ISA Server 2006的部署与应用
2010-09-30 12:23:52 来源:WEB开发网11.3 ISA Server的部署与应用
ISA Server 2006的配置非常灵活,它可以应用到各种规模的网络中。ISA Server 2006提供了不同的模板用于不同的网络。
11.3.1 Internet边缘防火墙
ISA Server可以部署为专用Internet 边缘防火墙,来充当内部客户端的Internet安全网关。ISA Server计算机对于通讯路径上的其他方是透明的。Internet 用户应该无法判断此处是否有防火墙服务器,除非用户试图访问 ISA Server计算机拒绝访问的网络服务、协议或站点。通过设置安全访问策略,管理员可以防止未经授权的访问和恶意内容进入网络。这些功能包括:
·多层通讯筛选—数据包级别、线路级别和应用程序级别筛选;
·智能应用程序层警示应用程序筛选器;
·内置入侵检测;
·锁定基本操作系统的系统强化。
11.3.2 部门或主干网络防火墙
ISA Server可以配置为部门或主干网络防火墙,为进出受保护的 LAN 提供安全的入站和出站访问控制。使用现有防火墙结构的组织可能希望保留它们的位于Internet边缘的现有高性能防火墙,将复杂应用程序层筛分配到位于 LAN 边缘的 ISA Server防火墙。这使组织可以在从 ISA Server应用程序层筛选防火墙提供的独特级别保护中获益的同时,利用现有高速Internet连接。这些功能包括:
·安全 OutlookWebAccess 发布;
·安全Internet信息服务 (IIS) 网站发布;
·安全 Exchange RPC 发布;
·所有Internet协议和服务的基于用户和基于组的访问控制;
·垃圾邮件筛选 SMTP 消息筛选程序;
·与上游Web代理服务器链接的Web代理。
11.3.3 分支办公室防火墙
通过 ISA Server,可以使用站点到站点 VPN 连接将分支办公室网络连接到主办公室。可以将 ISA Server放置在分支办公室,在此处它可以作为保护分支办公室网络的防火墙,也可以作为将分支办公室网络连接到主办公室网络的 VPN 网关。ISA Server具有经过改进的 VPN 互操作性功能,使它可以使用您当前拥有的任何 VPN 解决方案创建站点到站点的链接。这些功能包括:
·Internet 协议安全 (IPSec) 隧道模式支持使用第三方 VPN 网关的站点到站点链接;
·使用 Microsoft VPN 网关的站点到站点链接的点对点隧道协议 (PPTP) 和 IPSec 上的第 2 层隧道协议 (L2TP);
·对站点到站点链接的监控状态检测限制可以访问主办公室网络的远程网络;
·位于分支办公室的用于与Internet之间的入站和出站访问的 ISA Server防火墙控制;
·对 VPN 连接的 LAN 之间的通讯进行监控状态检测的智能应用程序层筛选。
11.3.4 安全服务器发布
ISA Server允许组织可以在不危及内部网络安全的情况下将服务发布到Internet。组织可以配置Web发布规则和服务器发布规则,来确定哪些请求向下游发送到位于ISA服务器防火墙后的服务器,以便为内部服务器提供增强的安全层。所有转发的通讯对ISA服务器的监控状态筛选和检测引擎都是公开的。例如,Microsoft Exchange服务器可以放置在ISA服务器后,可以创建服务器发布规则,来允许对Exchange简单邮件传输协议 (SMTP)、邮局协议 (POP3)、Internet 邮件访问协议 (IMAP4) 和网络对网络传输协议 (NNTP)服务进行SSL保护的远程访问。ISA Server SMTP 消息筛选程序(看起来像客户端的电子邮件服务器)对传入到 Exchange 服务器的电子邮件进行侦听。然后,ISA Server SMTP 消息筛选程序可以对 SMTP 通讯进行筛选,并将它转发给 Exchange 服务器。Exchange 服务器从不直接对外部用户公开,而是保留在安全的环境中,维护对其他内部网络服务的访问。这些功能包括:
·易于使用的安全服务器发布向导;
·用于透明客户端连接和服务器发布的 SecureNAT;
·已发布的服务,包括超文本传输协议/安全套接字层 (HTTP/SSL)、FTP、SMTP、POP3、IMAP4、NNTP、DNS、RDP、H.323、流媒体等等。
11.4 ISA Server 2006部署与使用注意事项
本节将讲述ISA Server 2006的系统需要、安装与基本配置。
11.4.1 安装ISA Server 2006的软件与硬件需求
要安装使用ISA服务器,需要满足以下条件:
·具有550 MHz或更高频率的兼容Pentium II的CPU的个人计算机;
·标准版可以安装在Windows Server 2003或Windows 2000 Server操作系统;如果安装ISA Server 2006企业版,需要Windows Server 2003操作系统;
·至少256 MB 内存(推荐至少1G内存);
·与计算机的操作系统兼容的网络适配器,以便与内部网络通讯;对于连接到 ISA Server计算机的每个网络还都需要一个额外的网络适配器;
·一个用NTFS文件系统格式化的本地硬盘分区,并且至少拥有 150 MB 的可用硬盘空间。这是专门用于缓存的硬盘空间。另外,建议留出至少 4 GB 的磁盘空间用于将日志记录到 Microsoft SQL Serve 2000 Desktop Engine (MSDE 2000) 或文本文件。
每台ISA Server 2006大约(最大同时)能带500到1000个左右的客户端,如果企业中的计算机超过这个数量,或者虽然没有超过这个数量,想实现高性能、高安全性(在发生服务器硬件故障时不中断服务),需要使用ISA Server 2006标准版组成“阵列”方式。
ISA Server 2006企业版与标准版,其基本功能:安装连接Internet(作代理服务器)、发布服务器、缓存都是相同的。只是企业版的安装配置比较复杂,当ISA Server 2006企业版安装完毕,其设置过程与步骤与标准版相类似。
11.4.2 多VLAN网络中三层交换机的配置
一些人对软件防火墙有个错误的概念,认为软件防火墙不能支持多网段,实际上是没有了解网络、路由、网关的概念及意义。如果让软件防火墙(包括ISA Server)支持多网段,除了需要在网络中的三层交换机上做正常的设置外,还要在安装软件防火墙的计算机上使用route命令,正确的配置到内网(即局域网中其他网段)的静态路由,这是软件防火墙支持多网段的关键。例如,在图11-3的网络拓扑中,包括12个VLAN,IP地址采用172.30.1.0~172.30.24.0网段,每个VLAN使用最后一个地址作为网关地址(例如VLNA11使用172.30.11.0网段,则网关地址设置为172.30.11.254)。管理员需要在“三层交换机”上,添加到ISA Server计算机的静态路由,而在ISA Server计算机上,添加到其他VLAN的静态路由。
图11-3 ISA Server 2006网络案例
本示例的网络规划如表11-4所示,根据部门和楼层划分了12个VLAN,1个默认路由网段。
表11-4 网络规划地址表
楼层 | 部门 | VLAN | 交换机端口 | IP地址段 | 网关 |
1号楼1层东 | 公关部 | 11 | e 0/1 | 172.30.11.0 | 172.30.11.254 |
1号楼1层西 | 行政部 | 12 | e 0/2 | 172.30.12.0 | 172.30.12.254 |
1号楼2层东 | 财务科 | 13 | e 0/3 | 172.30.13.0 | 172.30.13.254 |
1号楼2层西 | 人事部 | 14 | e 0/4 | 172.30.14.0 | 172.30.14.254 |
1号楼3层东 | 办公室 | 15 | e 0/5 | 172.30.15.0 | 172.30.15.254 |
1号楼3层西 | 商务部 | 16 | e 0/6 | 172.30.16.0 | 172.30.16.254 |
2号楼1层 | 一车间 | 21 | e 0/7 | 172.30.21.0 | 172.30.21.254 |
2号楼2层 | 二车间 | 22 | e 0/8 | 172.30.22.0 | 172.30.22.254 |
2号楼3层 | 三车间 | 23 | e 0/9 | 172.30.23.0 | 172.30.23.254 |
2号楼4层 | 四车间 | 24 | e 0/10 | 172.30.24.0 | 172.30.24.254 |
2号楼5层 | 五车间 | 25 | e 0/11 | 172.30.25.0 | 172.30.25.254 |
1号楼5层 | 服务器 | 55 | e 0/12-20 | 172.30.5.0 | 172.30.5.254 |
默认路由 | 100 | e0/21 | 172.30.1.0 | 172.30.1.2 |
首先要在中心交换机上,设置12个子网的默认路由到一个地址,这里指定了地址为172.30.1.2,设置命令如下(以华为交换机为例):
<3526>sys
Enter system view, return to user view with Ctrl+Z.
[3526]vlan 100
[3526-vlan11]desc "moren wangguan"
[3526-vlan11]port e0/21
[3526-vlan11]inte vlan 100
[3526-Vlan-interface11]ip addr 172.30.1.1 255.255.255.0
[3526] ip route-static 0.0.0.0 0.0.0.0 172.30.1.2
在上面的设置中,设置端口21为172.30.1.0网段,设置默认路由到172.30.1.2。
11.4.3 在计算机上添加到其他网段的静态路由
然后,在将要安装ISA Server 2006的计算机上安装两块网卡,一块网卡连接交换机的e0/21端口,这是默认路由端口,并设置这块网卡的地址为172.30.1.2。另一块网卡设置公网的地址、子网掩码并设置其网关地址(在本示例中,这个公网地址为202.206.197.186,子网掩码为255.255.255.192,网关地址为202.206.197.129)。为了让172.30.1.2可以访问另外12个子网,需要在命令提示符,添加到其他VLAN的静态路由,其命令格式如下
route -p add 172.30.11.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.12.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.13.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.14.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.15.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.16.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.21.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.22.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.23.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.24.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.25.0 mask 255.255.255.0 172.30.1.1
route -p add 172.30.55.0 mask 255.255.255.0 172.30.1.1
在计算机上运行一次这些命令即可,在运行之后,可以使用route print命令查看添加的静态路由:
Network Address Netmask Gateway Address Metric
172.30.11.0 255.255.255.0 172.30.1.1 1
172.30.12.0 255.255.255.0 172.30.1.1 1
172.30.13.0 255.255.255.0 172.30.1.1 1
172.30.14.0 255.255.255.0 172.30.1.1 1
172.30.15.0 255.255.255.0 172.30.1.1 1
172.30.16.0 255.255.255.0 172.30.1.1 1
172.30.21.0 255.255.255.0 172.30.1.1 1
172.30.22.0 255.255.255.0 172.30.1.1 1
172.30.23.0 255.255.255.0 172.30.1.1 1
172.30.24.0 255.255.255.0 172.30.1.1 1
172.30.25.0 255.255.255.0 172.30.1.1 1
172.30.55.0 255.255.255.0 172.30.1.1 1
11.4.4 ISA Server 2006的安装
完成上面的配置后,接下来开始安装ISA Server 2006。
第1步,在安装之前,先检查网络参数:第一块网卡,设置网卡名称为LAN,IP地址为172.30.1.2,子网掩码为255.255.255.0,无网关,如图11-4所示。第二块网卡,设置网卡名称为Internet,IP地址为202.206.197.186,子网掩码为255.255.255.192,网关地址为202.206.197.129,如图11-5所示。
图11-4 LAN地址 图11-5 外网地址
第2步,检查无误后,将ISA Server 2006标准版安装光盘放在光驱中,开始ISA Server 2006标准版的安装。在安装程序界面中,单击“安装ISA Server 2006” ,如图11-6所示。
图11-6 安装ISA Server 2006
第3步,在“许可协议”对话框中选择“我接受许可协议中的条款”单选按钮,然后单击“下一步”按钮。
第4步,在“客户信息”对话框中,键入用户名、单位名称和ISA Server 2006产品序列号,然后单击“下一步”按钮。
第5步,在“安装类型”对话框中,选择“自定义”单选按钮,然后单击“下一步”按钮,在“自定义安装”对话框中,取消对“高级日志”的选择,然后单击“下一步”按钮,如图11-7所示。
图11-7 取消安装高级日志
第6步,在“内部网络”对话框中,单击“添加”按钮,在打开的“地址”对话框中单击“添加适配器”按钮,在打开的“选择网络适配器”对话框中选择连接的网卡局域网lan,然后单击“确定”按钮,如图11-8所示。
图11-8 选择内部网卡
第7步,在“地址”对话框中,检查当前局域网内所有的子网地址是否已经添加,如果没有,在“地址范围”选项组键入未添加的地址,然后单击“添加”按钮。检查地址无误后,单击“确定”按钮返回“内部网络”对话框,如图11-9所示,单击“下一步”按钮。
第8步,在“防火墙客户端连接设置” 对话框中单击“下一步”按钮,如图11-10所示。
第9步,在“服务警告”对话框中单击“下一步”按钮。
第10步,在“可以安装程序了”对话框中单击“安装”按钮。
第11步,在“安装向导完成”对话框中单击“完成”按钮,安装完成。
图11-9 内部网络地址范围 图11-10 客户端连接设置
出处:http://wangchunhai.blog.51cto.com/225186/163605
更多精彩
赞助商链接