用不断扩展，安全和性能所面临的挑战也不断加大。

许多安全问题都可以利用ISA Server Firewall服务来解决，它允许通过基于任意数量可配置的策略单元规则，控制进出网络资源的访问。

什么是 ISA Server 2006？ISA Server 2006 是一种集成的边缘安全网关产品，在使您的用户对应用系统和数据进行快速而安全的远程访问的同时，有助于保护您的 IT 环境免受来自基于 Internet 的威胁。

使用场景ISA Server 2006 为 IT 经理、网络管理员、以及关心安全、性能、管理能力、或者降低网络运行成本的信息安全专业人员提供了价值。

ISA Server 2006 能够协助您：●安全地发布远程访问内容。

通过为利用 Internet 进行访问的企业应用系统提供安全保护，ISA Server 2006 有助于改进实施操作。

●连接和保护分支机构。

通过利用现有网络连接，ISAServer 2006 为安全地扩展企业网络，降低网络运行成本提供了一种稳健的方法。

●防御外部和内部的、基于 Web 的威胁。

ISA Server 2006旨在为管理和保护您的网络提供更加强大的安全保护。

安全地发布远程访问内容企业需要向雇员和合作伙伴提供从任何 PC 或设备，对应用系统、文档和数据进行安全和适当的远程访问的能力。

ISA Server 2006 使企业能够让企业网络以外的远程用户以更加安全的方式访问其 Exchange、SharePoint、以及其他Web 应用服务器。

通过在对任何发布的服务器进行访问之前对用户进行身份验证，在应用层进行状态检查（即使是加密的通信），并提供自动发布工具，ISA Server 2006 能够更加轻松地保护通过 Internet 对企业应用系统实施的访问。

连接和保护您的分支机构企业需将分支机构的远程站点与其总部进行连接，为来自分支机构的 Internet 访问提供增强的安全性，并且更加有效地利用有限的带宽。

无路由器的上网方式之4-----ISA2006防火墙无路由器上网方式之中，还可以用ISA防火墙来实现，它即能实现上网，更能作为一安全防火墙，保护内网的上网环境。

以下是企业网络拓扑，非常简单的网络布局。

ISA防火墙有三种架构方式来保护内网，但由于这里侧重于路由上网方面，所以其它的方式在此不予讨论。

本ISA防火墙的本地连接被重命名为LAN和WAN，分别连接着内网与外网。

LAN连接属性，IP设置如下：WAN连接属性，IP设置如下。

（注：如果是ADSL拨号的，则此设置为自动获得IP与DNS，但在ADSL那里得设置自动拨号，或者在本机新建一宽带连接，将拨号账号与密码填入，让外网出口的这块WAN网卡能够连接互联网）ISA2006防火墙企业版安装程序如下，注意，安装ISA2006，有两个基本前提，一是系统必须是服务器版，推荐使用windows server 2003企业版；二是，安装路径所在的驱动器必须是NTFS文件格式。

还有一个就是所要指定缓存的位置所在的驱动器必须也是NTFS文件格式。

如果不是这种格式，建议先转换，然后再安装，方法很简单，如：运行---cmd----convert c: /fs:ntfs 一般要系统重启，在启动过程中会自动转换文件系统为NTFS，当然，如果本身就是这种文件格式，就没有这步必要了。

双击安装程序“ISAAutorun.exe”，弹出如下安装界面，点击“安装ISA Server 2006”：如下图所示：因为此防火墙是已注册版，安装时，产品序列号会自动填上去，如下图所示：选择第三个选项，如下图所示：添加内网网卡，这里选择LAN。

完成ISA2006防火墙的安装，如下图所示：打开管理控制台，如下图所示：因为“企业策略”是针对于大范围的网络安全所设置的策略，当网络中存在多台ISA服务器，组成服务群或陈列时，企业策略会影响网络中所有ISA防火墙的策略，而我们这里的架构方式是单服务器单阵列式的，所以，只要在陈列中设置好了陈列防火墙策略就可以了。

ISA Server 2006战决战实验指南（）1环验指境的搭建本专IT家网独】网本文转自，IT家网独为同IT路人编写。

是ISA Server 2006目前企业中应用最多的版ISA该文为增该文强了对发OWA布和个的站Web 点支布和版持并为新单强对发SharePoint Portal Server布和版持并;单强对登支录特性针为持并通发过某侦站Web听器所有布和版有服 Web 务场版登支录特;单强对务场所功能组为持并过某的站Web务场所成群务场所集以实现负载均衡且为新此无性针需或Windows版NLB 化集以持并;了防对DDOS御极能组为大于版强了对发攻DDOS击范版御力组下是面让我们来看如如何搭 验ISA Server 2006版现环境一是、：现环境一按图何示1有拓扑构示域验名境一为名其同是控应名制主所机将其同DC_Server是加机将ISA_Server入到员名应为群同名群然务场所为后第强入块2卡独连为接内部络独标版独连识外同LAN为接内作络独标版独连识外同WAN为增机将火同ISA御墙客是作络Internet户它将机将其同WAN_Client为工目计火成应版算二将是查：设如名制主所个ISA御墙客版TCP/IP置配1：ISA务场所独连情配况更按ISA御墙客服2卡独连为改使独连识外何示2有拓是命最令速专ipconfig/all本设如ISA御墙客版IP置配况更为何示3有拓是2：名制主所独连情配况更按命最令速专ipconfig/all本设如名制主所版IP置配况更为何示4有拓是文是第ISA Server 2006 战决战实验指南（二部分，以一二里分，我们讲述了次ISA Server 2006验指境的搭建本以文将详细术述企ISA Server 2006业版安搭装域专IT家网独】网本文转目ISA Server 2006 战决战指现环南分块查络里为实块、络里讲们来述次对ISA Server 2006现环境一版 验为文详加细术述安ISA Server 2006业中该版装管→→、：装管ISA Server 2006业中该实名理身然份要录特员或上装管ISA Server 2006版机将(ISA_Server)放为光到盘运行程序出为界负何示1有拓话让是示 1登范专装管ISA Server 2006本为界负何示2有拓发框开为始步装管ISA Server 206业中该是登范专面、钮本图许为界负专可协议选本发框开为 受专们内条可协议选应版款项本 信为何示3有拓是示 3登范专面、钮本图许为界负专户它息在本发框开为位专最它本：专登产本个专品列出号输应相到方用息在为何示4有拓是示 4登范专面、钮本图许为界负专装管案时本发框开为位增发框开应 受装管案时为位无 受专路存装管ISA Server务场个情配储件务场所本 信为何示5有拓是示 5登范专面、钮本图许为为界负专成创 受本发框开为位无装管专ISA务场所本：专ISA 务场所理身本个专情配储件务场所本成创为何示6有拓是示 6登范专面、钮本图许为界负专业中装管 信本发框开为 受专警验单ISA务场所业中本 信为何示7有拓是示7登范专面、钮本图许为界负专单验业中告显本发框开为定拓加无算二将情配同情配储件务场所为何示8有拓是示8登范专面、钮本图许为界负何示9有拓版专部络独标本发框开为位增发框开应南添部络独标是示9登范专地入本图许为界负专址围本发框开为何示10有拓是示10登范专地入力属本图许为界负专IP址围力属公针本发框开为位增发框开应相到司～部络独标版址围力属为何192.168.0.1确192.168.0.200为何示11有拓示11登范专返添本图许为回已专址围本发框开为何示12有拓为协实如员经端地入对址围力属是示12登范专返添本图许为回已专部络独标本发框开为何示13有拓是示13登范专面、钮本图许为界负专御墙客户它否接内本发框开为位增发框开应南添ISA目不加内条看，密持并入允版御墙客户它否版接内为位无 受专表可密入允版御墙客户它否接内本 信为何示14有拓是示14登范专面、钮本图许为界负专务场告显本发框开为重拓位装管ISA Server 2006某序应加上启禁个概最版务场为何示15有拓是示15登范专面、钮本图许为界负专协实装管序出对本发框开为何示16有拓是示16登范专装管本图许为始步装管ISA Server 2006为何示17有拓是示17于十几钟里完实第为界负何示18有拓发框开为登范专即群本图许结协束整证站装管某序是示18查：环效ISA Server 2006装管果毕ISA Server 2006装管即法为过某何面案进台程环效目不装管群能是1：ISA制主打位ISA务场所放为登范专始步本 专序出本 专Mcrosoft ISA Server本 专ISA务场所理身本为关始何示19有拓ISA理身制主打是示192：ISA Server 2006方具务场位ISA务场所放为登范专始步本 专序出本 专理身计及本 专务场本为关始专务场本制主打为何示20有拓为装管即ISA Server 2006实第为的对专Microsoft Firewall本：专Microsoft ISA Server Control本：专Microsoft ISA Server Job Scheduler本实测专Microsoft ISA Server Storage本务场是示203：独标接过针试提实名理身然份要录特名制主所放为关始令速符拓说为相到令速专ping 192.168.0.1本为试提名制主所个ISA务场所部独连版接过针为何示21有拓为布负密组接过为明起ISA务场所经端与火最对是示21实名理身然份要录特ISA务场所放为位令速符拓说应为相到令速专ping 192.168.0.2本个专ping 192.168.1.2本为试提ISA务场所个名制主所实测作独算二将版接过针为何示22有拓为布负组接过是示22实文址理身然份要录特作独算二将为位令速符拓说应为相到令速专ping 192.168.1.1本为试提作独算二将者ISA务场所版接过针为何示23有拓为布负密组接过是示23ISA Server 2006战决战实验指南（）3环火处: IT路人编, 界责:IT家网独,任辑写刘: 志坡种,2007-11-01 10:37一管理员身份登录到控管制器上该以详配管制器上置成服ISA务种上搭3客户端：、SNAT户端：代Web及员户端：一防火墙。

ISA2006的安装1、安装ISA Server 2006 的机器应该至少有两个网卡，一个为外部接口，一个为内部接口。

所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy 控制所有网络间的数据传输。

2、下图为一个测试网络，ISA Server 作为一个边缘防火墙（Edge Firewall）：3、ISA2006的安装。

（环境Windows Server 2003 R2 +AD +DNS）第一步：运行ISA2006安装程式，如图，点击“安装ISA Server 2006”第二步：出现ISA Server 2006安装向导，点击“下一步”第三步：接受软件许可条款，点击“下一步”：第四步：选择“同时安装IAS Server服务和配置存储服务器”，点击下一步第五步：组件选择，点击“下一步”，如图所示：第六步：选择“创建新的ISA服务器企业”，点击“下一步”：第七步：出现一个警告画面，不会理会，点击“下一步”，出现如图所示：第八步：添加指定要包括在ISA服务器内部网络中的地址范围，点击“添加”出现下图，点击“添加适配器”，选择网卡连接内部网络的那块，点击“确定”，如下图第十步：完成以上步骤后，ISA开始安装，如下图第十一步：出现下图，安装完毕。

实验二、使用ISA2006代理上网实现安全策略二、平台搭建：1、使用VPC建立2台Wisndows Server 2003 R2 ，一台做ISA Server ,一台做Client加入AD做测试用。

2、将ISA Server 2003 安装好AD和DNS, 域名为：,主机名为：3、按拓扑图中的IP，配置好设备的IP地址，注意在使用VPC的时候，在配置网卡的使用，一定要注意IP地址不要配反，不然实验无法实现（注意：VPC网卡分:Internal network adapters,External network adapters）4、安装ISA Server 2006.三、需求分析：1、公司以前只有一个网段192.168.23.0/23,有一台DNS服务器，IP：192.168.23.1。

Windows域环境下部署ISA Server 2006防火墙（一）安装和配置ISA Server 2006服务器及客户端ISA Server 2006可以部署在各种规模的网络中，不同的部署方式可以针对不同规模的企业。

为其提供一个安全的解决方案。

ISA Server 2006主要有三大功能：第一、将其部署成一台专用防火墙，作为内部用户接入Internet的安全网关；第二、利用ISA Server 2006，企业内部用户能够向Internet发布服务器；第三、ISA Server 2006可以像代理防火墙一样，通过服务器的缓存实现网络的加速。

这三大功能咱们都会说到。

今天先来看一下如何在域环境下部署ISA Server 2006.ISA Server 2006有两个版本，标准版和企业版。

咱们今天用的是企业版，在安装之前先说一些注意事项如下：1、硬件配置是否支持（这个问题在这个年代，应该不是个问题，呵呵！）2、是否已存在ISA Server3、是否需要缓存功能4、是否进行安全服务器的发布5、windows域环境是否已搭建好6、ISA Server的应用有多大规模为什么要注意上面所说的几个问题呢？主要还是考虑到性价比的问题。

如果要求不是很高，完全用不着企业版，标准版足亦！还能节省成本，毕竟这玩艺儿还不是很便宜。

再说一下ISA Server 2006的组件，想有效地部署ISA Server 2006，必须了解ISA Server 2006的各个组件及其功能。

ISA Server 2006主要由下面的组件构成：1、阵列——阵列是对一组ISA Server 2006服务器的统一管理方式。

并且它们可以共享同样的配置。

2、配置存储服务器——用于存储企业中全部阵列的配置信息，是ISA中最重要的部分3、ISA服务器服务——运行防火墙、VPN和缓存服务的ISA服务器4、ISA服务器管理——用于管理企业和阵列成员的管理终端本次以及后面要说的ISA Server 2006部分都会依据下面这幅拓扑图。

ISA2004到ISA2006升级手册
备份
系统备份：建议对整个系统作好备份，以便出现不可逆的错误时快速恢复。

ISA2004策略备份：需要将原来ISA2004里面的策略，用户权限等信息全部通过导出备份。

一定要在ISA级别进行导出，这个时候才可以，并且一定要选择“导出用户权限和导出机密信息”，否则将无法将这些策略倒入到ISA2006。

同时一定要记住你设置的密码，在恢复时会用到这个密码。

卸载组件
由于当前Build的ISA Server 2006 中并没有防火墙客户端安装共享和SMTP消息筛选器这两个组件，因此在进行升级之前，必须保证当前的ISA Server 2004 服务器上没有安装这两个组件，如果已经安装，则需要先卸载这两个组件，然后再进行升级。

选择更改删除ISA 2004，进入ISA2004安装向导
继续下一步
选择修改，然后进入下一步
将防火墙客户端安装共享组件勾选掉后，进入下一步
现在就完成了组件的卸载工作。

升级ISA
运行ISA2006的安装程序，选择安装ISA2006
ISA2006安装会检测到ISA2004并准备进行升级安装
选择接受协议内容进入下一步
输入安装信息及序列号，进入下一步
安装向导提示相关信息后继续安装
ISA2004到ISA2006服务应用升级完成
恢复ISA2004中的策略将备份中导出的ISA2004的策略导入到ISA2006中。

选择当时导出的文件进行导入
输入备份时设置的密码。