ISASERVER使用指南(1).doc
《ISASERVER使用指南(1).doc》由會員分享,可在線閱讀,更多相關《ISASERVER使用指南(1).doc(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
ISA?SERVER使用指南 隨著因特網(wǎng)的使用繼續(xù)擴展,安全和性能也同樣面臨挑戰(zhàn)。在以前僅僅給我們提供了代理服務的軟件漸漸的在我們的要求面前越來越顯得蒼白無力了。怎么辦?我們選擇了尋找新的軟件以及企業(yè)上網(wǎng)的解決方案。從長遠來考慮,我們需要的不僅僅是一個代理軟件,讓企業(yè)職工能夠通過這個代理訪問到外面的世界,讓他們感知外面的世界并且盡快的了解瞬息萬變的市場。我們不但需要主動的去了解世界,而且還需要世界來了解我們。當然,這個時候那么安全和性能就越來越得到企業(yè)和用戶的重視了。當然更加一個迫使企業(yè)的網(wǎng)管們?nèi)ふ腋玫拇碥浖脑蚓褪请S著用戶和訪問量的增加代理軟件的穩(wěn)定性幾乎成幾何數(shù)積的方式遞減。我所試過的代理服務器不算少,每個代理服務器均使用了一個月以上了,但是都不是非常滿意。 大致歸納起來 l?SYSGATE:功能太簡單,效率不是很高,穩(wěn)定性還可以;? l?WINGATE:功能適中,速度效率都還不錯,穩(wěn)定性不好;? l?WINROUTE:功能適中,速度效率基本上來說還可以,穩(wěn)定性也還是不錯;? l?CCPROXY:速度不錯,但是總的來說總有一些或多或少的毛?。? l?INTERNET連接共享:功能太簡單,效率非常一般,穩(wěn)定性還可以;? 還是說說我們單位的大致情況吧。8M專線ADSL接入INTERNET,兩臺HP服務器,網(wǎng)絡中心為100M到桌面,整個企業(yè)網(wǎng)絡為全交換式網(wǎng)絡。企業(yè)內(nèi)部所以科室機器全部需要連接到INTERNET,科室機器大約為200臺。機房有4個,機器大約總共為200臺左右。我們需要能夠隨時控制哪些科室在什么時間段能夠上網(wǎng),并且能夠對這些科室的上網(wǎng)帶寬進行控制。能夠隨時靈活的控制機房是否能夠上網(wǎng)。能夠在企業(yè)內(nèi)部建立若干個WEB和FTP站點,并且通過這個代理服務器發(fā)布到INTERNET上,讓INTERNET上的朋友對這些個資源進行訪問……在使用了這些代理之后,我漸漸的開始失望,難道真的沒有讓我滿意的代理服務器嗎?最后,在朋友的介紹下我們使用了這款微軟發(fā)布的代理服務器——?Internet?Security?and?Acceleration?Server。 首先澄清一點,我絕對不是微軟的槍手,而且微軟也絕對不會找我這種蹩腳的槍手的?;蛘吣銈兛戳宋液筮叺氖褂靡约癐SA的功能之后就不會覺得我在吹噓什么了。 Internet?Security?and?Acceleration(ISA)?Server可以說是原來基于Windows?NT?4.0的MS?PROXY的一個升級版本吧。它在前一版的基礎上修補了許多安全性及緩存上的缺陷,提供了更快速、更安全、更直觀易于管理的系統(tǒng)。并整合了企業(yè)級的防火墻系統(tǒng)及高性能的緩存機制——也就是說,這款軟件不僅僅再是一個代理軟件了,它還充當了一個“防火墻”的功效。 ISA?Server允許被安裝成Cache?mode(緩存模式)、Firewall?mode(防火墻模式)、Integrate?mode(集成模式)三種模式當中的一種。當網(wǎng)絡系統(tǒng)需要通過ISA直接連入Internet的同時,也要對公司內(nèi)部的主機進行相應的保護的話,那么Firewall或Integrate模式正是您所需要的。但在很多企業(yè)沒有任何相關的Internet主機或外部已經(jīng)有防火墻,而他們知識希望能加快網(wǎng)絡間流量傳遞速度,則采用Cache模式是最理想的一種方案了。? 那么ISA能夠提供給大家一些什么服務呢?? 多層防火墻安全? 防火墻可以通過各種方法增強安全性,包括數(shù)據(jù)包篩選、電路層篩選和應用程序篩選。高級的企業(yè)防火墻,如?ISA?Server?所提供的那一種,綜合了所有這三種方法,在多個網(wǎng)絡層提供保護,為企業(yè)提供最低的投入的基礎上最高的回報。 狀態(tài)檢測 狀態(tài)檢查檢查通過防火墻的協(xié)議環(huán)境中的數(shù)據(jù)以及連接的狀態(tài)。在數(shù)據(jù)包層,ISA?Server?檢查在?IP?消息頭中指明的通信來源和目標,以及在標識所采用的網(wǎng)絡服務或應用程序的?TCP?或?UDP?消息頭中的端口。? 動態(tài)數(shù)據(jù)包篩選器能夠使窗口的打開只響應用戶的請求,并且打開端口的持續(xù)時間恰好滿足該請求的需要,從而減少與打開端口相關的攻擊。ISA?Server?可以動態(tài)地確定,哪些數(shù)據(jù)包可以傳送到內(nèi)部網(wǎng)絡的電路層和應用程序層服務。管理員可以配置訪問策略規(guī)則,以便只在允許的情況下自動打開端口,然后當通信結束時關閉端口。這一過程稱為動態(tài)數(shù)據(jù)包篩選,它使兩個方向上暴露的端口數(shù)量減到最少,并為網(wǎng)絡提供更高的安全性,使問題較少發(fā)生。? 集成的入侵檢測 ISA?Server利用一家名為?Internet?Security?Systems?的公司所提供的技術,提供幫助管理員識別諸如端口掃描、WinNuke?和?Ping?of?Death?之類的常見網(wǎng)絡攻擊的這種服務。并且ISA能夠自動對其作出響應。這項技術給?ISA?Server?提供了能識別此類攻擊的集成入侵檢測機制。當識別出這種攻擊時,警報還能同時指出?ISA?Server?應采取什么行動,這些行動可包括向系統(tǒng)管理員發(fā)送電子郵件或尋呼,停止?Firewall?服務,寫入到系統(tǒng)事件日志,或運行任何程序或腳本。? 高性能?Web?緩存 ISA?Server?對?Web?緩存進行了徹底的重新設計,使它可以將緩存放入?RAM?中——我知道現(xiàn)在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的?Web?緩存可提供更強的后端可伸縮性,并提供了更快的?Web?客戶機總體響應時間。這對于企業(yè)內(nèi)部來說尤其重要,因為員工需要快速訪問?Web?內(nèi)容,而企業(yè)也需要適當?shù)墓?jié)省網(wǎng)絡帶寬。這種高速的Web緩存正能夠滿足您的這種需要。? 緩存陣列路由協(xié)議 ISA?Server?使用了緩存陣列路由協(xié)議(Cache?Array?Routing?Protocol,CARP)。因此您可以通過多臺?ISA?Server?計算機組成的陣列來提供無縫縮放和更高的效率。? 活動緩存 通過一個叫做活動緩存的功能,可配置?ISA?Server?使其自動更新緩存中的對象。使用這種功能,ISA?Server?可通過主動刷新內(nèi)容來優(yōu)化帶寬的使用。通過活動緩存,經(jīng)常被訪問的對象在它們到期之前,在低網(wǎng)絡流量時段自動更新。? 統(tǒng)一管理 ISA?Server?利用基于?Windows?2000?的安全性,Active?Directory?服務、VPN?和?Microsoft?管理控制臺(MMC,Microsoft?Management?Console)。所有這些功能,特別是?MMC,會使得管理更容易,因為操作人員熟悉它,并可從一個控制臺同時管理防火墻和?Web?緩存。? 企業(yè)策略和訪問控制 ISA?Server?還支持創(chuàng)建企業(yè)級和本地陣列策略,用于集中實施或本地實施。ISA?Server?可作為獨立服務器安裝或作為陣列成員安裝。為便于管理,各個陣列成員都使用相同的配置。對陣列配置進行修改時,陣列中的所有?ISA?Server?計算機也都將得到修改,包括所有訪問和緩存策略。? 好了,說了這么多了,也許大家都還不是很明白或者正在懷疑是否這個ISA?Server能夠做到這些吧?那么我們以我們企業(yè)為例詳細講解一下ISA的安裝以及調(diào)試還有配置過程吧。 ISA安裝入門篇 在實驗中,我們使用的是企業(yè)版的ISA2000?Server,而開始當然是要進行安裝ISA了哦!在這里我們選擇“Install?ISA?Server”。? 在這里,會要求你輸入10位的數(shù)字“CD?Key”,請大家輸入了之后點擊“OK”確認。然后進入下一步。 面對M$的授權信息你除了點擊“I?Agree”之外還能做些其他什么嗎?至于內(nèi)容嘛還是那些老一套,看不看我覺得都無所謂了。? 在這里,程序會提示請你選擇安裝的路徑以及安裝的方式,在這里,我選擇的是“Full?Installation”,因為即使是完全安裝也只需要花費24.5M的空間,而且安裝速度也是非常的快。所以我還是推薦大家使用完全安裝吧。 如果您的計算機沒有成為域控制器而是一個獨立的服務器的話,那么ISA到這里會向您發(fā)出一個警告。如果您不想配置ISA?Server陣列的話,那么您可以不用理會這個警告,直接“Yes”過去就可以了。? 我們前邊說過的ISA的三種工作模式在這里就要做一個選擇了!我選擇的是集成模式“Integrated?mode”。? 在這里,如果您已經(jīng)安裝IIS的話,那么ISA到這里會提醒你,它會馬上關閉掉IIS所使用的80端口。因為ISA會對80端口進行獨占使用,而這也是基于安全考慮。大家都知道,一個成功的黑客只需要一個80端口就可以對您的硬盤完成格式化的操作——這絕對不是駭人聽聞了,是真的哦。當然,如果您非要在這臺機器做WEB服務的話,那么就只要委屈你使用其他的端口了,但是必須注意的是不能占用80和8080端口。因為80和8080端口都讓ISA強行占用了。? 在這里還是OK吧,不要老是念叨你的WEB服務了,后邊我們有幾乎完美的解決方案的。 在這里選擇CACHE存放的磁盤以及CACHE的容量?,F(xiàn)在已經(jīng)都是寬帶網(wǎng)絡時代了,所以我建議不要把CACHE設得太了,根據(jù)實際使用的情況,在合理分配帶寬的前提下,盡量的使用網(wǎng)絡資源不是很好嗎?我們這里設置的為100M。 到了這里,ISA會請您設置一個本地的IP范圍。我們這里是劃分的一個B類的子網(wǎng),所以,在這里我們的IP范圍為192.168.0.1~192.168.5.255。如果是一般的中小型網(wǎng)絡,采用255.255.255.0做掩碼,用192.168.0.X作為IP地址的話,那么這里請你按照您本地網(wǎng)絡的情況加上這個IP段就可以了。然后“OK”進行下一步。 等待系統(tǒng)復制必要的程序文件。 到了這里,您的ISA就基本已經(jīng)安裝完了,剩下的就是配置方面的事情了。在這里,系統(tǒng)會提示您是否需要進行“向導化配置”。建議大家不要使用這個向導,因為實際上我們根本就用不到其中的一些功能。這里取消掉“Start?ISA?Sserver?Getting?Started?Wizard”前邊的小勾,然后電擊“OK”。 恭喜您,您的ISA?Server已經(jīng)安裝成功了。 我們現(xiàn)在打開“開始”à“程序”à“Microsoft?ISA?Server”à“ISA?Management”。 大家在管理窗口中選中“服務器名稱(BLUEWOLF)”標簽下的“Monitoring”標簽,然后選中“Services”這個標簽,在右邊會出現(xiàn)三個服務內(nèi)容,由于我安裝的是“集成模式”所以在這里有三個服務,他們?nèi)齻€服務最好都能夠正常的啟動起來,這樣你才能使用ISA的所有功能。如果其中有功能不能正常啟動的話,那么就說明這次的ISA需要重新安裝了。如果出現(xiàn)了上述問題,請卸載掉ISA,然后檢查是否有一些服務占用了系統(tǒng)某些ISA必須要使用的資源,還有停掉一些不會用到的服務,然后再安裝ISA吧。這種不能啟動服務的原因你可以查看日志或者是通過經(jīng)驗來進行判斷。一般都是因為軟件沖突才會發(fā)生這些情況的。? 好了,如果服務都啟動了的話,現(xiàn)在我們就來對這個ISA進行最基礎的設置吧。首先保證客戶端能夠正常的上網(wǎng),然后我們再進行其他的限制之類的工作吧。? 默認的,ISA是一個軟件防火墻,不允許任何的數(shù)據(jù)通過它。那么我們現(xiàn)在先要使ISA允許內(nèi)部的所有申請都能夠通過它,這樣內(nèi)部才能訪問到INTERNET上的資源嘛。? 請大家展開“Access?Policy”標簽,然后選中里邊的“Protocol?Rules”點擊鼠標右鍵,然后選擇“新建”à“Rule…”。接著就跟我一步一步進行設置吧。 這里填寫的是這個協(xié)議規(guī)則的名稱,用戶可以根據(jù)自己的需要和喜好自行設置。我這里設置的為“Alow?To?Internet”。 這里是請你選擇這個協(xié)議規(guī)則的處理方法,這里有兩個選擇項目“Allow”和“Deny”,也就是允許通過以及禁止通過。在這里我們是希望LAN內(nèi)的機器允許通過這里訪問外部,所以這里我們選擇“Allow”。? 在這里是讓你選擇這條規(guī)則對那些IP生效,在這里,我們先不進行限制,等以后了再進行修改也可以。這里我們選擇“All?IP?traffic”——允許所有IP通過。 這里是選擇協(xié)議規(guī)則生效的時間段的。在這里您可以根據(jù)您的需要對協(xié)議生效的日期和時間段進行設置。比如說,你想周1至周5的上班時間允許這個規(guī)則生效而周末是全天開放,這些都可以在這里進行設置,非常的靈活。但是這里一個下拉只有讓您暫時選擇一下,然后等后邊了我們再進行詳細的修改吧。這里我們選擇了“Always”。? 這里是對允許通過的客戶端進行授權的,您在這里可以設置允許哪些客戶端通過這里,我們這里先不做限制,等后邊定義了組之后再進行設置修改吧。? OK!這個協(xié)議規(guī)則已經(jīng)都配置完成了。點擊“完成”吧。? 好了,這個規(guī)則配置完成了也就意味著這個時候我們可以通過這個ISA代理上網(wǎng)了。我們現(xiàn)在找一個客戶端,打開IE,然后在IE的“工具”à“Internet選項”à“連接”標簽à“局域網(wǎng)設置”按鈕à“代理服務器”里邊把這臺ISA的內(nèi)部LAN?IP地址填寫進去,然后端口填寫8080,然后確認,保存設置。這個時候,客戶端就可以對INTERNET進行訪問了——當然ISA要已經(jīng)連在了INTERNET上了哦! 至于其他的服務,我建議大家安裝一個ISA的客戶端軟件。這個客戶端在你安裝完了ISA?Server之后,就可以在你安裝的目錄中找到一個共享出來了的目錄,你可以把這個目錄復制下來,然后到其他機器上安裝上,你就可以享受所有的服務了。? 但是還有一個問題,那就是QQ上不了線?。@個問題必須說清楚。因為QQ是正宗的“中國造”所以,ISA不會專門為QQ打開一個協(xié)議規(guī)則。這個協(xié)議規(guī)則還需要我們自己來添加。經(jīng)過我們3天時間的研究,終于把QQ的發(fā)送和接受端口搞清楚了。下邊請大家跟著我們做就可以了。 現(xiàn)在我們來定義一個端口號,以便讓QQ的數(shù)據(jù)能夠順利的出去和進來。我們先展開“Policy?Elements”這個標簽,然后選中“Protocol?Definitions”標簽,并且在上邊單擊鼠標右鍵,然后選擇“新建”à“Definition”。? 在這里選擇這個定義名稱,我在這里取的名稱叫做“Tencent?QQ”。? 下一步了之后就是定義端口號和使用協(xié)議了!在這里,QQ相對于ISA來說需要發(fā)送一個數(shù)據(jù)到服務器的8000端口,而且QQ使用的是UDP協(xié)議,所以我們在這里就按照圖示進行設置。然后下一步。? 在這里的設置稍微復雜一點。我們知道,QQ默認客戶端是使用的4000端口,而增加一個QQ端口就加1。而相對于QQ的客戶端來說就是接受消息了,當然還是使用的是UDP協(xié)議。設定好了之后,請點擊“OK”并且“下一步”確定。? OK了,QQ的定義這里也完成了。現(xiàn)在快去試試吧,保證QQ可以上線了哦,而且你根本就感覺不到有什么延遲,和本機撥號幾乎一模一樣,絕對能夠體現(xiàn)速度?。?!? ISA安裝配置進階篇 通過IP限制上網(wǎng)客戶端 我們前邊的“Protocol?Rul”里邊設置的是允許所有的客戶端通過這個ISA連接到外部的INTERNET上去。但是現(xiàn)在我想要對這個客戶端進行分類,然后在不同時間內(nèi)進行控制哪些IP可以上網(wǎng),哪些IP不能上網(wǎng)。這樣的話,需要怎么做呢?大家還是跟我一步一步的來吧。? 首先我們要定義組。我們展開“Policy?Elements”這個標簽,然后選中“Client?Address?Sets”這個標簽,在上邊單擊鼠標右鍵,選擇“新建”à“Set…”。 然后在“Name”一欄中填寫進一個組名的標識。下邊的描述可以不用寫。然后下邊的IP地址范圍你就可以按照實際需要進行添加了。我這里舉例是用的我們307機房作為例子。我這里的IP地址范圍為192.168.3.2~192.168.3.80。添加好了之后,確認無誤了,點擊“OK”確定保存。? 按照相同的辦法,你就可以添加其他的一些組??吹搅藛??這里就是我添加好了的幾個組。好了,現(xiàn)在讓我們來設置只允許這些組通過ISA對INTERNET進行訪問。? 現(xiàn)在我們回到“Access?Policy”這個標簽下的“Protocol?Rules”,選中右邊的我們最開始建立好的“Allow?To?Internet”協(xié)議規(guī)則,然后鼠標右鍵選擇“屬性”。 我們切換到“Applies?To”這個標簽。然后,選中中間的那個“Client?address?sets?specified?below”。然后我們在下邊的“Client?Sets”框的右邊點擊“Add”按鈕。? 選中我剛才設定的那些組,然后點擊“Add”,將這些組全部添加到右邊的框中,然后點擊OK確定保存。? 這里就已經(jīng)已經(jīng)把選中的組添加進去了,這里我們點擊“確定”就OK了!這下只要不是這些組里的IP地址的話就不能上網(wǎng)了。? 控制上網(wǎng)的時間段 為了合理的利用帶寬,和提高工作效率,我們可以在ISA上對這些組上網(wǎng)的時間段進行控制。想知道怎么做嗎?跟我一起做吧?;氐健癆ccess?Policy”這個標簽下的“Protocol?Rules”,選中右邊的我們最開始建立好的“Allow?To?Internet”協(xié)議規(guī)則,然后鼠標右鍵選擇“屬性”。 在彈出的窗口中選擇“Schedule”日程標簽。然后點擊上邊的“New…”按鈕。? 最上邊的是一個名稱,大家可以根據(jù)自己的喜好輸入。下邊我設置的為星期一到星期五全體人員都可以在上班時間上網(wǎng),而星期六和星期天是全天開放的。具體設置很簡單,大家可以靈活的控制。完成了之后核實無誤就點擊“OK”確認保存。?- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- ISASERVER 使用指南
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經(jīng)上傳用戶書面授權,請勿作他用。
鏈接地址:http://www.3dchina-expo.com/p-1573822.html