实验ISA标准版常规安装及无人值守.docx

1、实验ISA标准版常规安装及无人值守ISA2006系列之一：ISA2006标准版常规安装及无人值守ISA2006（Internet Security and Acceleration）是微软公司推出的一款重量级的网络安全产品，被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能，在企业中有着 广泛的应用。从今天开始的一系列课程中我们将陆续介绍ISA的管理和使用技巧，内容重点是访问控制，服务器发布和VPN三部分。今天我们从ISA2006的部署开始介绍。ISA2006分为

2、标准版和企业版，两种版本的结构和功能都存在一定差异。标准版部署起来相对容易，适合中小企业使用，也适合ISA爱好者的入门学习；企业版由于引入了配置存储服务器，部署起来有一定难度，我们将它放在后期课程中介绍。今天我们准备给大家分别介绍ISA2006标准版的常规安装和无人值守安装。拓扑如下图所示，服务器Beijing有两块网卡，内网网卡的IP地址为10.1.1.254，外网网卡的IP地址为192.168.11.254。Beijing的操作系统为Win2003SP1，准备安装ISA2006作为企业的边缘防火墙。ISA2006的安装要求如下：带有 Service Pack 1 (SP1) 的 Micro

3、soft Windows Server 2003 或 Microsoft Windows Server 2003 R2 操作系统。256 MB 内存。 150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。 至少两块网卡（如果只有一块网卡，只能安装成缓存服务器）。 一个采用 NTFS 文件系统格式的本地硬盘分区。安装ISA2006的服务器上不能有进程占用80和8080端口。一 ISA2006标准版的常规安装在Beijing上放入ISA2006的安装光盘，如下图所示，启动ISA2006的安装程序，点击“安装ISA Server 2006”。出现ISA2006的安装向导，选择“下一步”。同意软件

4、许可协议，选择下一步。输入用户名，单位及序列号等参数后，来到安装类型界面，如下图所示，选择自定义安装。选择ISA2006的安装组件，从下图可知，只有ISA服务器和ISA服务器管理两个组件。有ISA2004经验的管理员要注意，ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持，消息筛选被Forenfront取代，ISA客户端共享需要用手工共享的方法实现。接下来设置内网的地址范围，点击“添加”按钮。顺便提一下，这个参数很重要，因为在ISA中网络是防火墙策略中最基本的一个考虑因素，具体我们回头再说。设置内网范围时，点击“添加适配器”，如下图所示，选择与内网相连的网卡，点击确定。这里建

5、议大家最好把ISA上的网卡根据实际连接情况命名为内网，外网，外围等，以方便后续使用。根据我们提供的网卡，ISA将内网的地址范围设置为10.1.1.0-10.1.1.255，点击确定。安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000之前的防火墙客户端，ISA2000之后的防火墙客户端支持数据加密，安全性更好，由于在实验环境中不需要使用早期防火墙客户端，因此我们不用勾选“允许不加密的防火墙客户端连接”。安装程序警告我们在安装过程中有些服务会重新启动，选择“下一步”。完成了参数设置，终于开始安装了。如下图所示，点击“完成”，结束了ISA2006的常规安装。至此，

6、我们完成了ISA2006的常规安装。安装过程并不复杂，相信大家都可以完成，难的地方在后面的管理部分，慢慢来吧。二 ISA2006标准版的无人值守安装ISA2006的无人值守安装原理是很简单的，常规安装时我们通过交互方式输入安装参数，无人值守时只需事先将安装参数写到答案文件中，然后让ISA的安装程序从答案文件中获取参数就可以了。因此我们实现ISA2006的无人值守只需要注意两点：1） 如何创建答案文件2） 如何让安装程序调用答案文件先解决第一个问题。ISA2006的安装光盘中有一个无人值守答案文件的示例，如下图所示，在ISA2006的安装光盘FPCUnattended_Setup_SampleS

7、tandard_Edition目录下，有一个msisaund.ini文件，这就是示例文件。我们只要对示例文件进行简单修改，就可以满足我们无人值守安装的需求。打开模板文件看看，如下图所示，文件中有各种参数的解释。如果觉得E文看起来很吃力，我们可以在ISA2004标准版的安装光盘中找到FPCmsisaund.ini，这个文件是ISA2004无人值守安装的示例文件。打开ISA2004的示例文件，内容和ISA2006基本相同，但帮助是中文的，呵呵，这回E文不好的兄弟可以好好参考一下了。将光盘中的msisaund.ini复制到C:，然后对文件中的内容进行修改，我们就可以创建自己的ISA2006无人值守答

8、案文件了。修改后的内容如下图所示，原文件中以分号开头的内容为注释，我们就不保留了。对答案文件中的内容解释一下：IDKEY=这里应该填写25位长度的产品序列号INTERNALNETRANGES=1 10.1.1.0-10.1.1.255设置内网的地址范围，1代表只有一个地址范围，10.1.1.0-10.1.1.255是具体的范围内容SUPPORT_EARLIER_CLIENTS=0不允许早期的防火墙客户端连接INSTALLDIR=C:Program FilesMicrosoft ISA Server ISA2006的安装目录为C:Program FilesMicrosoft ISA Server

9、COMPANYNAME=ITET公司名称为ITETADDLOCAL=ALL安装所有组件其实ISA2006无人值守安装还有一个很实用的功能，可以导入防火墙策略的XML配置文件，这样ISA安装完毕后，配置也就完成了，非常方便。语法是：IMPORT_CONFIG_FILE=配置文件名设置好答案文件后，我们就要考虑如何让ISA的安装程序调用这个答案文件了。我们在Beijing上输入D:FPCsetup.exe /v/qb FULLPATHANSWERFILE=c:msisaund.ini，如下图所示，这样安装程序就会将C:MSISAUND.INI作为ISA2006的无人值守答案文件了。ISA2006的安装开始启动了，如下图所示，整个安装过程无需用户参与。安装完毕后，打开ISA2006管理器，如下图所示，安装已经顺利完成。至此，我们完成了ISA2006标准版的部署，在下次课程中，我们将介绍ISA2006的三种客户端。