ISASERVER使用指南(1).doc

《ISASERVER使用指南(1).doc》由會員分享，可在線閱讀，更多相關(guān)《ISASERVER使用指南(1).doc（8頁珍藏版）》請在裝配圖網(wǎng)上搜索。

ISA?SERVER使用指南 隨著因特網(wǎng)的使用繼續(xù)擴(kuò)展，安全和性能也同樣面臨挑戰(zhàn)。在以前僅僅給我們提供了代理服務(wù)的軟件漸漸的在我們的要求面前越來越顯得蒼白無力了。怎么辦？我們選擇了尋找新的軟件以及企業(yè)上網(wǎng)的解決方案。從長遠(yuǎn)來考慮，我們需要的不僅僅是一個代理軟件，讓企業(yè)職工能夠通過這個代理訪問到外面的世界，讓他們感知外面的世界并且盡快的了解瞬息萬變的市場。我們不但需要主動的去了解世界，而且還需要世界來了解我們。當(dāng)然，這個時候那么安全和性能就越來越得到企業(yè)和用戶的重視了。當(dāng)然更加一個迫使企業(yè)的網(wǎng)管們?nèi)ふ腋玫拇碥浖脑蚓褪请S著用戶和訪問量的增加代理軟件的穩(wěn)定性幾乎成幾何數(shù)積的方式遞減。我所試過的代理服務(wù)器不算少，每個代理服務(wù)器均使用了一個月以上了，但是都不是非常滿意。 大致歸納起來 l?SYSGATE：功能太簡單，效率不是很高，穩(wěn)定性還可以；? l?WINGATE：功能適中，速度效率都還不錯，穩(wěn)定性不好；? l?WINROUTE：功能適中，速度效率基本上來說還可以，穩(wěn)定性也還是不錯；? l?CCPROXY：速度不錯，但是總的來說總有一些或多或少的毛?。? l?INTERNET連接共享：功能太簡單，效率非常一般，穩(wěn)定性還可以；? 還是說說我們單位的大致情況吧。8M專線ADSL接入INTERNET，兩臺HP服務(wù)器，網(wǎng)絡(luò)中心為100M到桌面，整個企業(yè)網(wǎng)絡(luò)為全交換式網(wǎng)絡(luò)。企業(yè)內(nèi)部所以科室機(jī)器全部需要連接到INTERNET，科室機(jī)器大約為200臺。機(jī)房有4個，機(jī)器大約總共為200臺左右。我們需要能夠隨時控制哪些科室在什么時間段能夠上網(wǎng)，并且能夠?qū)@些科室的上網(wǎng)帶寬進(jìn)行控制。能夠隨時靈活的控制機(jī)房是否能夠上網(wǎng)。能夠在企業(yè)內(nèi)部建立若干個WEB和FTP站點，并且通過這個代理服務(wù)器發(fā)布到INTERNET上，讓INTERNET上的朋友對這些個資源進(jìn)行訪問……在使用了這些代理之后，我漸漸的開始失望，難道真的沒有讓我滿意的代理服務(wù)器嗎？最后，在朋友的介紹下我們使用了這款微軟發(fā)布的代理服務(wù)器——?Internet?Security?and?Acceleration?Server。 首先澄清一點，我絕對不是微軟的槍手，而且微軟也絕對不會找我這種蹩腳的槍手的?；蛘吣銈兛戳宋液筮叺氖褂靡约癐SA的功能之后就不會覺得我在吹噓什么了。 Internet?Security?and?Acceleration（ISA）?Server可以說是原來基于Windows?NT?4.0的MS?PROXY的一個升級版本吧。它在前一版的基礎(chǔ)上修補(bǔ)了許多安全性及緩存上的缺陷，提供了更快速、更安全、更直觀易于管理的系統(tǒng)。并整合了企業(yè)級的防火墻系統(tǒng)及高性能的緩存機(jī)制——也就是說，這款軟件不僅僅再是一個代理軟件了，它還充當(dāng)了一個“防火墻”的功效。 ISA?Server允許被安裝成Cache?mode（緩存模式）、Firewall?mode（防火墻模式）、Integrate?mode（集成模式）三種模式當(dāng)中的一種。當(dāng)網(wǎng)絡(luò)系統(tǒng)需要通過ISA直接連入Internet的同時，也要對公司內(nèi)部的主機(jī)進(jìn)行相應(yīng)的保護(hù)的話，那么Firewall或Integrate模式正是您所需要的。但在很多企業(yè)沒有任何相關(guān)的Internet主機(jī)或外部已經(jīng)有防火墻，而他們知識希望能加快網(wǎng)絡(luò)間流量傳遞速度，則采用Cache模式是最理想的一種方案了。? 那么ISA能夠提供給大家一些什么服務(wù)呢？? 多層防火墻安全? 防火墻可以通過各種方法增強(qiáng)安全性，包括數(shù)據(jù)包篩選、電路層篩選和應(yīng)用程序篩選。高級的企業(yè)防火墻，如?ISA?Server?所提供的那一種，綜合了所有這三種方法，在多個網(wǎng)絡(luò)層提供保護(hù)，為企業(yè)提供最低的投入的基礎(chǔ)上最高的回報。 狀態(tài)檢測 狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層，ISA?Server?檢查在?IP?消息頭中指明的通信來源和目標(biāo)，以及在標(biāo)識所采用的網(wǎng)絡(luò)服務(wù)或應(yīng)用程序的?TCP?或?UDP?消息頭中的端口。? 動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應(yīng)用戶的請求，并且打開端口的持續(xù)時間恰好滿足該請求的需要，從而減少與打開端口相關(guān)的攻擊。ISA?Server?可以動態(tài)地確定，哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡(luò)的電路層和應(yīng)用程序?qū)臃?wù)。管理員可以配置訪問策略規(guī)則，以便只在允許的情況下自動打開端口，然后當(dāng)通信結(jié)束時關(guān)閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選，它使兩個方向上暴露的端口數(shù)量減到最少，并為網(wǎng)絡(luò)提供更高的安全性，使問題較少發(fā)生。? 集成的入侵檢測 ISA?Server利用一家名為?Internet?Security?Systems?的公司所提供的技術(shù)，提供幫助管理員識別諸如端口掃描、WinNuke?和?Ping?of?Death?之類的常見網(wǎng)絡(luò)攻擊的這種服務(wù)。并且ISA能夠自動對其作出響應(yīng)。這項技術(shù)給?ISA?Server?提供了能識別此類攻擊的集成入侵檢測機(jī)制。當(dāng)識別出這種攻擊時，警報還能同時指出?ISA?Server?應(yīng)采取什么行動，這些行動可包括向系統(tǒng)管理員發(fā)送電子郵件或?qū)ず?，停?Firewall?服務(wù)，寫入到系統(tǒng)事件日志，或運行任何程序或腳本。? 高性能?Web?緩存 ISA?Server?對?Web?緩存進(jìn)行了徹底的重新設(shè)計，使它可以將緩存放入?RAM?中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的?Web?緩存可提供更強(qiáng)的后端可伸縮性，并提供了更快的?Web?客戶機(jī)總體響應(yīng)時間。這對于企業(yè)內(nèi)部來說尤其重要，因為員工需要快速訪問?Web?內(nèi)容，而企業(yè)也需要適當(dāng)?shù)墓?jié)省網(wǎng)絡(luò)帶寬。這種高速的Web緩存正能夠滿足您的這種需要。? 緩存陣列路由協(xié)議 ISA?Server?使用了緩存陣列路由協(xié)議（Cache?Array?Routing?Protocol，CARP）。因此您可以通過多臺?ISA?Server?計算機(jī)組成的陣列來提供無縫縮放和更高的效率。? 活動緩存 通過一個叫做活動緩存的功能，可配置?ISA?Server?使其自動更新緩存中的對象。使用這種功能，ISA?Server?可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存，經(jīng)常被訪問的對象在它們到期之前，在低網(wǎng)絡(luò)流量時段自動更新。? 統(tǒng)一管理 ISA?Server?利用基于?Windows?2000?的安全性，Active?Directory?服務(wù)、VPN?和?Microsoft?管理控制臺（MMC，Microsoft?Management?Console）。所有這些功能，特別是?MMC，會使得管理更容易，因為操作人員熟悉它，并可從一個控制臺同時管理防火墻和?Web?緩存。? 企業(yè)策略和訪問控制 ISA?Server?還支持創(chuàng)建企業(yè)級和本地陣列策略，用于集中實施或本地實施。ISA?Server?可作為獨立服務(wù)器安裝或作為陣列成員安裝。為便于管理，各個陣列成員都使用相同的配置。對陣列配置進(jìn)行修改時，陣列中的所有?ISA?Server?計算機(jī)也都將得到修改，包括所有訪問和緩存策略。? 好了，說了這么多了，也許大家都還不是很明白或者正在懷疑是否這個ISA?Server能夠做到這些吧？那么我們以我們企業(yè)為例詳細(xì)講解一下ISA的安裝以及調(diào)試還有配置過程吧。 ISA安裝入門篇 在實驗中，我們使用的是企業(yè)版的ISA2000?Server，而開始當(dāng)然是要進(jìn)行安裝ISA了哦！在這里我們選擇“Install?ISA?Server”。? 在這里，會要求你輸入10位的數(shù)字“CD?Key”，請大家輸入了之后點擊“OK”確認(rèn)。然后進(jìn)入下一步。 面對M$的授權(quán)信息你除了點擊“I?Agree”之外還能做些其他什么嗎？至于內(nèi)容嘛還是那些老一套，看不看我覺得都無所謂了。? 在這里，程序會提示請你選擇安裝的路徑以及安裝的方式，在這里，我選擇的是“Full?Installation”，因為即使是完全安裝也只需要花費24.5M的空間，而且安裝速度也是非常的快。所以我還是推薦大家使用完全安裝吧。 如果您的計算機(jī)沒有成為域控制器而是一個獨立的服務(wù)器的話，那么ISA到這里會向您發(fā)出一個警告。如果您不想配置ISA?Server陣列的話，那么您可以不用理會這個警告，直接“Yes”過去就可以了。? 我們前邊說過的ISA的三種工作模式在這里就要做一個選擇了！我選擇的是集成模式“Integrated?mode”。? 在這里，如果您已經(jīng)安裝IIS的話，那么ISA到這里會提醒你，它會馬上關(guān)閉掉IIS所使用的80端口。因為ISA會對80端口進(jìn)行獨占使用，而這也是基于安全考慮。大家都知道，一個成功的黑客只需要一個80端口就可以對您的硬盤完成格式化的操作——這絕對不是駭人聽聞了，是真的哦。當(dāng)然，如果您非要在這臺機(jī)器做WEB服務(wù)的話，那么就只要委屈你使用其他的端口了，但是必須注意的是不能占用80和8080端口。因為80和8080端口都讓ISA強(qiáng)行占用了。? 在這里還是OK吧，不要老是念叨你的WEB服務(wù)了，后邊我們有幾乎完美的解決方案的。 在這里選擇CACHE存放的磁盤以及CACHE的容量?，F(xiàn)在已經(jīng)都是寬帶網(wǎng)絡(luò)時代了，所以我建議不要把CACHE設(shè)得太了，根據(jù)實際使用的情況，在合理分配帶寬的前提下，盡量的使用網(wǎng)絡(luò)資源不是很好嗎？我們這里設(shè)置的為100M。 到了這里，ISA會請您設(shè)置一個本地的IP范圍。我們這里是劃分的一個B類的子網(wǎng)，所以，在這里我們的IP范圍為192.168.0.1~192.168.5.255。如果是一般的中小型網(wǎng)絡(luò)，采用255.255.255.0做掩碼，用192.168.0.X作為IP地址的話，那么這里請你按照您本地網(wǎng)絡(luò)的情況加上這個IP段就可以了。然后“OK”進(jìn)行下一步。 等待系統(tǒng)復(fù)制必要的程序文件。 到了這里，您的ISA就基本已經(jīng)安裝完了，剩下的就是配置方面的事情了。在這里，系統(tǒng)會提示您是否需要進(jìn)行“向?qū)Щ渲谩薄＝ㄗh大家不要使用這個向?qū)?，因為實際上我們根本就用不到其中的一些功能。這里取消掉“Start?ISA?Sserver?Getting?Started?Wizard”前邊的小勾，然后電擊“OK”。 恭喜您，您的ISA?Server已經(jīng)安裝成功了。 我們現(xiàn)在打開“開始”à“程序”à“Microsoft?ISA?Server”à“ISA?Management”。 大家在管理窗口中選中“服務(wù)器名稱（BLUEWOLF）”標(biāo)簽下的“Monitoring”標(biāo)簽，然后選中“Services”這個標(biāo)簽，在右邊會出現(xiàn)三個服務(wù)內(nèi)容，由于我安裝的是“集成模式”所以在這里有三個服務(wù)，他們?nèi)齻€服務(wù)最好都能夠正常的啟動起來，這樣你才能使用ISA的所有功能。如果其中有功能不能正常啟動的話，那么就說明這次的ISA需要重新安裝了。如果出現(xiàn)了上述問題，請卸載掉ISA，然后檢查是否有一些服務(wù)占用了系統(tǒng)某些ISA必須要使用的資源，還有停掉一些不會用到的服務(wù)，然后再安裝ISA吧。這種不能啟動服務(wù)的原因你可以查看日志或者是通過經(jīng)驗來進(jìn)行判斷。一般都是因為軟件沖突才會發(fā)生這些情況的。? 好了，如果服務(wù)都啟動了的話，現(xiàn)在我們就來對這個ISA進(jìn)行最基礎(chǔ)的設(shè)置吧。首先保證客戶端能夠正常的上網(wǎng)，然后我們再進(jìn)行其他的限制之類的工作吧。? 默認(rèn)的，ISA是一個軟件防火墻，不允許任何的數(shù)據(jù)通過它。那么我們現(xiàn)在先要使ISA允許內(nèi)部的所有申請都能夠通過它，這樣內(nèi)部才能訪問到INTERNET上的資源嘛。? 請大家展開“Access?Policy”標(biāo)簽，然后選中里邊的“Protocol?Rules”點擊鼠標(biāo)右鍵，然后選擇“新建”à“Rule…”。接著就跟我一步一步進(jìn)行設(shè)置吧。 這里填寫的是這個協(xié)議規(guī)則的名稱，用戶可以根據(jù)自己的需要和喜好自行設(shè)置。我這里設(shè)置的為“Alow?To?Internet”。 這里是請你選擇這個協(xié)議規(guī)則的處理方法，這里有兩個選擇項目“Allow”和“Deny”，也就是允許通過以及禁止通過。在這里我們是希望LAN內(nèi)的機(jī)器允許通過這里訪問外部，所以這里我們選擇“Allow”。? 在這里是讓你選擇這條規(guī)則對那些IP生效，在這里，我們先不進(jìn)行限制，等以后了再進(jìn)行修改也可以。這里我們選擇“All?IP?traffic”——允許所有IP通過。 這里是選擇協(xié)議規(guī)則生效的時間段的。在這里您可以根據(jù)您的需要對協(xié)議生效的日期和時間段進(jìn)行設(shè)置。比如說，你想周1至周5的上班時間允許這個規(guī)則生效而周末是全天開放，這些都可以在這里進(jìn)行設(shè)置，非常的靈活。但是這里一個下拉只有讓您暫時選擇一下，然后等后邊了我們再進(jìn)行詳細(xì)的修改吧。這里我們選擇了“Always”。? 這里是對允許通過的客戶端進(jìn)行授權(quán)的，您在這里可以設(shè)置允許哪些客戶端通過這里，我們這里先不做限制，等后邊定義了組之后再進(jìn)行設(shè)置修改吧。? OK！這個協(xié)議規(guī)則已經(jīng)都配置完成了。點擊“完成”吧。? 好了，這個規(guī)則配置完成了也就意味著這個時候我們可以通過這個ISA代理上網(wǎng)了。我們現(xiàn)在找一個客戶端，打開IE，然后在IE的“工具”à“Internet選項”à“連接”標(biāo)簽à“局域網(wǎng)設(shè)置”按鈕à“代理服務(wù)器”里邊把這臺ISA的內(nèi)部LAN?IP地址填寫進(jìn)去，然后端口填寫8080，然后確認(rèn)，保存設(shè)置。這個時候，客戶端就可以對INTERNET進(jìn)行訪問了——當(dāng)然ISA要已經(jīng)連在了INTERNET上了哦！ 至于其他的服務(wù)，我建議大家安裝一個ISA的客戶端軟件。這個客戶端在你安裝完了ISA?Server之后，就可以在你安裝的目錄中找到一個共享出來了的目錄，你可以把這個目錄復(fù)制下來，然后到其他機(jī)器上安裝上，你就可以享受所有的服務(wù)了。? 但是還有一個問題，那就是QQ上不了線?。@個問題必須說清楚。因為QQ是正宗的“中國造”所以，ISA不會專門為QQ打開一個協(xié)議規(guī)則。這個協(xié)議規(guī)則還需要我們自己來添加。經(jīng)過我們3天時間的研究，終于把QQ的發(fā)送和接受端口搞清楚了。下邊請大家跟著我們做就可以了。 現(xiàn)在我們來定義一個端口號，以便讓QQ的數(shù)據(jù)能夠順利的出去和進(jìn)來。我們先展開“Policy?Elements”這個標(biāo)簽，然后選中“Protocol?Definitions”標(biāo)簽，并且在上邊單擊鼠標(biāo)右鍵，然后選擇“新建”à“Definition”。? 在這里選擇這個定義名稱，我在這里取的名稱叫做“Tencent?QQ”。? 下一步了之后就是定義端口號和使用協(xié)議了！在這里，QQ相對于ISA來說需要發(fā)送一個數(shù)據(jù)到服務(wù)器的8000端口，而且QQ使用的是UDP協(xié)議，所以我們在這里就按照圖示進(jìn)行設(shè)置。然后下一步。? 在這里的設(shè)置稍微復(fù)雜一點。我們知道，QQ默認(rèn)客戶端是使用的4000端口，而增加一個QQ端口就加1。而相對于QQ的客戶端來說就是接受消息了，當(dāng)然還是使用的是UDP協(xié)議。設(shè)定好了之后，請點擊“OK”并且“下一步”確定。? OK了，QQ的定義這里也完成了。現(xiàn)在快去試試吧，保證QQ可以上線了哦，而且你根本就感覺不到有什么延遲，和本機(jī)撥號幾乎一模一樣，絕對能夠體現(xiàn)速度?。?！? ISA安裝配置進(jìn)階篇 通過IP限制上網(wǎng)客戶端 我們前邊的“Protocol?Rul”里邊設(shè)置的是允許所有的客戶端通過這個ISA連接到外部的INTERNET上去。但是現(xiàn)在我想要對這個客戶端進(jìn)行分類，然后在不同時間內(nèi)進(jìn)行控制哪些IP可以上網(wǎng)，哪些IP不能上網(wǎng)。這樣的話，需要怎么做呢？大家還是跟我一步一步的來吧。? 首先我們要定義組。我們展開“Policy?Elements”這個標(biāo)簽，然后選中“Client?Address?Sets”這個標(biāo)簽，在上邊單擊鼠標(biāo)右鍵，選擇“新建”à“Set…”。 然后在“Name”一欄中填寫進(jìn)一個組名的標(biāo)識。下邊的描述可以不用寫。然后下邊的IP地址范圍你就可以按照實際需要進(jìn)行添加了。我這里舉例是用的我們307機(jī)房作為例子。我這里的IP地址范圍為192.168.3.2~192.168.3.80。添加好了之后，確認(rèn)無誤了，點擊“OK”確定保存。? 按照相同的辦法，你就可以添加其他的一些組?？吹搅藛?？這里就是我添加好了的幾個組。好了，現(xiàn)在讓我們來設(shè)置只允許這些組通過ISA對INTERNET進(jìn)行訪問。? 現(xiàn)在我們回到“Access?Policy”這個標(biāo)簽下的“Protocol?Rules”，選中右邊的我們最開始建立好的“Allow?To?Internet”協(xié)議規(guī)則，然后鼠標(biāo)右鍵選擇“屬性”。 我們切換到“Applies?To”這個標(biāo)簽。然后，選中中間的那個“Client?address?sets?specified?below”。然后我們在下邊的“Client?Sets”框的右邊點擊“Add”按鈕。? 選中我剛才設(shè)定的那些組，然后點擊“Add”，將這些組全部添加到右邊的框中，然后點擊OK確定保存。? 這里就已經(jīng)已經(jīng)把選中的組添加進(jìn)去了，這里我們點擊“確定”就OK了！這下只要不是這些組里的IP地址的話就不能上網(wǎng)了。? 控制上網(wǎng)的時間段 為了合理的利用帶寬，和提高工作效率，我們可以在ISA上對這些組上網(wǎng)的時間段進(jìn)行控制。想知道怎么做嗎？跟我一起做吧?；氐健癆ccess?Policy”這個標(biāo)簽下的“Protocol?Rules”，選中右邊的我們最開始建立好的“Allow?To?Internet”協(xié)議規(guī)則，然后鼠標(biāo)右鍵選擇“屬性”。 在彈出的窗口中選擇“Schedule”日程標(biāo)簽。然后點擊上邊的“New…”按鈕。? 最上邊的是一個名稱，大家可以根據(jù)自己的喜好輸入。下邊我設(shè)置的為星期一到星期五全體人員都可以在上班時間上網(wǎng)，而星期六和星期天是全天開放的。具體設(shè)置很簡單，大家可以靈活的控制。完成了之后核實無誤就點擊“OK”確認(rèn)保存。?