查看完整版本: ISA安装设置全集

fly122361 2009-12-20 03:37

ISA安装设置全集

[b][u]安装 ISA Server[/u][/b]
将 Microsoft ISA 2000 Server 光碟放在 Windows 2000 伺服器上；按下 Install ISA Server 如图下。
[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125128734.jpg[/img] Fig 1
[list=1][*]撰择 [b]Full Installation[/b] ； ISA Server 2000 有下列三个安装元件:

[table=519][tr][td=1,1,9%]一、
[/td][td=1,1,91%][b]ISA Services: 防火墙运作及控制服务。
[/b][/td][/tr][tr][td=1,1,9%]二、
[/td][td=1,1,91%][b]Add-In Services: 附加网路服务元件，可选择安装包括 H.323 Gatekeeper Service，这是提供内部使用者运用 MS Netmeeting 或 H.323 和外面网路 (Internet) 沟通的闸道 (Gateway)应用程式， Message Screener 用作提供过滤进出防火墙的 SMTP Packet 的管制监墆服务元件。
[/b][/td][/tr][tr][td=1,1,9%]三、
[/td][td=1,1,91%][b]Administrator Tools: 管理 ISA Server 介面程式包括H.323 Gatekeeper Service 的管理介面。这个管理工具可以安装在 Windows 2000 Professional 工作站作远端管理 ISA Server 运作。
[/b][/td][/tr][/table]
[*]警告讯息；[/list]如你安装于 Windows 2000 Stand-Alone Server 且没有加任何 Active Directory，这个讯息如图下是正常的！

[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125129580.jpg[/img]　 Fig 2
接著按下 Yes 并选择 [b]Integrated mode [/b](注解如下) 。

[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125129621.jpg[/img]　 Fig 3
[table=557][tr][td=1,1,58%]　[/td][td=1,1,13%][align=center]Firewall [/align][/td][td=1,1,15%][align=center]Cache[/align][/td][td=1,1,14%][align=center]Integrated[/align][/td][/tr][tr][td=1,1,58%]是否能自订存取原则 (Access Policy)
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]HTTP only[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否能让内部网站转向 (Web Publishing) 给外部使用
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]Yes[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否能让内部使用者运用虚拟网路 (VPN) 存取其他网路主机
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]No[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否能让内部伺服器应用程式转向(Web Publishing) 给外部使用
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]No[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供快取服务 (Cache Service)
[/td][td=1,1,13%][align=center]No[/align][/td][td=1,1,15%][align=center]Yes[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供封包过滤 (Packet filtering)
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]No[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供进出防火墙网路应用程式的过滤程式 (Application filtering)
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]No[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供即时监视 (Real-time monitoring)
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]Yes[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供系塻发生错误或遭到攻击的警告 (Alerts)
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]Yes[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][tr][td=1,1,58%]是否提供报告 (Reports) 塻计图表功能
[/td][td=1,1,13%][align=center]Yes[/align][/td][td=1,1,15%][align=center]Yes[/align][/td][td=1,1,14%][align=center]Yes[/align][/td][/tr][/table]由于 ISA Server 2000 并不知道那一个 IP 位址段为内部网路。你必须宣告防火墙架构中内部IP 位址区段 (Local Address Table 或 LAT)。依据 RPC 1918 定义的内部私人网路 (Private Network) IP 位址范围如下:
[table=229][tr][td=1,1,48%]10.0.0.0
[/td][td=1,1,52%]10.255.255.255
[/td][/tr][tr][td=1,1,48%]172.16.0.0
[/td][td=1,1,52%]172.31.255.255
[/td][/tr][tr][td=1,1,48%]192.168.0.0
[/td][td=1,1,52%]192.168.255.255
[/td][/tr][/table]设定 LAT 如下:
[list][*]按下 [b]Construct Table[/b] (Fig 4)；[/list]
[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125129360.jpg[/img]　 Fig 4
[list][*]勾选 [b]Add address ranges based on the Windows 2000 Routing Table ；[/b] 再勾选内部网路IP Address 为 10.10.10.254那张网卡；接　按三次 Ok 便完成安彚貱[/list]
[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125129371.jpg[/img]　 Fig 5

fly122361 2009-12-20 03:38

设定 ISA Server

为了防火墙的安全考虑，将下列预墇服务程式暂时“停止”运作:

[table=519][tr][td]Simple Mail Transfer Protocol (SMTP)
[/td][/tr][tr][td]World Wide Web Publishing Service
[/td][/tr][tr][td]Network News Transport Protocol (NNTP)
[/td][/tr][tr][td]IIS Admin Service
[/td][/tr][tr][td]FTP Publishing Service
[/td][/tr][tr][td]Routing and Remote Access
[/td][/tr][/table]
由于在 ISA Server 上预墇是不允许内部使用者 PING 到外面 IP 位址。也就是内对外“IP Routing”功能关闭。因此你只要开　这个 “IP Routing”功能即可让内部 PING 到外面网路 IP 位址。
一
[align=left][img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125129797.jpg[/img]　 Fig 6[/align]二

[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125130112.jpg[/img]　 Fig 7

注意 : 你内部网路使用端 TCP/IP 预墇闸道 (Default Gateway) 必须是 10.10.10.254 (ISA Server 对内网路 IP 位址 )。

三开启存取权限 Protocol rules:

这是 ISA Server 判断使用者是否具有向网际网路存取权限的第一关。而 ISA Server 预墇值是空白 (Fig. 8)，[b] 也就是拒绝所有内部使用端主机进行对外通讯的服务[/b] 。
[b]
[align=left][img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125130784.jpg[/img]　 Fig 8[/align]
开启存取权限 Protocol rules 如下图 :

[align=left][img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125130833.jpg[/img]　 Fig 9[/align]
[img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125130738.jpg[/img]　 Fig 10

点选: “Allow”à “All IP Traffic ”à “Always” à “Any request ” à 完成。 (Fig . 11)

[align=left][img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125131140.jpg[/img]　 Fig 11[/align]
ISA Server 共有下列三个使用端角色:
[/b]
[table=519][tr][td=1,1,5%]一
[/td][td=1,1,25%]WEB Proxy Clients
[/td][td=1,1,70%]就是设定使用者端的浏览器上的Proxy 伺服器位址及埠口。
[/td][/tr][tr][td=1,1,5%]二
[/td][td=1,1,25%]SecureNAT Clients
[/td][td=1,1,70%]让内部使用端能存取连线到网际网路 (Internet) 资源。如内部 Web Server 转向提供某些服务给外界使用者。
[/td][/tr][tr][td=1,1,5%]三
[/td][td=1,1,25%]Firewall Clients
[/td][td=1,1,70%]内部使用端想存取外面网际网路 (Internet)必须经过使用者身份验证。如采用 Firewall Client 角色；必须为每一个使用端安装 Firewall Client 程式。
[/td][/tr][/table]

四 Web Proxy Client 网页代理使用端

使用端只要设定浏览器 (如: IE，Netscape…) 上的代理服务伺服器 (Proxy Server) IP 位址壼勂 (Fig. 12)。要注意的是 ISA Server 预墇代理服务埠口 (Port) 为“8080”。
[align=left][img]http://www.myyz.gov.cn/Article/UploadFiles/2004119125131472.gif[/img] Fig 12[/align]
五 Firewall Client 安装 (Optional)

为何要在使用端安装 Firewall client 程式 ? 系塻管理者可以针对“使用者帐号”进行存取权控管。当你在使用端安装 Firewall client 程式时，你在 ISA Server 上的存取政策 (Access Policy) 即可以依据使用端登入“使用者帐号”来进行身份验证及存取权控管。如此一来，你可以在 ISA Server 上设定控管对象是针对使用者“帐号”同时也可使用端的“IP 位址”来进行使用端存取权限监管。当然Firewall client 安装程式只限在 Microsoft Windows 作业平台。

到使用端电脑上，开启网路芳邻，寻找 ISA Server 主机并选择开启一个名为“mspclnt”的共用资料夹，对“Setup.exe”连续点选滑鼠右键二下即可。

xiadao_81 2009-12-21 02:09

虽然现在ISA2000没什么人用了，都在用ISA2006或者2008，但是设置差不多，楼主精神可佳，赞一个！::9)

fly122361 2009-12-21 03:54

今年学数据通讯。。稍微查了下。::14)

页: [1]

查看完整版本: ISA安装设置全集