ISA Server 的应用

最新推荐文章于 2025-12-10 11:09:19 发布

转载最新推荐文章于 2025-12-10 11:09:19 发布 · 301 阅读

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/homechen/373865

本文介绍了Microsoft ISA Server的应用，包括其功能及在大中型网络中的作用。详细阐述了ISA Server 2004的安装步骤，还说明了如何通过它安全连接Internet、发布服务器、启用缓存以高效访问Internet，以及提供VPN服务器等内容。

ISA Server的应用

Microsoft ISA Server是一款代理服务和网络防火墙功能于一身的优秀软件，主要应用于大中型网络中，实现Internet连接共享和软件防火墙功能。

在安装ISA Server之前，首先需要设置网络环境。一台拥有双网卡的Windows Server 2003操作系统服务器，连接内网和外网，内网IP：192.168.2.1、外网IP：100.100.100.10；一台内部网络的服务器，也使用Windows Server 2003操作系统，IP：192.168.2.10；一台外部网络服务器，同样使用Windows Server 2003操作系统，IP：100.100.100.100。

ISA Server可以部署为专用的Internet边缘防火墙，来充当内部客户端的Internet安全网关；也可以配置为部门或主干网络防火墙，为进出受保护的LAN提供安全的入站和出战访问控制；另外，ISA Server还可以使用站点到站点的×××连接将分支办公室网络连接到主办公室，也可在外部公网连接到内部网络；ISA Server允许组织可以在不危及内部网络安全的情况下将内部的服务发布到Internet。

ISA Server 2004的安装

完成网络环境的配置无误后，开始安装ISA Server 2004，在安装程序界面中单击安装【ISA Server 2004】，如图1所示。

图1、安装ISA Server 2004

在【欢迎使用Microsoft ISA Server 2004的安装向导】单击【下一步】；在【许可协议】中选择【我接受许可协议中的条款】单选按钮，然后单击【下一步】按钮；在【客户信息】中填写【用户名】和【单位】信息和【产品序列号】，然后单击【下一步】按钮；在【安装类型】中选择【自定义】安装，然后单击【下一步】按钮，在【自定义安装】对话框中选择【防火墙客户端安装共享】选择，然后单击【下一步】，如图2所示。

图2、安装防火墙客户端安装共享

在【内部网络】的【内部网络地址范围】选择内部网络的地址192.168.2.1-192.168.2.254的网络，如图3所示。（也可以在【选择网卡】中选择）

图3、内部网络

ISA Server 2004安装完成后，要求重启系统，如图4所示，单击【是】重启系统。

图4、重启系统对话框

安全连接Internet

1、允许内部网络访问Internet

ISA Server中的任意一种网络行为都要经过“定制”，未经明确设置为【允许】的行为默认都是【禁止】。如果网络中的用户想通过ISA Server连接到Internet，必须要进行设置。

1）、在ISA Server 2004计算机上，从【开始】-【程序】-【Microsoft ISA Server】程序组中运行【ISA服务器管理】命令，进入ISA Server 2004控制台。

2）、用鼠标右键单击【防火墙策略】，从弹出的快捷菜单中选择【新建】-【访问规则】命令，如图5所示。

图5、新建访问规则

3）、在【欢迎使用新建访问规则向导】对话框中，在【访问规则名称】的文本框中输入【允许内部网络访问Internet】，然后单击【下一步】。

4）、在【规则操作】中选择【允许】单选按钮。

5）、在【协议】对话框中选择【新建】，在【添加协议】中选择【通用协议】（常用的协议DNS、HTTP、HTTPS、POP3、SMTP、PING等），选择DNS、HTTP、HTTPS、POP3、SMTP、PING，然后在【全部协议】中选择FTP。关闭【添加协议】选项卡，返回【协议】对话框，单击【下一步】，如图6所示。

图6、添加协议

6）、在【访问规则源】界面中，选择要通信的方向，因为要从【内部】到【外部】，所示，源头就是【内部】或【本地主机】。点击【添加】，在【网络实体】中的【网络】下选择【内部】和【本地主机】。

7）、在【访问目标】中选择【外部】；在【用户集】中选择【所有用户】。在【正在完成新建访问规则向导】中单击【完成】完成设置，如图7所示。最后，别忘了在ISA Server 2004管理控制台上，单击以下【应用】按钮，让设置生效。

图7、完成向导

8）、内部机器成功ping外部服务器如图8所示，内部机器成功访问外部WEB和FTP服务，如图9所示。

图8、PING通外网

图9、成功访问外网的FTP和WEB服务

2、使用策略元素建立禁止某些内部用户访问某些网站的策略。

互联网为大家提供信息的同时，也有一些网站存在不良或反动信息。使用ISA可以屏蔽这些网站。使用ISA Server 2004屏蔽这些站点的访问范围两个步骤，首先要禁止内网对这些网站的访问。

1）、在ISA Server 2004控制台的【防火墙策略】中，新建一个访问规则，名字为【禁止访问不良网站】。

2）、在【规则操作】，选择【拒绝】；【协议】为【所有出站通讯】；【访问源】为【内部和本地主机】；

3）在【访问目标】中，单击【添加】，在弹出的【添加网络实体】页面中，单击【新建】-【URL集】，如图10所示。同样的方法，新建一个域名集，如图11所示。

图10、禁止访问的网站

图11、禁止访问的域名

4）、如果用户通过代理服务器的方法间接访问被禁止的网站和服务，还是可以成功的，因此禁止使用代理服务器访问被禁止访问的站点和禁止使用的服务。

在ISA Server 2004控制台的【防火墙策略】页面中，用鼠标右键单击【允许内部网络访问Internet】，从弹出的快捷菜单中选择【配置HTTP】，如图12所示。

图12、配置HTTP

在【在规则配置 HTTP 策略】中的【方法】选项卡中，在【指定 HTTP 方法要执行的操作】列表中选择【阻止指定的方法（允许所有其他方法）】，然后单击【添加】按钮，添加一个方法,方法的文本中输入CONNECT（必须大写）如图13所示。（当用户浏览网页时候，只会用到get、post这两个命令；当使用代理服务器进行连接是就用到connect命令）

图13、禁止CONNECT方法

像禁止QQ、MSN等聊天软件和BT等P2P下载软件的方法都差不多，基本是一样。自己摸索吧。

发布服务器

1、发布WEB站点

使用ISA把内部的服务发布到Internet上，方法如下。

1）、打开ISA Server 2004控制台，右击【防火墙策略】选项，从弹出的快捷菜单中选择【新建】-【Web服务器发布规则】命令，如图14所示。

图14、新建网站发布规则

2）、在【欢迎使用新建Web发布规则向导】界面中的【Web发布规则名称】输入“发布Web服务器”，单击【下一步】按钮。在【请选择规则操作】中选择【允许】，然后单击【下一步】按钮；在【请定义要发布的网站】中的【计算机名或IP地址文本中输入内部网络的IP地址：192.168.2.10.如图15所示。

图15、发布内部网站

3）、在【公共名称细节】中如果已经有了共有名称，在【接受请求】可以选择【此域名】，否则选择【任何域名】，如图16.

图16、公共名称

4）、在【选择 Web侦听器】是单击【新建】按钮，新建一个侦听器，在【欢迎使用新建 Web 侦听器向导】中的【Web 侦听器名称】输入【侦听外部80端口请求】，然后单击【下一步】按钮。在【IP地址】中选择【外部】，然后单击【下一步】按钮。

5）、在【端口指定】使用80端口，单击【下一步】在【正在完成新建 Web 侦听器向导】中单击【完成】完成设置，如图17所示。

图17、侦听器信息

6）、在【用户集】中选择【所用用户】，单击【下一步】，在如图18所示的【正在完成新建 Web 发布规则向导】中单击【完成】完成Web发布。最后同样别忘记在控制台上单击一下【应用】使之生效。

7）、在外部的计算机通过http://100.100.100.10成功访问内部的IP地址为192.168.2.10的Web服务器，如图19所示。

图18、Web服务发布设置信息

图19、外部计算机成功访问内部WEB服务器

2、发布FTP服务

1）、FTP服务的发布和Web服务的发布差不多，在ISA Server 2004控制台，右击【防火墙策略】选项，从弹出的快捷菜单中选择【新建】-【服务器发布规则】，在【欢迎使用新建服务器发布规则向导】中输入【服务器发布规则的名称】“发布FTP”，然后单击【下一步】按钮；在【选择服务器】界面中的【服务器IP地址】输入内部服务器的IP：192.168.2.10。单击【下一步】按钮，在【选择协议】中选择【FTP服务器】，如果不是使用默认的端口号，可在端口选项中修改。在【IP地址】中同样选择【外部】，单击【下一步】按钮，在如图20所示的信息。