史萊姆論壇 - 查看單個文章

psac · 2004-07-17, 04:55 AM

Microsoft

Internet Security and Acceleration Server 2004

Beta2

快速安裝指南

(譯自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在「相關下載」欄目中有pdf版本的下載)

目錄

一、安裝Windows net server 2003並且建立基本的網路結構

二、安裝ISA Server 2004 beta2

三、檢視防火牆系統原則

四、建立訪問原則

1、建立允許所有流出資料的訪問原則

2、建立允許內部客戶訪問位於ISA Server 上的DNS伺服器的原則

五、建立一條阻止HTTP下載的HTTP原則

六、測試

七、後記

　
一、安裝Windows net server 2003並且建立基本的網路結構

和ISA Server 2000一樣，ISA Server 2004對硬體要求不是很高，在CPU Pentium III 500+ MHz、256M記憶體環境下都能執行，不過為了更好的效能，建議增加CPU速率和記憶體容量。

安裝ISA Server 2004的機器應該有至少有兩個網路卡，一個為外部接頭，一個為內部接頭。但是和ISA Server 2000不一樣，ISA Server 2004沒有近端網址表（Local Address Table），所以你可以安裝多個內部接頭以支持多個內部網路，Firewall Access policy控制所有網路間的資料傳輸。

下圖為一個測試網路，ISA Server作為一個邊緣防火牆（Edge Firewall）：

http://www.isaservercn.org/pic/isa2k4/image002.gif

在安裝ISA Server 以前，應該要保證內部網路正常的工作。由於ISA Server自身不具備DNS Forwarder功能（ISA Server只能容許DNS query包通過，但是不具有自動將DNS query資料包轉發到ISP的DNS伺服器的功能），所以在你內部網路的DNS設定中，要麼建立一個內部的DNS伺服器，要麼把所有客戶端機的DNS全部設定為你ISP的DNS。在這篇文章中，在ISA Server機上已經建立好了一個內部的DNS伺服器，所有客戶端以ISA Server機的內部接頭作為它的網路閘道和DNS伺服器。

至於DHCP伺服器，如果DHCP伺服器位於ISA Server機，這個beta2版的有個BUG，無法正確的處理來自內部網路的DHCP request資訊，只有Allow DHCP request from all network才能正常識別內部網路的DHCP request資訊，但是這樣造成了潛在風險，所以建議你不要在ISA Server電腦上實現DHCP服務。

ISA Server 2004對於系統的基本要求是要求IE6.0以上，如果是在Windows 2000 server，要求是在sp4以上，另外還要求打KB821887修正檔（關於Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在本機下載），強烈建議只在Windows net server 2003上安裝。

二、安裝ISA Server 2004 beta2

執行isaautorun.exe開始ISA Server 的安裝，如下圖：

http://www.isaservercn.org/pic/isa2k4/image003.gif

點擊next，出現180天的授權傳輸協定畫面：

http://www.isaservercn.org/pic/isa2k4/image004.gif

選項 I accept the terms in the license agreement ，然後點擊Next，

在Customer Information頁，輸入個人資訊，Product Serial Number自動產生，點擊Next.繼續。

在Setup Type頁，如果你想改變ISA Server的預設安裝選項，可以點擊Custom，然後點擊Next：

http://www.isaservercn.org/pic/isa2k4/image005.jpg

在Custom Setup頁你可以選項安裝元件，預設情況下，會安裝Firewall Services、ISA Server Management和Firewall Client Installation Share，而用於控制垃圾郵件和郵件附件的Message Screener不會安裝。如果你想安裝Message Screener ，需要在ISA Server 電腦上首先安裝IIS 6.0 SMTP服務。點擊Next繼續：

http://www.isaservercn.org/pic/isa2k4/image006.gif

在Internal Network頁, 點擊Add按鈕.內部網路和ISA Server 2000中使用的LAT已經大大不同了。在ISA Server 2004中，內部網路包含ISA Server 2004必須進行資料通信的信任的網路服務，例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火牆的系統原則會自動允許ISA Server 到內部網路的部分通信。

http://www.isaservercn.org/pic/isa2k4/image007.gif

在Internal Network setup頁，點擊Configure Internal Network按鈕。

http://www.isaservercn.org/pic/isa2k4/image008.gif

在Configure Internal Network對話視窗中，移去Add the following private ranges選項，保留Add address ranges based on the Windows Routing Table選項. 選上連接內部網路的橋接器，點擊OK。

http://www.isaservercn.org/pic/isa2k4/image009.gif

在下圖的對話視窗中點擊OK：

http://www.isaservercn.org/pic/isa2k4/image010.gif

在內部網路位址對話視窗中點擊OK：

http://www.isaservercn.org/pic/isa2k4/image011.gif

在Internal Network 頁點擊Next：

http://www.isaservercn.org/pic/isa2k4/image012.gif

在Ready to Install the Program 頁點擊Install；

在Installation Wizard Completed 頁，選項Invoke ISA Server Management when wizard closes然後點擊Finish。

此時，會出現Microsoft Internet Security and Acceleration Server 2004 控制台。
　

http://www.isaservercn.org/pic/isa2k4/image013.gif

三、檢視防火牆系統原則

預設情況下，ISA Server 2004不允許和Internet主機的通信。但是，預設防火牆系統原則允許ISA Server 2004訪問部分網路以完成管理工作。

可以用以下方法檢視系統原則：

1、在 Microsoft Internet Security and Acceleration Server 2004 控制台，展開伺服器，右擊 Firewall Policy ，指向View 並點擊 Show System Rules。

http://www.isaservercn.org/pic/isa2k4/image015.gif

2、點擊上圖圖表欄最右方圖示。

http://www.isaservercn.org/pic/isa2k4/image016.gif

這個系統原則標識了ISA Server 2004預設的訪問控制。你可以注意到Access rules由以下部分組成：Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。

注意：有條系統原則允許防火牆到任何網路的DNS伺服器傳送DNS queris。

http://www.isaservercn.org/pic/isa2k4/image017.gif

2004-07-17, 04:55 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	ISA2004快速安裝指南 Microsoft Internet Security and Acceleration Server 2004 Beta2 快速安裝指南 (譯自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在「相關下載」欄目中有pdf版本的下載) 目錄一、安裝Windows net server 2003並且建立基本的網路結構二、安裝ISA Server 2004 beta2 三、檢視防火牆系統原則四、建立訪問原則 1、建立允許所有流出資料的訪問原則 2、建立允許內部客戶訪問位於ISA Server 上的DNS伺服器的原則五、建立一條阻止HTTP下載的HTTP原則六、測試七、後記　一、安裝Windows net server 2003並且建立基本的網路結構和ISA Server 2000一樣，ISA Server 2004對硬體要求不是很高，在CPU Pentium III 500+ MHz、256M記憶體環境下都能執行，不過為了更好的效能，建議增加CPU速率和記憶體容量。安裝ISA Server 2004的機器應該有至少有兩個網路卡，一個為外部接頭，一個為內部接頭。但是和ISA Server 2000不一樣，ISA Server 2004沒有近端網址表（Local Address Table），所以你可以安裝多個內部接頭以支持多個內部網路，Firewall Access policy控制所有網路間的資料傳輸。下圖為一個測試網路，ISA Server作為一個邊緣防火牆（Edge Firewall）：在安裝ISA Server 以前，應該要保證內部網路正常的工作。由於ISA Server自身不具備DNS Forwarder功能（ISA Server只能容許DNS query包通過，但是不具有自動將DNS query資料包轉發到ISP的DNS伺服器的功能），所以在你內部網路的DNS設定中，要麼建立一個內部的DNS伺服器，要麼把所有客戶端機的DNS全部設定為你ISP的DNS。在這篇文章中，在ISA Server機上已經建立好了一個內部的DNS伺服器，所有客戶端以ISA Server機的內部接頭作為它的網路閘道和DNS伺服器。至於DHCP伺服器，如果DHCP伺服器位於ISA Server機，這個beta2版的有個BUG，無法正確的處理來自內部網路的DHCP request資訊，只有Allow DHCP request from all network才能正常識別內部網路的DHCP request資訊，但是這樣造成了潛在風險，所以建議你不要在ISA Server電腦上實現DHCP服務。 ISA Server 2004對於系統的基本要求是要求IE6.0以上，如果是在Windows 2000 server，要求是在sp4以上，另外還要求打KB821887修正檔（關於Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在本機下載），強烈建議只在Windows net server 2003上安裝。二、安裝ISA Server 2004 beta2 執行isaautorun.exe開始ISA Server 的安裝，如下圖：點擊next，出現180天的授權傳輸協定畫面：選項 I accept the terms in the license agreement ，然後點擊Next，在Customer Information頁，輸入個人資訊，Product Serial Number自動產生，點擊Next.繼續。在Setup Type頁，如果你想改變ISA Server的預設安裝選項，可以點擊Custom，然後點擊Next：在Custom Setup頁你可以選項安裝元件，預設情況下，會安裝Firewall Services、ISA Server Management和Firewall Client Installation Share，而用於控制垃圾郵件和郵件附件的Message Screener不會安裝。如果你想安裝Message Screener ，需要在ISA Server 電腦上首先安裝IIS 6.0 SMTP服務。點擊Next繼續：在Internal Network頁, 點擊Add按鈕.內部網路和ISA Server 2000中使用的LAT已經大大不同了。在ISA Server 2004中，內部網路包含ISA Server 2004必須進行資料通信的信任的網路服務，例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火牆的系統原則會自動允許ISA Server 到內部網路的部分通信。在Internal Network setup頁，點擊Configure Internal Network按鈕。在Configure Internal Network對話視窗中，移去Add the following private ranges選項，保留Add address ranges based on the Windows Routing Table選項. 選上連接內部網路的橋接器，點擊OK。在下圖的對話視窗中點擊OK：在內部網路位址對話視窗中點擊OK：在Internal Network 頁點擊Next：在Ready to Install the Program 頁點擊Install；在Installation Wizard Completed 頁，選項Invoke ISA Server Management when wizard closes然後點擊Finish。此時，會出現Microsoft Internet Security and Acceleration Server 2004 控制台。　三、檢視防火牆系統原則預設情況下，ISA Server 2004不允許和Internet主機的通信。但是，預設防火牆系統原則允許ISA Server 2004訪問部分網路以完成管理工作。可以用以下方法檢視系統原則： 1、在 Microsoft Internet Security and Acceleration Server 2004 控制台，展開伺服器，右擊 Firewall Policy ，指向View 並點擊 Show System Rules。 2、點擊上圖圖表欄最右方圖示。這個系統原則標識了ISA Server 2004預設的訪問控制。你可以注意到Access rules由以下部分組成：Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。注意：有條系統原則允許防火牆到任何網路的DNS伺服器傳送DNS queris。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次