|
本指南介绍了在现有的基于 Windows 的网络中拥有少于 台工作站的小型公司如何通过使用 Microsoft Internet Security Acceleration (ISA) 防火墙安全服务将计算机连接到 Internet 配置网络连接 ISA 防火墙需要一台装有两个网络适配器的计算机需要将其中的一个适配器连接到内部网络将另外一个适配器连接到您的 Internet 服务供应商 (ISP)ISP 能帮助您建立该连接防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息来充当企业 Intranet 与 Internet 之间的安全屏障 ISA可以安装在独立的计算机上Windows NT 域成员计算机上或Windows Active Directory 域成员的计算机上为实现最高的安全性应在一台独立计算机上运行 ISA Server 网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口您的 ISP 应该提供静态 IP 地址子网掩码默认网关以及一台或多台 DNS 服务器在连接到 ISP 的网卡的 TCP/IP 设置中输入该信息一些 ISP 愿意使用动态主机配置协议(DHCP) 指定该信息这样也可以 配置服务器的网络适配器 右键单击桌面上的网上邻居然后单击属性 右键单击您的 Internet 连接单击重命名然后键入 Internet 连接这将帮助您记住哪块网卡连接到了 Internet 右键单击 Internet 连接然后单击属性 在常规选项卡上单击以选中连接后在任务栏中显示图标复选框在该接口传输数据时任务栏上的小图标将闪烁 清除 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框ISA Server 通过清除这些复选框自动阻挡这些协议从而使您可以节省内存 双击 Internet 协议 (TCP/IP)然后执行以下步骤之一 如果您的 ISP 使用 DHCP 分配 IP 地址则在 Internet 协议 (TCP/IP) 属性对话框中单击以选中自动获得 IP 地址和自动获得 DNS 服务器地址复选框 如果需要手动输入 ISP 的 IP 地址信息则在 Internet 协议 (TCP/IP) 属性对话框中单击以选中褂孟旅娴?IP 地址然后键入您的 ISP 提供的地址子网掩码和默认网关信息单击以选中使用下面的 DNS 服务器地址然后键入您的 ISP 提供的一个或多个 DNS 服务器的名称 单击高级然后单击 DNS 选项卡单击以清除在 DNS 中注册此连接的地址复选框 注意您需要为内部适配器上的内部网络键入永久的地址和相应的子网掩码(不要在该接口上使用 DHCP)将默认网关留为空白ISA Server 计算机只需要一个默认网关在外部接口上配置它在内部适配器上配置默认网关会引起 ISA 故障 配置连接到网络的内部接口 右键单击网上邻居然后单击属性右键单击本地连接 (LAN)单击重命名然后键入局域网 右键单击局域网然后单击属性 在常规选项卡上单击以选中连接后在任务栏中显示图标复选框 如果未选中单击以选中 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框 双击 Internet 协议 (TCP/IP)然后单击以选中使用下面的 IP 地址复选框 在 IP 地址中输入符合内部网络地址编排方案的内部 IP 地址和子网掩码将默认网关留为空白在首选 DNS 服务器中键入网络的一台或多台 DNS 服务器的 IP 地址 备注对于少于 台计算机的小型网络如果使用 Windows 默认 TCP/IP 配置并且网络中没有 DNS 服务器则计算机依赖于自动专用 IP 地址分配 (APIPA)应该从 APIPA 迁移出来并开始在客户机工作站上使用静态地址网络中的每台计算机需要一个唯一的 IP 地址如果配置了 ISA Server 的内部接口需要键入静态地址所以使用地址 及子网掩码 将默认网关框留为空白在 DNS 服务器字段中键入 ISP 的 DNS 服务器 现在在每台客户机上配置静态地址 在第一台计算机上使用地址 子网掩码为 默认网关为 对于 DNS输入 ISP 的一台(或多台) DNS 服务器 在第二台计算机上使用地址 然后使用与上一步骤中使用的相同的值除地址外其他值都相同只是为每台额外的计算机递增地址值维护一个指示哪些计算机使用哪些地址的列表 得到提示时重新启动计算机 安装 ISA Server Standard Edition 如果您没有安装 Windows Service Pack (SP) 和从 Microsoft ISA Server Standard Edition 光盘获得的修补程序应立即安装 ISA安装程序提出一系列问题 使用 ISA Server Setup Wizard(ISA Server 安装向导)在Welcome(欢迎)屏幕上单击 Continue(继续)在相应的框中键入产品的标识号您可以在光盘盒的背面找到该号码 请阅读许可协议单击 I Agree(同意) 单击 Typical installation(典型安装)作为安装类型这将安装 ISA 服务和管理工具然后选择安装模式防火墙代理服务器集成模式ISA 停止计算机上的相关服务 为 ISA 配置本地地址表 (LAT)配置 LAT 时需要仔细考虑为您提供两种选择构建 LAT 或者使用安装程序向导根据以下条件作出选择 如果知道内部网络使用的子网请在这里输入小心不要单击 Construct Table(建立表)按钮!如果单击所输入的 LAT 信息将会被覆盖 如果不知道本地子网请单击Construct Table(建立表)按钮ISA Setup Wizard(ISA 安装向导)将根据计算机的路由表确定本地子网 如果未选中请单击以选中 Add the following private ranges(添加以下专用范围)复选框 如果未选中请单击以选中 Add address ranges based on the Windows routing table(基于 Windows 路由表增加地址范围) 单击以清除包含与服务器的外部 (Internet) 接口相对应的子网的复选框 单击以选中包含与服务器的内部 (LAN) 接口相对应的子网的复选框 当安装程序完成时启动Administrator Getting Started(管理员入门向导)然后在完成该向导之前阅读下一节 配置ISA Server以允许客户访问Internet ISA Server 安装后的状态将阻挡对 Internet 的来往访问这是一件好事!请记住您是在设置防火墙防火墙的主要功能是在两个网络之间充当检查点ISA Server 的行为是通过策略阻挡任何没有被明确允许的内容 配置 ISA 安装后的状态 必须对访问策略的以下两个组件进行配置以便客户机能够访问 Internet 必须至少配置一个站点和内容规则在其中指定用户可访问哪些站点以及可检索哪些类型的内容 必须至少配置一个协议规则以便指定哪些类型的通信允许通过 ISA Server 安装完成后ISA 创建一个默认站点和内容规则允许所有客户机在所有时间访问所有站点上的所有内容但是这对于要开始在 Internet 上沖浪的用户来说是不够的现在还没有已定义的协议规则没有它将不允许通过 ISA 的通信 入门向导 在Getting Started Wizard(入门向导)中单击 Configure Protocol Rules(配置协议规则)协议规则列表显示在 Microsoft 管理控制台(MMC) 中 单击 Create a Protocol Rule(创建协议规则)键入名称如所有协议 为规则的操作单击 Allow(允许)(这是默认值) 单击 All IP traffic(所有 IP 通信)作为协议列表(这是默认值) 单击 Always(始终)(这是默认值)作为计划 单击 Any request(任何请求)(这是默认值)作为客户机类型 单击Finish(完成) 创建用户如何连接到 Internet 的策略 ISA Server 的作用远不止允许所有的客户机使用所有(已定义的)协议在所有时间访问所有站点上的所有内容在 ISA 中可以创建用于准确定义用户如何访问 Internet 的访问策略 ISA 访问策略由以下三个元素组成 站点和内容规则 协议规则 IP 数据包筛选器 而这些规则又由以下策略元素组成 计划 目标集合 客户机地址集合 协议的定义 内容组 在试图使用 ISA 策略定义复杂内容之前应了解一些依存关系下表描述哪些策略元素属于哪些策略规则 站点和内容规则 协议规则 目标集合 协议的定义 内容组 计划 计划 客户机地址集合 客户机地址集合 从 ISA 计算机访问 Internet 从 ISA 计算机本身访问 Internet 会怎样?已创建的协议规则站点和内容规则仅应用于 ISA 服务器后面的客户机当客户机希望访问 Internet 时只要规则允许该请求ISA 就为该连接请求创建一个动态数据包筛选器但是如果想在 ISA 计算机上访问 Internet则必须按照将产生的通信的种类创建静态数据包筛选器例如若要访问一个 Web 站点 |
