ISA2006
- 格式:pdf
- 大小:3.12 MB
- 文档页数:42
ISA2006的安装1、安装ISA Server 2006 的机器应该至少有两个网卡,一个为外部接口,一个为内部接口。
所以你可以安装多个内部接口以支持多个内部网络,Firewall Access policy 控制所有网络间的数据传输。
2、下图为一个测试网络,ISA Server 作为一个边缘防火墙(Edge Firewall):3、ISA2006的安装。
(环境Windows Server 2003 R2 +AD +DNS)第一步:运行ISA2006安装程式,如图,点击“安装ISA Server 2006”第二步:出现ISA Server 2006安装向导,点击“下一步”第三步:接受软件许可条款,点击“下一步”:第四步:选择“同时安装IAS Server服务和配置存储服务器”,点击下一步第五步:组件选择,点击“下一步”,如图所示:第六步:选择“创建新的ISA服务器企业”,点击“下一步”:第七步:出现一个警告画面,不会理会,点击“下一步”,出现如图所示:第八步:添加指定要包括在ISA服务器内部网络中的地址范围,点击“添加”出现下图,点击“添加适配器”,选择网卡连接内部网络的那块,点击“确定”,如下图第十步:完成以上步骤后,ISA开始安装,如下图第十一步:出现下图,安装完毕。
实验二、使用ISA2006代理上网实现安全策略二、平台搭建:1、使用VPC建立2台Wisndows Server 2003 R2 ,一台做ISA Server ,一台做Client加入AD做测试用。
2、将ISA Server 2003 安装好AD和DNS, 域名为:,主机名为:3、按拓扑图中的IP,配置好设备的IP地址,注意在使用VPC的时候,在配置网卡的使用,一定要注意IP地址不要配反,不然实验无法实现(注意:VPC网卡分:Internal network adapters,External network adapters)4、安装ISA Server 2006.三、需求分析:1、公司以前只有一个网段192.168.23.0/23,有一台DNS服务器,IP:192.168.23.1。
2、现在新增加了一个事业部,需要独立出来一个网段172.24.5.0/24,这个事业部有自己的AD环境和DNS服务器,事业部的电脑利用AD+ISA+DNS这台服务器代理上网。
3、在AD上建立一个web access的OU,在OU中建立一个web-user的群组,建立web1,web2两个用户并隶属于web-user群组。
4、公司要求只有172.24.5.10—172.24.5.30这段IP可以上网,其他IP不行,而且只用web-user的用户才能上网,需要做身份验证,但是这些用户不能使用QQ代理上网。
四、实现配置:1、当我们把IP地址设定完成后,要在ISA的DNS服务器上做转发的配置,如图:点击“属性”后,配置只在内部接口上侦听:如图接下来再配置转发器,可以选择192.168.23.1和ISP的DNS服务器,如图:这样就完成了DNS的配置,接下来我们来配置用户上网验证,如图,双击“内部”网络出现下图,如红框内设置,点击“身份验证”:如图:点击完成后,就完成用户身份验证的配置。
身份验证的方法“基本”是基于AD用户的。
密码。
建议按照网段将intranet to internet的策略分开,也就是不要将所有内容的IP套在同一条策略里,因为太多的IP会造成策略失效出现“新建访问规则向导”,输入名称,点击“下一步”:在出现的“协议”对话框里,如下图“添加”相应的协议:在出现的“访问规则源”点击“添加”出现如下图点击“新建”选择“计算机集”出现下图所示:按照实际需求定义“规则源”,可以是单独的计算机,地址范围或者是某个子网,这里定义了一个内部网络的地址范围。
点击“确定”。
选择我们刚刚”添加”的计算机集“inside network”,如图:这时候“访问规则源”里出现了“inside network”,点击“下一步”:出现“用户集”,点击“添加”出现“添加用户”框。
点击“新建”,如图出现“新建用户集向导”设置完毕点击“下一步”,如下图:点击“添加”选择“windows用户和组”将我们之前在AD中建立的web user群组加入到“用户集”中,点击“下一步”,如图按照系统提示将web user加入到“用户集”中,“下一步”完成。
按照系统提示,完成规则的配置,当ISA有设置上的变动后,必须点击“应用”才能生效。
点击“应用”后我们可以看到一条定义好的规则:因为ISA2006架设上来之后,预设是所有的协议关闭,包括ISA本机对内部网络和内部网络对ISA本机,外部网络和ISA本机。
所以还需要新增2条规则,如下图:请大家自行建立,做为练习当配置完毕后,ISA服务器是可以上网的。
接下来需要为Clinet电脑配置上网代理服务,点击“区域网路设定”在proxy代理服务器,配置如下图所示,网址为ISA的FQDN,端口号为8080,如图接下来我们在浏览器中输入,会弹出如下画面,要我们输入用户和密码,这个时候我们需要输入之前AD里面建立的web-user群组里面的用户和密码才能上网。
这时当我们把Client端的IP改为172.24.5.10---172.24.5.30之外的IP时,也是无法上网的。
也就是说刚才我们的第一个规则限定了IP,并且还要求有帐号和密码才能访问外部网络。
这个时候我们发现虽然我们可以上网,但是无法使用ping命令来验证与外部网络的联通性,为什么呢?明明可以上网啊?如图:原因是因为我们的防火墙规则只容许HTTP,和HTTPS的请求通过,对于ICMP协议的流量我们是拒绝的。
我们新增一个规则来容许ICMP协议通过我们的ISA防火墙。
如图:接下来,我们在clinet端测试看能不能ping通,成功ping 通了。
现在我们来封杀QQ软件,基于以上的配置,我们使用QQ软件的时候,做如下配置是可以使用QQ软件的。
如图有没有办法来禁止用户使用代理来使用QQ呢?可以使用ISA2006的增强型HTTP配置来实现。
配置如下:选择上网的规则“右键”点击“配置HTTP”如下:在出现的“规则配置HTTP策略”中选择“方法”设置如图,点击“添加”,如下:接下来在“签名”栏中“添加”,如图中配置:点击“确定”后,点击“应用”,使规则生效。
这时我们去clinet端测试,使用代理QQ,看还能不能使用QQ软件。
如图,无法连接上代理服务器了,成功的封杀了QQ软件,相信这个时候大家不会头大了吧。
ISA2006还带了强大的监视功能,能让你很清楚的知道,当前网络的一些情况。
如图:在“监视”模块里,“会话”显示出了当前有那些用户在使用ISA做代理上网,他们的IP和用户名都能显示出来,很方便我们的管理和查找。
实验三、使用ISA2006建立PPTP VPN实现远程接入规则建立见下图,请大家对应下图红框自行建立,(注意规则的次序,不要违反C注意点)接下来在防火墙中配置DHCP中继代理防火墙规则,见下图:(请自行建立红框中的规则):接下来在“路由和远程访问”配置DHCP中继代理服务,如下图右键单击“DHCP中继代理程序”,点击“属性”,将DHCP服务器的IP输入。
右键单击“DHCP中继代理程序”,点击“新增接口”,选择“本地连接”(注内部网络接口),点击“确定”完成DHCP中继代理的配置:接下来启用在ISA2006中启用VPN服务器,首先进行“配置地址分配方法”如图在跳出的“虚拟专用网络属性”中做如下配置:接下来“启用vpn客户端访问”群组添加到“组”中,点击应用。
然后配置“协议”和“用户映射”,配置如下图:点击“应用”如下图这个时候我们点击“选择访问的网络”可以看到“外部”已经被自动选定我们还要建立一个允许VPN客户访问内部网络的防火墙规则如下图,请自行建立:最后在AD中给我们的VPN用户的帐号添加拨号权限:到此我们已经配置完成L2TP VPN的配置,重新启动ISA服务器电脑。
接下来我们来测试是否可以使移动用户使用VPN连接到公司的网络。
在“网上邻居”新建连接后如图配置新建连接的“属性”在“常规”中输入ISA的外部的IP地址,然后输入“用户名”和“密码”,就是我们在AD中建立的属于vpn-user群组的用户和密码.最后可以看到“已经通过身份验证”,到此成功完成移动用户使用L2TP VPN连接公司网络的方案部署。
然后我们在ISA防火墙建立一条规则如下:然后使用ping 命令可以ping 通ISA防火墙也可以访问他的共享文件夹,而且能通过DHCP服务器能获得IP地址以及相关的网络参数,到此我们的实验已经成功。
在ISA2006的“监视”,查看“会话”有一个激活的VPN客户端,IP地址是172.24.5.34,用户是VPN1,如图:实验四、使用ISA建立站点到站点的VPN先再上配置站点到站点的VPN,打开ISA2006控制台,点击“虚拟专用网络”,点击右边任务面板中的“添加远程站点网络”在“欢迎使用网络创建向导”页,输入远程站点的名字,在此命名为main,点击“下一步”在“VPN协议”页,选择“点对点隧道协议(PPTP)”,点击“下一步”在“连接所有者”页,选择ISA服务器阵列成员:在远程站点网关,输入外部网络地址,如图:在“远程身份验证”页中,输入的用户名必须和远程VPN网关上具有拨号权限的对应远程站点的用户名和密码,注意,这个用户名和密码必须和远程VPN网关上设置的远程站点名字相同,在后面我们在 上建立,在这里先输入用户remote和对应的密码。
点击“下一步”继续:在“网络地址”页,点击“添加”输入远程子网的IP地址范围,如图:在“远程NLB”页,不要选中红框中的选项,点击“下一步”,如图:在“点对点连接向导”页,保持默认设置不变,点击“下一步”:在“点对点网络访问规则”页,为方便测试做如下配置,实际工作中按需求来选择相关协议,点击“下一步”:点击“完成”后,应用新的规则后,重新启动ISA服务器。
在的建立的过程是一样的,要注意的是,远程站点的IP地址,站点的名称。
用户名必须和远程VPN站点名称一致,用户要有拨号的权限。
实验五、使用ISA2006发布WEB 站点一、实验拓扑图如上二、实验要求:1、公司现在有一台WEB 服务器,IP 地址是172.24.5.10,现在要使用ISA2006发布这个WEB 站点三、实验步骤:1、首先在WEB 服务器中架设一个WEB 站点,过程略2、在ISA2006服务器中发布这个站点。
四、实验步骤:1、打开。