ISA2004快速安裝指南

[psac]

Microsoft

Internet Security and Acceleration Server 2004


Beta2



快 速 安 裝 指 南


(譯自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在「相關下載」欄目中有pdf版本的下載)

目 錄


一、安裝Windows net server 2003並且建立基本的網路結構


二、安裝ISA Server 2004 beta2


三、檢視防火牆系統原則


四、建立訪問原則


1、建立允許所有流出資料的訪問原則


2、建立允許內部客戶訪問位於ISA Server 上的DNS伺服器的原則


五、建立一條阻止HTTP下載的HTTP原則


六、測試


七、後記

　
一、安裝Windows net server 2003並且建立基本的網路結構

和ISA Server 2000一樣，ISA Server 2004對硬體要求不是很高，在CPU Pentium III 500+ MHz、256M記憶體環境下都能執行，不過為了更好的效能，建議增加CPU速率和記憶體容量。


安裝ISA Server 2004的機器應該有至少有兩個網路卡，一個為外部接頭，一個為內部接頭。但是和ISA Server 2000不一樣，ISA Server 2004沒有近端網址表（Local Address Table），所以你可以安裝多個內部接頭以支持多個內部網路，Firewall Access policy控制所有網路間的資料傳輸。


下圖為一個測試網路，ISA Server作為一個邊緣防火牆（Edge Firewall）：





在安裝ISA Server 以前，應該要保證內部網路正常的工作。由於ISA Server自身不具備DNS Forwarder功能（ISA Server只能容許DNS query包通過，但是不具有自動將DNS query資料包轉發到ISP的DNS伺服器的功能），所以在你內部網路的DNS設定中，要麼建立一個內部的DNS伺服器，要麼把所有客戶端機的DNS全部設定為你ISP的DNS。在這篇文章中，在ISA Server機上已經建立好了一個內部的DNS伺服器，所有客戶端以ISA Server機的內部接頭作為它的網路閘道和DNS伺服器。


至於DHCP伺服器，如果DHCP伺服器位於ISA Server機，這個beta2版的有個BUG，無法正確的處理來自內部網路的DHCP request資訊，只有Allow DHCP request from all network才能正常識別內部網路的DHCP request資訊，但是這樣造成了潛在風險，所以建議你不要在ISA Server電腦上實現DHCP服務。


ISA Server 2004對於系統的基本要求是要求IE6.0以上，如果是在Windows 2000 server，要求是在sp4以上，另外還要求打KB821887修正檔（關於Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在本機下載），強烈建議只在Windows net server 2003上安裝。



二、安裝ISA Server 2004 beta2


執行isaautorun.exe開始ISA Server 的安裝，如下圖：





點擊next，出現180天的授權傳輸協定畫面：





選項 I accept the terms in the license agreement ，然後點擊Next，


在Customer Information頁，輸入個人資訊，Product Serial Number自動產生，點擊Next.繼續。


在Setup Type頁，如果你想改變ISA Server的預設安裝選項，可以點擊Custom，然後點擊Next：





在Custom Setup頁你可以選項安裝元件，預設情況下，會安裝Firewall Services、ISA Server Management和Firewall Client Installation Share，而用於控制垃圾郵件和郵件附件的Message Screener不會安裝。如果你想安裝Message Screener ，需要在ISA Server 電腦上首先安裝IIS 6.0 SMTP服務。點擊Next繼續：





在Internal Network頁, 點擊Add按鈕.內部網路和ISA Server 2000中使用的LAT已經大大不同了。在ISA Server 2004中，內部網路包含ISA Server 2004必須進行資料通信的信任的網路服務，例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火牆的系統原則會自動允許ISA Server 到內部網路的部分通信。





在Internal Network setup頁，點擊Configure Internal Network按鈕。





在Configure Internal Network對話視窗中，移去Add the following private ranges選項，保留Add address ranges based on the Windows Routing Table選項. 選上連接內部網路的橋接器，點擊OK。





在下圖的對話視窗中點擊OK：





在內部網路位址對話視窗中點擊OK：





在Internal Network 頁點擊Next：





在Ready to Install the Program 頁點擊Install；


在Installation Wizard Completed 頁，選項Invoke ISA Server Management when wizard closes然後點擊Finish。





此時，會出現Microsoft Internet Security and Acceleration Server 2004 控制台。
　



三、檢視防火牆系統原則

預設情況下，ISA Server 2004不允許和Internet主機的通信。但是，預設防火牆系統原則允許ISA Server 2004訪問部分網路以完成管理工作。


可以用以下方法檢視系統原則：


1、在 Microsoft Internet Security and Acceleration Server 2004 控制台，展開伺服器，右擊 Firewall Policy ，指向View 並點擊 Show System Rules。





2、點擊上圖圖表欄最右方圖示。





這個系統原則標識了ISA Server 2004預設的訪問控制。你可以注意到Access rules由以下部分組成：Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。


注意：有條系統原則允許防火牆到任何網路的DNS伺服器傳送DNS queris。

[psac]

四、建立訪問原則

1、建立允許所有流出資料的訪問原則

為了讓資料能訪問外部網路，你必須新增一條訪問原則，執行以下步驟：


（1）在Microsoft Internet Security and Acceleration Server 2004控制台，展開ISA Server伺服器，右擊Firewall Policy，指向New 並點擊 Access Rule:





（2）在Welcome to the New Access Rule Wizard 頁，在Access policy rule name中輸入「All Open Outbound」，點擊OK，





（3）在Rule Action頁，選項Allow ，然後點擊Next.





（4）在Protocols 頁，選項All outbound protocols然後點擊Next.





（5）在Access Rule Sources 頁，點擊Add，在Add Network Entities對話視窗中，點擊Networks 目錄，雙按Internal，然後點擊Add Network Entities 對話視窗中的Close按鈕。然後點擊Next.





（6）在Access Rule Destinations 頁中點擊Add按鈕，在Add Network Entities對話視窗中，點擊Networks 目錄，雙按 External 然後點擊Close，最後點擊Next.





（7）在User Sets頁，接受預設的All Users.點擊Next.





（8）在Completing the New Access Rule Wizard頁檢視你的設定最後點擊Finish 。




（9）點擊面板頂部的Apply按鈕，設定會馬上生效。





此時，內部網路的用戶已經可以完全的訪問Internet了。





2、建立允許內部客戶訪問位於ISA Server 上的DNS伺服器的原則

接下來，你需要建立一個訪問原則，以允許內部網路客戶可以連接位於ISA Server 上的DNS伺服器。這點是ISA Server 2004和ISA Server 2000的不同之處：ISA Server 2000對於內部接頭，是不需要設定訪問原則的，但是在ISA Server 2004中，內部接頭也受到訪問原則的保護，所以你必須顯式的允許內部客戶的訪問。


主要步驟和建立Allow open outbound一樣，不一樣的地方：


1、傳輸協定name ：DNS from Internal Network；


2、在Protocols頁，選項Infrastructure下的DNS傳輸協定，如下圖：




3、在Access Rule Sources頁，選項Internal；


4、在Access Rule Destinations頁，選項Local Host；





最後點擊Apply。

[psac]

五、建立一條阻止HTTP下載的HTTP原則

ISA Server 2004的Http原則允許你進行細微的控制，你可以使用Http原則來阻止用戶訪問任何站點、內容，或者在Http頭中出現的任何傳輸協定。這條原則將阻止.zip和執行文件的下載，按以下步驟啟用原則：


1、右擊 All Open Outbound 訪問原則然後點擊 Configure HTTP指令；




2、在 Configure HTTP policy for rule 的General頁，選項 Block responses with Windows executable content ，點擊Apply，最後點擊OK。




3、最後點擊Apply使修改生效。

　




六、測試

至此，ISA Server 2004的配置已經基本完成，我們現在使用一台內部客戶端機來測試一下：




開啟瀏覽器，輸入http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en ，你可以看見下圖：




　

現在我們點擊isafp1.exe，因為我們的配置，ISA Server 2004防火牆將阻止可執行文件的下載，如下圖：


　




至此，ISA Server 2004的配置已基本完成。
　

[psac]

七、後記



當我將ISA Server 2004成功配置之後，感覺卻是：ISA Server 越來越像KWF了。除了ISA Server 2004在VPN方面做了強化配置外，其他方面，ISA Server 和KWF的功能太相似了，而且有些地方還不如KWF，如無DHCP服務，不能轉發DNS查詢等等，而且從傳輸協定的配置上來說，也比KWF麻煩多了。


由於還是個beta版本，所以不可避免的存在Bug，如我現在就有個問題，同樣的Cisco VPN撥號程序，在98下可以成功連接，但是在我的2000上卻始終不能正常連接，原因還在searching……但是從穩定性及系統的相容性上看，ISA Server 2004做的相當出色，比起ISA Server 2000改進相當大。微軟自己的產品，相容性不用說了，而且比起ISA Server 2000，2004佔用系統資源要更少。


這個版本是標準版，有些功能，如ISA Server 2000企業版中的帶寬控制和快取監控被取消，可能在正式企業版推出後會提供。


總體來看，ISA Server 2004是世界第一流的軟體防火牆，無愧於我對它的喜愛!

作者：Thomas Shinder

[psac]

關於ISA2004安裝的一點心得！！！

1。在安裝ISA2004前如果是剛剛卸載了ＩＳＡ２００0一定要重新啟動電腦．

２．在安裝ＩＳＡ之前最好禁用路由和遠端訪問，因為一旦ＩＳＡ２００４安裝完成就會自動接管ＲＲＡＳ（也就是說所有在ＲＲＡＳ中能實現的操作在ＩＳＡ２００４中都能完成）

３．因為ＩＳＡ２００４本身不具有ＤＮＳ查詢轉向功能所以應在安裝ＩＳＡ２００４的電腦上安裝ＤＮＳ伺服器並指定監聽網路卡，其次設定ＤＮＳ轉發器的ＩＰ位址．

４．因為ＩＳＡ２００４安裝完成後預設狀態是不允許所有網路間的互訪（只允許一些系統所必需的訪問（我們看不到訪問程序所以不必關心）），所以你必須在防火牆原則中明確指定．

關於用戶認證

1.首先，ISA並不能如同我們所想像的那樣直接與WINDOWS或AD整合驗證。
它需要有中間體將用戶身份資訊傳遞給它。
（中間體）
一。是FIREWARE 軟體
二。是IE瀏覽器

具體步驟
IE(或FIREWARE軟體)將用戶帳號和密碼（也就是身份資訊）傳遞給ISA 防火牆服務，ISA用獲得的用戶資訊與ISA本地機的帳號資料庫進行驗證（在域環境中是與本地機帳號資料庫+域控制器聯繫進行驗證）如果得到的結果匹配則通行否則BYE

由此可以看出，ISA的身份認證服務只對下列情況有效：
1.設代ISA為代理瀏覽網頁（或使用HTTP傳輸協定下載）的WEB客戶端
2.安裝了FIREWARE CLIENT客戶端軟體的防火牆客戶端

對於SNAT客戶端則沒有任何效果 註：（SNAT只要將IE瀏覽器的代理設定為ISA電腦，此SNAT客戶端即為SNAT與WEB客戶端的合體）

要讓ISA主機通過代理上網，在代理伺服器這欄裡要填http://localhost 才行哈哈。

[psac]

ISA2004剛開始時候幾個一般的問題


第一次用ISA2004感覺還不錯的說
安裝完了怎麼上網？
ISA2004安裝好了嗎？ok如果安裝好了，它的預設安全把Localhost全面的保護起來任何資源都不允許外部以及局內網用戶訪問（這一點一定要注意）
先解決上網，加一條內到外的訪問規則~切記一定把Localhost加進去，否則本機將無法上網。
（看圖吧）
如果本機的伺服器不僅提供了網路閘道服務，還包括DNS和DHCP，我靠 那樣你的本機用戶全玩完，根本訪問不料這些服務
怎麼解決那？
DNS的話，讓它訪問本機嗎？如果你的DNS只負責轉發，本機還要建立DNS Service然後再Forward出去，沒什麼實際意義，不如DHCP直接分給Client，我們最好是在DHCP裡面綁定Gateway和DNS，這樣比較的好。（如果DNS上有其他東西，那就要建立訪問規則了）
這樣DNS就ok了

可是DHCP根本無法訪問呀。都被ISA保護起來了。怎麼辦？乾脆挪到別的電腦上好了，太麻煩了。算了，自己發佈吧。我們只需要建立兩條訪問規則，一條負責 DHCP Request令一條負責DHCP Relay，因為我們的本機伺服器要進出著兩種DHCP的包
我們只需要建立以下規則
看我得圖吧
這樣基本就沒有問題了
我開了DNS但是好像不管用SNAT無法使用
但是自從把DNS綁到DHCP上 SNAT就沒有問題了。

我只體驗了一個晚上，這是我得一些經驗，如果你們有什麼更好的辦法，希望能一起交流
這是我第一次用ISA，以前喜歡WinRoute，喜歡它的操作方式，但是現在ISA太像WinRoute，我實在找不到拒絕的理由
唯一遺憾的就是還沒見到企業版

以上是我的一點點體會和經驗吧，希望能對你有些說明