ISAserver操作指南Word格式文档下载.docx
《ISAserver操作指南Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《ISAserver操作指南Word格式文档下载.docx(32页珍藏版)》请在冰豆网上搜索。
配置服务器的网络适配器
1.右键单击桌面上的网上邻居,然后单击属性。
2.右键单击您的Internet连接,单击重命名,然后键入Internet连接。
这将帮助您记住哪块网卡连接到了Internet。
3.右键单击Internet连接,然后单击属性。
4.在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。
在该接口传输数据时,任务栏上的小图标将闪烁。
5.清除Microsoft网络客户机和Microsoft网络的文件和打印机共享复选框。
ISAServer通过清除这些复选框自动阻挡这些协议;
从而使您可以节省内存。
6.双击Internet协议(TCP/IP),然后执行以下步骤之一:
o如果您的ISP使用DHCP分配IP地址,则在Internet协议(TCP/IP)属性对话框中,单击以选中自动获得IP地址和自动获得DNS服务器地址复选框。
转到第7步。
o如果需要手动输入ISP的IP地址信息,则在Internet协议(TCP/IP)属性对话框中,单击以选中使用下面的IP地址,然后键入您的ISP提供的地址、子网掩码和默认网关信息。
单击以选中使用下面的DNS服务器地址,然后键入您的ISP提供的一个或多个DNS服务器的名称。
7.单击高级,然后单击DNS选项卡。
单击以清除在DNS中注册此连接的地址复选框。
备注:
您需要为内部适配器上的内部网络键入永久的地址和相应的子网掩码(不要在该接口上使用DHCP)。
将默认网关留为空白。
ISAServer计算机只需要一个默认网关:
在外部接口上配置它。
在内部适配器上配置默认网关会引起ISA故障。
配置连接到网络的内部接口
1.右键单击网上邻居,然后单击属性。
右键单击本地连接(LAN),单击重命名,然后键入局域网。
2.右键单击局域网,然后单击属性。
3.在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。
4.如果未选中,单击以选中Microsoft网络客户机和Microsoft网络的文件和打印机共享复选框。
5.双击Internet协议(TCP/IP),然后单击以选中使用下面的IP地址复选框。
6.在IP地址中,输入符合内部网络地址编排方案的内部IP地址和子网掩码。
在首选DNS服务器中,键入网络的一台或多台DNS服务器的IP地址。
对于少于255台计算机的小型网络,如果使用Windows2000默认TCP/IP配置,并且网络中没有DNS服务器,则计算机依赖于自动专用IP地址分配(APIPA)。
应该从APIPA迁移出来,并开始在客户机工作站上使用静态地址。
网络中的每台计算机需要一个唯一的IP地址。
如果配置了ISAServer的内部接口,需要键入静态地址,所以使用地址192.168.0.254,及子网掩码255.255.255.0。
将默认网关框留为空白。
在DNS服务器字段中键入ISP的DNS服务器。
现在,在每台客户机上配置静态地址:
o在第一台计算机上,使用地址192.168.0.1,子网掩码为255.255.255.0,默认网关为192.168.0.254。
对于DNS,输入ISP的一台(或多台)DNS服务器。
o在第二台计算机上,使用地址192.168.0.2,然后使用与上一步骤中使用的相同的值。
除地址外,其他值都相同,只是为每台额外的计算机递增地址值。
维护一个指示哪些计算机使用哪些地址的列表。
7.得到提示时,重新启动计算机。
2.安装MicrosoftInternetSecurityandAccelerationServer2000StandardEdition
如果您没有安装Windows2000ServicePack1(SP1)和从MicrosoftISAServer2000StandardEdition光盘获得的修补程序,应立即安装。
安装ServicePack
1.将Windows2000SP1光盘插到光驱中。
2.关闭打开的MicrosoftISAServer安装对话框(如果已经关闭了自动插入提示功能,则该对话框不会出现)。
3.在桌面上,双击我的电脑图标。
4.右键单击光驱,然后单击浏览。
导航至\Support\Windows2000_SP1文件夹。
5.双击Sp1network.exe程序文件以安装ServicePack。
6.安装完ServicePack后重新启动计算机。
安装修补程序
1.将MicrosoftInternetSecurityandAccelerationServer2000StandardEdition光盘插到光驱中。
2.导航至\Support\Hotfixes\Win2000文件夹。
3.双击Q275286_W2K_SP2_x86_en.exe文件。
4.在您应用修补程序后,重新启动计算机。
现在可以安装MicrosoftISAServer2000StandardEdition了。
该安装程序提出一系列问题。
使用ISAServerSetupWizard(ISAServer安装向导)
1.在桌面上,双击我的电脑。
双击以打开光驱。
"
ISAServerSetupWizard(ISAServer安装向导)"
自动启动,除非自动插入通知功能关闭。
如果向导无法自动启动,导航至CD根目录,然后双击ISAAutorun.exe文件以运行它。
单击InstallISAServer(安装ISAServer)开始运行该过程。
2.在"
Welcome(欢迎)"
屏幕上,单击Continue(继续)。
在相应的框中键入产品的标识号。
您可以在光盘盒的背面找到该号码。
3.请阅读许可协议,单击IAgree(同意)。
4.单击Typicalinstallation(典型安装)作为安装类型。
这将安装ISA服务和管理工具。
5.单击Firewallmode(防火墙模式)。
ISA停止计算机上的相关服务。
6.为ISA配置本地地址表(LAT)。
配置LAT时需要仔细考虑。
为您提供两种选择:
构建LAT或者使用安装程序向导。
根据以下条件作出选择:
o如果知道内部网络使用的子网,请在这里输入。
小心:
不要单击ConstructTable(建立表)按钮!
如果单击,所输入的LAT信息将会被覆盖。
o如果不知道本地子网,请单击ConstructTable(建立表)按钮。
ISASetupWizard(ISA安装向导)"
将根据计算机的路由表确定本地子网。
▪如果未选中,请单击以选中Addthefollowingprivateranges(添加以下专用范围)复选框。
▪如果未选中,请单击以选中AddaddressrangesbasedontheWindows2000routingtable(基于Windows2000路由表增加地址范围)。
▪单击以清除包含与服务器的外部(Internet)接口相对应的子网的复选框。
▪单击以选中包含与服务器的内部(LAN)接口相对应的子网的复选框。
7.当安装程序完成时,启动"
AdministratorGettingStarted(管理员入门向导)"
,然后在完成该向导之前阅读下一节。
ISAServer安装后的状态将阻挡对Internet的来往访问。
这是一件好事!
请记住,您是在设置防火墙。
防火墙的主要功能是在两个网络之间充当检查点。
ISAServer的行为是通过策略阻挡任何没有被明确允许的内容。
配置ISA安装后的状态
必须对访问策略的以下两个组件进行配置,以便客户机能够访问Internet:
∙必须至少配置一个站点和内容规则,在其中指定用户可访问哪些站点以及可检索哪些类型的内容。
∙必须至少配置一个协议规则,以便指定哪些类型的通信允许通过ISAServer。
安装完成后,ISA创建一个默认站点和内容规则,允许所有客户机在所有时间访问所有站点上的所有内容。
但是这对于要开始在Internet上冲浪的用户来说是不够的:
现在还没有已定义的协议规则。
没有它,将不允许通过ISA的通信。
入门向导
1.在"
GettingStartedWizard(入门向导)"
中,单击ConfigureProtocolRules(配置协议规则)。
协议规则列表显示在Microsoft管理控制台(MMC)中。
2.单击CreateaProtocolRule(创建协议规则)。
键入名称,如"
所有协议"
。
3.为规则的操作单击Allow(允许)(这是默认值)。
4.单击AllIPtraffic(所有IP通信)作为协议列表(这是默认值)。
5.单击Always(始终)(这是默认值)作为计划。
6.单击Anyrequest(任何请求)(这是默认值)作为客户机类型。
7.单击Finish(完成)。
创建用户如何连接到Internet的策略
ISAServer的作用远不止允许所有的客户机使用所有(已定义的)协议,在所有时间访问所有站点上的所有内容。
在ISA中,可以创建用于准确定义用户如何访问Internet的访问策略。
ISA访问策略由以下三个元素组成:
∙站点和内容规则
∙协议规则
∙IP数据包筛选器
而这些规则又由以下策略元素组成:
∙计划
∙目标集合
∙客户机地址集合
∙协议的定义
∙内容组
在试图使用ISA策略定义复杂内容之前,应了解一些依存关系。
下表描述哪些策略元素属于哪些策略规则:
站点和内容规则
协议规则
目标集合
协议的定义
内容组
计划
客户机地址集合
从ISA计算机访问Internet
从ISA计算机本身访问Internet会怎样?
如果想在ISA计算机上访问特定Web站点,则已创建的协议规则、站点和内容规则仅应用于ISA服务器后面的客户机。
当客户机希望访问Internet时,只要规则允许该请求,ISA就为该连接请求创建一个动态数据包筛选器。
但是,如果想在ISA计算机上访问Internet,则必须按照将产生的通信的种类创建静态数据包筛选器。
例如,若要访问一个Web站点,请按照下列步骤操作:
ISAManagement(ISA管理)"
中,展开Servers(服务器),展开服务器名称,单击AccessPolicy(访问策略),然后单击IPPacketFilters(IP数据包筛选器)。
2.单击Createapacketfilter(创建数据包筛选器)以启动向导。
3.命名数据包筛选器:
Web访问
4.单击Allowpackettransmission(允许数据包传输),然后单击Custom(自定义)。
5.单击TCP作为IP协议,单击Outbound(出站)作为方向,为本地端口单击Allports(所有端口),然后为远程端口单击Fixedport(固定端口)。
在PortNumber(端口号)对话框中输入80。
6.为ISA服务器上的每个外部接口选择默认IP地址。
7.单击Allremotecomputers(所有远程计算机)。
现在可以从ISA服务器上访问Web站点了。
建议您重复这些步骤,但在第3步中使用SSL访问,在第6步中使用433(替代80),因为许多Web服务器使用SSL协议。
若要允许使用更多的协议,请按照上述步骤操作,但在第3步中使用相应名称,在第6步中使用所需的项目。
3.缺陷
最常见的问题涉及没有完全理解策略元素、策略规则和数据包筛选器之间的交互。
如果尝试执行早先创建的一般访问策略(通过执行3.4节中的过程)以外的操作,应确保完全理解了第4节中的内容。
另外,请阅读MicrosoftInternetSecurityandAccelerationServer2000StandardEdition的联机帮助。
创建一些策略,然后进行测试。
另外,如果理解了ISAServer的词汇和组件交互,将更容易理解访问策略。
ISAServer不在LAT中的任何地址和外界之间建立直接连接。
必须创建某种能够描述要允许的访问的策略。
4.参考
有关对ISAServer进行疑难解答的帮助,请参见MicrosoftInternetSecurityandAccelerationServer2000StandardEdition的联机帮助
使用InternetSecurityandAccelerationServer通过防火墙提供Internet访问
7-Oct-2001
CHS297922
∙MicrosoftInternetSecurityandAccelerationServer2000
本任务的内容
∙概要
∙先决条件
∙安装ISAServer
∙创建协议规则
∙启用IP路由
本分步指南介绍了如何使用InternetSecurityandAccelerationServer(ISA)通过防火墙提供Internet访问。
该过程为内部客户机提供了不受限制的出站Internet访问。
先决条件
为获得最佳结果,确保运行ISAServer的计算机安装了两个网络接口:
一个直接连接到Internet,另一个连接到内部网络。
确保外部接口的IP地址可公开访问,内部适配器具有专用IP地址。
本文假定外部适配器可以完全、直接地访问Internet,而无须将请求路由到上游服务器。
ISAServer需要MicrosoftWindows2000ServerServicePack1(SP1)或更高版本。
返回页首
安装ISAServer
要安装ISAServer:
1.插入InternetSecurityandAccelerationServer2000CD-ROM。
2.在启动屏幕上单击InstallISAServer(安装ISAServer)。
3.阅读最终用户许可协议后单击Continue(继续)。
4.键入CD-ROM包装盒背面的CD密钥号码。
5.在ProductID(产品ID)对话框中单击OK(确定)。
6.阅读许可协议,然后单击IAgree(同意)继续。
7.单击TypicalInstallation(典型安装)。
8.单击IntegratedMode(集成模式),然后单击Continue(继续)。
9.单击OK(确定)停止W3SVC。
10.将高速缓存的大小设为100加上每个用户0.5,然后单击OK(确定)。
11.单击ConstructLAT(构建LAT)--LAT即本地地址表。
让默认选中的复选框保持选中状态。
单击选中与您的内部适配器对应的复选框。
单击OK(确定)两次。
12.单击OK(确定)接受LAT设置。
13.单击OK(确定)启动ISA管理工具。
14.单击OK(确定)结束。
创建协议规则
要创建协议规则,以允许您的客户机不受限制地访问Internet:
1.打开ISA管理控制台(单击开始,指向程序,单击MicrosoftISAServer,然后单击ISAManagement(ISA管理)。
2.在树结构中,单击服务器的名称,以展开运行ISAServer的计算机的树。
3.展开AccessPolicy(访问策略),然后单击SelectProtocolRules(选择协议规则)。
4.单击CreateaProtocolRule(创建协议规则)图标。
5.在向导的首页键入FullInternetAccessRule(完全Internet访问规则),然后单击Next(下一步)。
6.再单击Next(下一步)四次,接受新的协议规则的所有默认设置。
7.单击Finish(完成)。
启用IP路由
要为SNAT(安全网络地址转换)客户机启用IP路由:
1.在AccessPolicy(访问策略)子树中,单击IPPacketFilters(IP包筛选器)。
2.右键单击IPPacketFilters(IP包筛选器),然后单击Properties(属性)。
3.单击选中EnableIPRouting(启用IP路由)复选框。
4.单击OK(确定)。
5.在客户机上的TCP/IP属性中,将客户机的默认网关设为运行ISAServer的计算机的内部适配器。
完成这些步骤后,只有内部客户机可以访问Internet。
甚至ISAServer本身也无法访问Internet。
这是出于安全的目的有意设计的。
将Internet访问权授予ISAServer控制台需要创建允许这种访问的数据包筛选器,这将降低ISAServer提供的安全水平。
阻止用户访问未授权的Web站点
CHS300492
本文描述管理员如何通过使用InternetSecurityandAcceleration(ISA)Server中的内置工具,防止用户访问未授权的Web站点。
另外,本文还描述管理员如何基于日期、星期或组,对阻挡规则设置例外。
如何允许用户查看授权的Web站点
站点和内容"
规则可以应用到用户,以便允许或拒绝他们访问特定的Web站点、计算机或者Internet协议(IP)地址范围。
使用ISAServer,管理员可以使用两种不同的筛选方法来管理客户机对Web站点的访问:
∙管理员可以使用户能够访问除被明确阻挡的某些站点以外的任意和所有Web站点。
∙管理员可以拒绝用户对除被明确授权的站点以外的任意和所有Web站点的访问。
若要允许用户查看授权的Web站点,请按照下列步骤操作:
1.单击开始,指向程序,单击MicrosoftISAServer,然后单击ISAManagement(ISA管理)。
显示"
窗口。
2.单击加号(+)展开ServersandArrays(服务器和阵列),然后单击加号(+)展开服务器名称,展开树。
3.在树上,单击加号(+)以展开PolicyElements(策略元素)。
4.右键单击DestinationSets(目标集合)文件夹,显示子菜单。
5.单击新建,然后单击Set(集合)。
若要建立一个授权客户访问的特定Web站点列表,管理员必须手动输入被允许Web站点列表,可以使用Web站点名称(例如,),也可以使用Web站点的IP地址(例如,207.46.179.143),或者两者相结合。
(或者,管理员可以使用通配符,如*.,或者Path(路径)框中的/Testing/*。
)
6.单击NewDestinationSet(新建目标集合)对话框。
为被允许的Web站点列表输入一个好记的名称,如,"
PermittedWebSites"
您还可以添加一些有帮助的注释,如列表输入的日期。
7.单击Add(添加),显示一个对话框。
单击AddDestination(添加目标)或EditDestination(编辑目标),选其中合适的一个。
一次只能输入一个Web站点名称或IP地址。
在建立了被允许的Web站点列表之后,您必须回到控制台树的"
AccessPolicy(访问策略)"
8.单击加号(+)以展开AccessPolicy(访问策略)。
右键单击SiteandContentRules(站点和内容规则),单击新建,单击Rule(规则),显示"
NewSiteandCont