ISA SERVER2006的部署方案
- 格式:pdf
- 大小:500.83 KB
- 文档页数:11
ISA SERVER2006的部署方案
第一部分:服务器的配置
一、 硬件要求:
下表根据 Internet 链路带宽总结了用于在三种典型单计算机部署上支持 HTTP 流量的硬件推荐配置。
Internet 链路最高5 T1 (7.5 Mbps) 最高25 Mbps 最高 T3 (45
Mbps)
最高 90 Mbps 处理器/核 1 1
2
2/2
处理器类型Pentium III550 MHz
(或更高频率)Pentium 4
2.0–
3.0 GHz
Xeon 2.0–3.0
GHz
Xeon 双核
AMD 双核
2.0–
3.0 GHz
内存256 MB 512 MB 1 GB 2 GB
磁盘空间150 MB 2.5 GB 5 GB 10 GB
网络接口10/100 Mbps 10/100 Mbps 100/1000 Mbps 100/1000 Mbps
目前我司部署的ISA SERVER服务器配置为单核Celeron 2.53GHZ的处理器、1.21G内存、40G硬盘及10/100Mbps的网络接口
二、 ISA_2006.Ent的安装
(ISA 2006 在windows server 2003 sp2下面NAT客户端无法使用)
部署ISA Server 2006企业版时,部署顺序为:
1、安装Windows Server 2003及SP1;
2、部署ISA Server 2006的配置存储服务器及ISA服务器;
3、部署Windows Server 2003 SP2;
4、按照KB936594进行补丁修补。
直接双击ISAAutorun.exe,其安装与普通软件安装方法差不多,期间注意二个地方的设置:
①由于是安装的是第一台ISA企业版服务器,在安装组件选择中必须选择安装ISA服务器管
理和配置存储服务器,否则安装失败。
②在内部网络地址范围中填写我们实际的所要控制的局域网的地址范围,即从192.168.0.1到192.168.6.254。
三、 ISA SERVER规则
在ISA SERVER中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。
网络规则定义了不同网络之间是否能访问、以及如何进行访问,而访问规则则定义了用户的访问,服务器发布规则则定义了如何让用户访问服务器。
1、网络规则
网络的连接方式有:
● 路由:来自源网络的客户端请求将被直接转发到目标网络。
● 网络地址转换(NAT):ISA服务器将用它自己的IP地址替换源网络中的客户端的IP
地址。
路由网络关系是双向的,而NAT关系则是唯一的和单向的。
安装时系统会创建以下默认规则:
● 本地主机访问:此规则定义了在本地主机与其他所有网络之间存在的路由关系。
● VPN客户端到内部网络:此规则定义了VPN客户端网络(“VPN客户端”和”被隔离
的VPN客户端”)与内部网络之间存在的路由关系。
● Internet访问:此规则定义了在内部受保护的网络与外部网络之间的存在的NAT关系。
2、访问规则
(1)防火墙系统策略
在安装好ISA服务器事,会创建系统默认的系统策略。
在防火墙策略上点击由键”查看”,
然后点击”显示系统策略规则”.
可根据实际需求对系统策略进行修改。
如上图的第八条规则为:允许从ISA服务器到已选定服务器的DNS解析。
第十一条规则为:允许从所选计算机到ISA服务器的ICMP(PING)请求。
(2)访问策略(后面防火墙策略详述)
此策略由用户定义,除了系统默认策略中允许的通信外,所有的访问都是禁止的.
由客户端到ISA服务器,再由ISA服务器决定是否允许到外部网络,创建的策略关键是发送的请求要ISA服务器能通得过。
(3)服务器发布策略:主要是做反向代理,可发布web、mail、sharepoint、非web站点功能。
我司目前没有用到此功能,不做描述。
四、 系统和网络监控
通过ISA控制台的”监视”,可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA 的系统服务运行情况,还可以通过日志来查询当前的网络活动,也可以配置连接性检查和生产网络活动的报告。
①、仪表板:对当前的状态一目了然。
②、警报:自定义设置遇到某项事件时(如超大的UDP数据包、超过最大连接限制等)进行
报警
③、会话:可以自定义查询当前正在与ISA服务器进行通讯的所有客户端的会话状态
④、服务:可以查看服务器的运行状态
⑤、配置:查询当前服务器设置的状态,只针对ISA企业版有用。
⑥、报告:可以针对通讯和内容设置成定期产生报告
⑦、日志:可以查询到用户一切的上网行为。
五:缓存配置
ISA2006对频繁请求的对象执行缓存,以改善网络性能。
在安装ISA服务器时,ISA服务器计算机的任何磁盘驱动器上都没有指定用于缓存的空间,所以默认情况下是禁用缓存的。
通过指定在驱动器上要使用的空间量,可以有效启用缓存后,根据存储指定站点中的内容设置缓存规则。
①设置缓存驱动器及大小
②创建缓存规则:设置从内部到外部根据网络实体、wev对象、http缓存规则及大小。
五、 ISA SERVER策略。
针对策略可以按下图表总结
策略= 条件+ 行为
用户规则
我司目前配置好的防火墙策略如下:
1、允许从本地主机和内部网络到外部的DNS解析。
2、允许内部到内部网络之间的所有通讯
3、拒绝除无限上网用户以外的内部网络和任何地点到外部使用QQ。
其中发送的源头为除‘无限上网用户’外的所有地点
其中无限上网用户在我司环境中只设置了IT信息部用户,而QQServerAutoIn和QQ为所有我们检测出来的所有发布QQ服务器的IP地址和域名集。
4、此规则是禁止MSN传输文件的。
注:此规则只针对windows系统自带的windows msnenger有效,对下载的MSN Messenger 无效,所以对开通上MSN的用户请使用windows系统自带的MSN软件。
5、允许可以上MSN的用户。
6、允许可以上http、https、SSL类型的网站的用户
若对外部网络中某些个别的网站不可以上,也可以把它除外
7、第8~~11条规则为配置允许收发邮件的规则
将需要收发外部邮件的源通讯用户收集在一个计算机集中,对于要发送到目标的通讯需要设置成一个地址范围。
比如目标通讯为,需要将这个地址的IP范围填加进来。
8、第12条规则为也许本地主机到内部的所有出站通讯
六、ISA规则元素
类型描述
协议创建访问规则时需要使用这些协议:协议类型、出站\入站方向、端口范围、协议号、ICMP属性、辅助连接等
用户结合域环境下Active Directory使用,我司目前没有通过用户进行限制
内容类型规则中允许访问那些内容类型:HTML文档、VRML、宏文档、视频、图像、文档、文本、压缩的文件、音频、BT下载文件等
计划控制时间段对某个策略生效。
此功能在我司没做配置
网络对象包括网络、网络集、计算机、地址范围、子网、计算机集、URL集、域名集等
七、ISA包过滤
使用包过滤可以阻止某一类型文件的访问,可以优化网络速度和访问规则
①、指定用于阻止所选规则的 HTTP 通讯的常规参数
②、HTTP刷选器——扩展名:所请求的扩展名(如.exe和.asp)来阻止HTTP请求。
③、HTTP刷选器——签名:指定要阻止的签名(字符串)来禁止某些软件通过HTTP包访问。
第二部分:ISA SERVER 客户端的设置
1、ISA SERVER 总共包含三种客户端,根据需要再安装客户端软件:
● 防火墙客户端FWC :这是用户端电脑上,防火墙客户端软件是安装并起用的 ● Secure Nat 客户端:这是用户端没有安装FWC 软件的电脑。
● Web 代理客户端:这是客户端的Web 应用程序,这是设置为使用ISA Server 计算机。
针对三种客户端的详细比较: 功能
SecureNAT 客户端
防火墙客户端
Web 代理客户端
要求安装
要求更改某些网络配置 是
不,要求 Web 浏览器配置
操作系统支持
任何支持传输控制协议/Int ernet 协议
(TCP/IP) 的操作系统
仅 Windows 平台
所有平台,但采用 Web 应用程序的形式
协议支持
要求有用于多种连接协议的应用程序筛选器
所有 Winsock 应用程序
超文本传输协议 (HTTP)、安全 HTT P (HTTPS)、文件传输协议 (FTP) 和 Gopher
用户级身份验证 要求更改某些网络配置 是 是
服务器应用程序
不要求配置或安装 要求配置文件 不适用
2、目前我司是使用web 客户端和FWC 客户端相结合使用的
1、需要安装防火墙客户端FWC.
① 打开防火墙客户端软件,双击setup.exe 点下一步直到完成后,电脑右下角出现FWC 图标
或开始→所有程序→Microsoft Firewall Client 管理.
② 打开FWC 面板,选择手动指定的ISA 服务器的IP 地址,即为192.168.0.10
③ 此时FWC 已经配置完成
2、需要对客户端的outlook 做如下两处修改:
①、将outlook 的POP3/SMTP 地址填写实际的地址
②、修改服务器端口号,改为标准端口,即:。