ISA路由模式,双网卡,内外IP,客户机网关用内IP,若想使用代理,无域需手动设置客户端,防火墙模式,客户端都安装ISA的防火墙客户端,ISA就这三种模式。
主域上最好不要安装ISA,因为ISA会把很多服务停掉。
一、将安装ISA的PC打好系统补丁,配置好IP后加入域并以管理员身份登录,主DNS为主域地址,副DNS不用填写为本市的地址,最好为空。若是先安装的ISA再加入域的时候,需先用管理员身份登录本机,在ISA的委派管理里添加域管理员身份来管理ISA。
二、安装ISA2004主程序并打上sp1,sp2和sp3补丁后重启,此时可能无法以管理员身份登录域因为域无法反回身份验证给ISA。此时可以管理员身份登录到本机。
三、打开ISA,在配置-网络下启用单一网络适配器,“地址”下输入内网IP段,如192.168.1的网段可以输入192.168.0.0-192.168.255.254即可,默认两个IP是0.0.0.1-126.255.255.255和128.0.0.0-255.255.255.254。完成后右击内部网络属性,在“域”选项下添加主域,“web代理”选项下启用代理,(需在域策略上发布)。代理的高级选项中将限制数目取消,连接超出时间可以设为240,防火墙客户端不启用,在“web浏览器”下添加如果ISA不可用可直接访问的主机或服务器。
四、在配置-插件下将DNS、PRC、SOCKS筛选器停用。
配置-常规下“定义连接限制”将连接限制取消,在“启用入侵检测和DNS攻击检测”下将一般性攻击和DNS攻击停用。
五、在监视选项下的“连接性”选项下,创建新连接性验证程序,一个名称可为AD即主域,浏览中选择主域的计算机名,类型选择Active Directory。另一个可为DNS也是主域,浏览中也选择主域的计算机名,类型选择DNS即可。
六、在防火墙策略下,打开工具箱,在创建访问规则前,需给用户进行分类和添加,打开用户项,点击新建,命名可以和主域中USER项下的用户和组命名相同,将USER项下的分组添加到用户选项下,并且将administrator管理员组也可以建一个组添加进来。这样就可以根据组配置不同的访问规则。
七、创建访问规则(系统隐藏的规则可默认,也可编辑,比如充许从外部获取DHCP)。第一条,允许所有通讯从本地主机到所有网络(和本地主机),第二条,允许http,ftp,https,pop3,smtp协议从所有网络(和本地主机)到本地主机。通常在内网通过mstsc远程访问和其它一些访问出错时需加一条规则:第三条,所有通讯从所有受保护的网络到本地主机即可。第四条也是放在所有条件的最后一条规则,因为如果需要设某一计算集或用户集的网络访问规则都是在第四条前面的,否则无效,因为对同一用户设置,拒绝条件需放在充许前面。即允许所有通讯从所有受保护网络到所有网络(和本地主机)。此时规则差不多完成!如果需给某一计算机集设置规则,即根据IP地址控制网络访问的规则,则先建立好计算机集可随意名命,然后在这个名命下输入可以通过的IP地址,那么IP不包括在内的就不能上网,如果是给用户集设置规则,则也需新建,但之前是在主域中是已将这一用户组定义好了的。注:规则的条件不可以设置的太复杂,否则会慢,简单的规则在多也不会影响速度)。
八、举例说明,在第四条规则前加一个策略,我在计算机集下已把公司所有部门的计算机IP分类并放在以各自部门命名的计算机集中。我的规则如下:充许FTP、Http、https、pop3、smtp协议从我建的所有部门的计算机集到所有网络(和本地主机),在例外中添加我之前在“域名”下设置好的禁止访问的网页,如QQ.com,taobao.com等等。规则建好并应用后,在右击的“配置http”下的“扩展名”中添加不充许下载的exe/mp3等文件,在“签名”添加tencent.com这样就禁止的QQ的使用。
九、也可以新建不同部门这间不能互访网络。“工具箱”下的“用户”里可将AD里所有的用户和组添加进去,用于基于用户设置各种访问规则,而计算机集下是基于IP控制的。
十、举例限止规则:1、配置一个不允许访问的域名集,如qq.com。在域名集下新建这个qq.com,创建一个拒绝所有通讯从某个组到qq.com即可,或在所有受保护网络到所有网络(和本地主机)规则的属性下,在“到”的选项下把qq.com添加为例外也可。2、在规则的“配置http”中的“扩展名”选项中添加不能下载的文件后缀名以限止下载。等等例QQ首先我们建一个规则,只能让客户机访问基本常用的FTP/HTTP/HTTPS等(这样用UDP通讯的QQ已不能上线),然后右击,在弹出的“为规则配置 HTTP 策略”对话框中,点击“签名”页,然后点击“添加”;在弹出的“签名”对话框中,输入名称为“QQ”,指定签名搜索条件为在“请求 URL”中搜索“tencent.com”,如果找到则阻止这个连接。然后点击“确定”,最后点击“应用”保存修改和更新防火墙就 OK 了!成功后就上不了QQ了!连代理功能也被取消了。若是禁用MSN就选择“请求头”,然后在“HTTP头”里输入“user-Agent”,在“签名”下输入“MSMSGS”,这样就可以禁用MSN了。
十一、 启用缓存,定义缓存驱动器,在D盘或E盘划分一个大容量空间用做ISA的所以缓存,些时会在做缓存的磁盘下生一个名为urlcache文件夹,里面包含一个缓存文件。2006版本不需要手动创建缓存规则和计划内容下载,而且打一个补丁可以查看日志下具体的内容。ISA2004已有一个默认的规则,也可手动创建一个到所有受保护网络(和本地主机)的规则。或指定下载任务为哪个经常访问的网络。
十二、 最后运行代理服务器拒绝用户再次身份验证的VBS文件。在www.isacn.org 网站下载ISA2004-neverdeny.vbs文件 在CMD下运行cscript ISA2004-neverdeny.vbs即可,需通网络。
十三、 最好还在ISA的hosts文件里写上主域和内网的信息加快访问速度!
十四、 重新安装或升级ISA时,即2004直接安装升级到2006时,可先打开ISA,分别右击“PCNAME-ISA”和“防火墙策略”选择导出,分别生成两个xml文件,导入时也按照导出的顺序导入即可。
十五、 ISA生成报告的网页Report.htm打开后可查看每天访问网络最多的用户和访问率最高的网站以及访问量最大的高峰期以及使用最频繁手协议和系统类型等等信息。
十六、客户端安装防火墙的禁用程序设置,注,如果用了代理,那么禁用设置是无效的。如IE浏览器。它的程序在属性里可看到是iexplore.exe,那么在ISA的“配置”下的“常规”下的“定义防火墙客户端设置”下的“应用程序设置”里添加iexplore.exe的disable且值为1,此时客户端将不能通过IE上网,如果用其它浏览器还是可以的,或者是设置了代理也可以的。
十七、在ISA的安装目录下有一个ERRORHTML的文件夹,存放报错时的页面,我们可以自定义修改。
简易配置:
ISA路由模式,双网卡,内外IP,客户机网关用内IP,若想使用代理,无域需手动设置客户端,防火墙模式,客户端都安装ISA的防火墙客户端,ISA就这三种模式。
主域上最好不要安装ISA,因为ISA会把很多服务停掉。
一、将安装ISA的PC打好系统补丁,配置好IP后加入域并以管理员身份登录,主DNS为主域地址,副DNS不用填写为本市的地址,最好为空。若是先安装的ISA再加入域的时候,需先用管理员身份登录本机,在ISA的委派管理里添加域管理员身份来管理ISA。
二、安装ISA2004主程序并打上sp1,sp2和sp3补丁后重启,此时可能无法以管理员身份登录域因为域无法反回身份验证给ISA。此时可以管理员身份登录到本机。
三、打开ISA,在配置-网络下启用单一网络适配器,“地址”下输入内网IP段,如192.168.1的网段可以输入192.168.0.0-192.168.255.254即可,默认两个IP是0.0.0.1-126.255.255.255和128.0.0.0-255.255.255.254。完成后右击内部网络属性,在“域”选项下添加主域,“web代理”选项下启用代理,(需在域策略上发布)。代理的高级选项中将限制数目取消,连接超出时间可以设为240,防火墙客户端不启用,在“web浏览器”下添加如果ISA不可用可直接访问的主机或服务器。
四、在配置-插件下将DNS、PRC、SOCKS筛选器停用。
配置-常规下“定义连接限制”将连接限制取消,在“启用入侵检测和DNS攻击检测”下将一般性攻击和DNS攻击停用。
五、在监视选项下的“连接性”选项下,创建新连接性验证程序,一个名称可为AD即主域,浏览中选择主域的计算机名,类型选择Active Directory。另一个可为DNS也是主域,浏览中也选择主域的计算机名,类型选择DNS即可。
六、在防火墙策略下,打开工具箱,在创建访问规则前,需给用户进行分类和添加,打开用户项,点击新建,命名可以和主域中USER项下的用户和组命名相同,将USER项下的分组添加到用户选项下,并且将administrator管理员组也可以建一个组添加进来。这样就可以根据组配置不同的访问规则。
七、创建访问规则(系统隐藏的规则可默认,也可编辑,比如充许从外部获取DHCP)。第一条,允许所有通讯从本地主机到所有网络(和本地主机),第二条,允许http,ftp,https,pop3,smtp协议从所有网络(和本地主机)到本地主机。通常在内网通过mstsc远程访问和其它一些访问出错时需加一条规则:第三条,所有通讯从所有受保护的网络到本地主机即可。第四条也是放在所有条件的最后一条规则,因为如果需要设某一计算集或用户集的网络访问规则都是在第四条前面的,否则无效,因为对同一用户设置,拒绝条件需放在充许前面。即允许所有通讯从所有受保护网络到所有网络(和本地主机)。此时规则差不多完成!如果需给某一计算机集设置规则,即根据IP地址控制网络访问的规则,则先建立好计算机集可随意名命,然后在这个名命下输入可以通过的IP地址,那么IP不包括在内的就不能上网,如果是给用户集设置规则,则也需新建,但之前是在主域中是已将这一用户组定义好了的。注:规则的条件不可以设置的太复杂,否则会慢,简单的规则在多也不会影响速度)。
八、举例说明,在第四条规则前加一个策略,我在计算机集下已把公司所有部门的计算机IP分类并放在以各自部门命名的计算机集中。我的规则如下:充许FTP、Http、https、pop3、smtp协议从我建的所有部门的计算机集到所有网络(和本地主机),在例外中添加我之前在“域名”下设置好的禁止访问的网页,如QQ.com,taobao.com等等。规则建好并应用后,在右击的“配置http”下的“扩展名”中添加不充许下载的exe/mp3等文件,在“签名”添加tencent.com这样就禁止的QQ的使用。
九、也可以新建不同部门这间不能互访网络。“工具箱”下的“用户”里可将AD里所有的用户和组添加进去,用于基于用户设置各种访问规则,而计算机集下是基于IP控制的。
十、举例限止规则:1、配置一个不允许访问的域名集,如qq.com。在域名集下新建这个qq.com,创建一个拒绝所有通讯从某个组到qq.com即可,或在所有受保护网络到所有网络(和本地主机)规则的属性下,在“到”的选项下把qq.com添加为例外也可。2、在规则的“配置http”中的“扩展名”选项中添加不能下载的文件后缀名以限止下载。等等例QQ首先我们建一个规则,只能让客户机访问基本常用的FTP/HTTP/HTTPS等(这样用UDP通讯的QQ已不能上线),然后右击,在弹出的“为规则配置 HTTP 策略”对话框中,点击“签名”页,然后点击“添加”;在弹出的“签名”对话框中,输入名称为“QQ”,指定签名搜索条件为在“请求 URL”中搜索“tencent.com”,如果找到则阻止这个连接。然后点击“确定”,最后点击“应用”保存修改和更新防火墙就 OK 了!成功后就上不了QQ了!连代理功能也被取消了。若是禁用MSN就选择“请求头”,然后在“HTTP头”里输入“user-Agent”,在“签名”下输入“MSMSGS”,这样就可以禁用MSN了。
十一、 启用缓存,定义缓存驱动器,在D盘或E盘划分一个大容量空间用做ISA的所以缓存,些时会在做缓存的磁盘下生一个名为urlcache文件夹,里面包含一个缓存文件。2006版本不需要手动创建缓存规则和计划内容下载,而且打一个补丁可以查看日志下具体的内容。ISA2004已有一个默认的规则,也可手动创建一个到所有受保护网络(和本地主机)的规则。或指定下载任务为哪个经常访问的网络。
十二、 最后运行代理服务器拒绝用户再次身份验证的VBS文件。在www.isacn.org 网站下载ISA2004-neverdeny.vbs文件 在CMD下运行cscript ISA2004-neverdeny.vbs即可,需通网络。
十三、 最好还在ISA的hosts文件里写上主域和内网的信息加快访问速度!
十四、 重新安装或升级ISA时,即2004直接安装升级到2006时,可先打开ISA,分别右击“PCNAME-ISA”和“防火墙策略”选择导出,分别生成两个xml文件,导入时也按照导出的顺序导入即可。
十五、 ISA生成报告的网页Report.htm打开后可查看每天访问网络最多的用户和访问率最高的网站以及访问量最大的高峰期以及使用最频繁手协议和系统类型等等信息。
十六、客户端安装防火墙的禁用程序设置,注,如果用了代理,那么禁用设置是无效的。如IE浏览器。它的程序在属性里可看到是iexplore.exe,那么在ISA的“配置”下的“常规”下的“定义防火墙客户端设置”下的“应用程序设置”里添加iexplore.exe的disable且值为1,此时客户端将不能通过IE上网,如果用其它浏览器还是可以的,或者是设置了代理也可以的。
十七、在ISA的安装目录下有一个ERRORHTML的文件夹,存放报错时的页面,我们可以自定义修改。
扫一扫
2434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
