在ISA Server 2006中发布邮件访问服务
ISA Server 2006 性能最佳操作
ISA Server 2006 性能最佳操作Microsoft? Internet Security and Acceleration (ISA) Server 2006 提供网络之间受控的安全访问,并充当一个提供快速Web 响应和卸载功能以及用于远程访问的安全Web 发布的Web 缓存代理。
它的多层体系结构和高级策略引擎为您需要的安全级别和所要的资源之间的平衡提供了精确的控制。
在一台边缘服务器连接多个网络时,与组织中的其他服务器相比,ISA Server 要处理大量流量。
因此,ISA Server 是专为高性能而构建的。
本文为部署具有最佳性能和充足容量的ISA Server 提供指南(本文还包含指向英文网页的链接)。
摘要在大多数情况下,可用网络带宽(特别是Internet 链路带宽)可通过运行在可用的入门级硬件上的ISA Server 来保护。
对于各种Internet 链路,典型的保护超文本传输协议(HTTP) 流量的出站Web 访问的默认ISA Server 部署需要以下特定硬件配置。
下表列出了这些硬件配置(有关详细信息,请参阅本文档中的―Web 代理方案‖)。
使用传输层状态筛选而不是Web 代理筛选器,将同样流量模型的CPU 使用率提高了10 倍。
状态筛选和应用程序筛选可同时使用,以便对性能进行精确控制。
返回页首规划ISA Server 容量了解容量需求是确定ISA Server 部署所必需的资源的第一步。
对于大规模的部署,会有几种具体的部署情况。
一般情况下,您可能需要考虑下列衡量指标:•连接到ISA Server 计算机的每个网络上的可用和实际带宽。
•组织中的用户数量。
•应用层的各种衡量指标(例如,邮件服务器中的平均邮箱大小)。
对于ISA Server 容量的最重要的衡量指标是实际网络带宽,因为它们通常代表真实的容量需求。
在许多情况下,网络带宽(特别是Internet 链路的网络带宽)可以确定ISA Server 容量。
ISA+Server+2006
ISA Server 2006Microsoft Internet Security and Acceleration Server 2006简称I SA Server 2006,是微软公司推出的一款重量级的网络安全产品,被公认为X 86架构下最优秀的企业级路由软件防火墙。
ISA Server 2006具备着防火墙、应用层防护、VPN与网页缓存等优异功能,凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能,在企业中有着广泛的应用。
ISA Server 2006安装在Windows server 2003 服务器上,可以说与Windows server 2003 是绝配搭档,是企业网络安全防护的极佳选择。
1. ISA Server 2006 的主要功能ISA Server 2006 是一个符合现代化企业需求的多功能产品,其优异功能包含:防火墙(firewall)防火墙可以过滤进出内部网络的流量,可以利用它来控制内部网络与因特网之间的通信,以增加网络的安全性。
也可以利用它安全地发布企业内部的服务器,如电子邮件服务器、FTP服务器、网站等,以便让客户与合作伙伴来访问内部网络的资源。
ISA Server 2006 除了一般数据包筛选功能外,还提供了许多应用程序筛选器,它可以针对应用程序来筛选数据包。
虚拟专用网(VPN)虚拟专用网可以让远程用户与局域网(LAN)之间,或者是分别位于两地的局域网之间,通过因特网来建立一个安全的通道。
网页缓存(web cache)通过将用户经常访问的网页保存到ISA Ser ver 2006 的硬盘与内存,不但让用户更快地访问到所需要的网页,同时也可以提高网络的效率、节省网络的带宽。
2.缓存的运作方式与缓存的种类ISA Server 2006 缓存的运作方式ISA Server 2006 将用户所需的网页对象保存到缓存区(硬盘或内存)后,可以让其他用户很快取得所需的网页对象。
国家开放大学电大《网络系统管理与维护》机考第三套真题题库及答案
国家开放大学电大《网络系统管理与维护》机考第三套真题题库及答案盗传必究试卷总分:100 答题时间:60分钟客观题一、单项选择题(共10题,共40分)1. 一旦把内部网络中的计算机配置成为Web代理客户端,它们将只能够把本地用户访问Internet的()对象的请求提交给ISA Server,由ISA Server代为转发。
A HTTPB SNMPC PingD PPTP2. 域管理员可以使用()对域中的某一部分对象进行单独的管理。
A 用户策略B 组织单位C 文件夹D 计算机策略3. 在一个Windows域中,成员服务器的数量为()。
A 至少1台B 至少2台C 至少3台D 可有可无4. ()是一种电子设备,用来测量并连续显示信号的电压及信号的波形。
A 协议分析仪B 示波器C 数字电压表D 电缆测试仪5. 在一个Windows域中,至少需要()台域控制器。
A 1台B 2台C 3台D 4台6. 在事件查看器中,()日志记录Windows操作系统自身产生的错误、警告或者提示。
例如:当驱动程序发生错误时,这些事件将被记录到上述日志中。
A 系统B 应用程序C 安全性D 活动目录7. ()病毒是一种寄生在磁盘引导区的计算机病毒,它用病毒的全部或部分取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其它地方A 引导型B 文件型C 破坏型D 传染型8. 在组策略中,计算机策略仅对()生效A 文件夹B 文件C 用户账户D 计算机账户9. 在一个Windows域中,更新组策略的命令为:()。
A Gpupdate.exeB Nbtstat.exeC Ipconfig.exeD Ping.exe10. 常见的备份工具有()A GhostB IEC 防火墙D RAS服务器二、多项选择题(共2题,共10分)1. 计算机病毒的特征有:、和。
A 可执行性B 易于打印C 隐蔽性D 传染性2. 在一个域中,计算机的角色有:、和。
A 路由器B 域控制器C 成员服务器D 工作站三、判断题(共8题,共20分)1. 在设置组策略时,当父容器的组策略设置与子容器的组策略设置没有冲突时,子容器会继承父容器的组策略设置。
(2021春)国家开放大学电大专科《网络系统管理与维护》操作题及配伍题题库答案
(更新版)国家开放大学电大专科《网络系统管理与维护》操作题及配伍题题库答案盗传必究一、操作题题目1在一台安装了 Windows操作系统的服务器Server2上,管理员需要创建一个账户策略,以确保用户密码长度最小值为8字符,操作步骤:步骤1:—B_步骤2:在左侧导航栏中,展开“账户密码” 一—C__步骤3:在右侧窗格中,右击 A ,并单击“属性”步骤4:在弹出的对话框中,在文本框中输入_F__,然后单击“确定”。
步骤5:关闭“本地安全策略”窗口。
A.密码长度最小值。
B.登录服务器Server2,在桌面左下角右击“Win图标"一“运行”,在弹出的“运行”对话框中输入secpol. msc,单击"确定”。
C.密码策略。
D.已启用。
E.密码必须符合复杂性要求。
F.8 o题目2在域abc com中有一个域用户账户userl,该账户位于组织单位“0U1”中,该组织单位上已经链接了一个名为“GP01”的GPOo管理员已经把一个名为“cosmol”的软件指派给用户userlo现在,管理员需要使用组策略,把该用户的“cosmol”软件强制升级为新版本“cosm02”软件。
要求:从答案选项中选择正确的选项,将其对应的字母填写在空白的步骤中,从而把步骤补充完整。
【操作步骤】:步骤1:将新版本软件“cosm02”的源文件和cosm02. msi文件复制到软件发布点中。
步骤2:B步骤3:在弹出的窗口中,执行:“用户配置"一“软件设置” 一右击“软件安装” 一在快捷菜单中选择“新建” 一“程序包”。
步骤4:A步骤5:在弹出的对话框中选择“高级”,然后单击【确定】。
步骤6:在弹出的窗口中单击“升级”选项卡,然后单击【添加】。
【答案选项】A.在弹出的对话框中,单击“查找范围"处的下拉式箭头,找到待发布软件文件所在的网络位置,选中该软件的cosm02. msi文件,然后单击【打开】。
B.在域控制器上,单击“开始” 一“程序” 一“管理工具” 一“组策略管理” 一 0U1-*右击GP01 一编辑。
利用ISA_Server2006发布DMZ区服务器[整理]
![利用ISA_Server2006发布DMZ区服务器[整理]](https://img.taocdn.com/s3/m/40c4491a0640be1e650e52ea551810a6f524c88c.png)
利用ISA Server2006发布DMZ区服务器上次咱们通过设置防火墙策略使内网用户可以上网了,并且通过配置缓存加快了访问Internet的速度。
今天我们的任务就是把外围区域(DMZ)的服务器发布出去。
我重点会去说web服务器的发布。
其它的服务比如:mail、FTP、DNS都是一样的,大家掌握一种方法其它的就都学会了啊。
拓扑图在下面,前面两次虽然也是这幅图,但我们一直没有说到的一个地方,就是DMZ 区域,在ISA Server中它又叫外围区域。
接下来我们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。
为什么不让他们直接访问而要通过发布的方式呢?因为如果没有防火墙的保护,直接暴露在外网的话,估计不到两分种就歇菜了。
什么病毒啊,黑客啊全来了。
所以我们要把它们发布出去,这样Internet上的用户访问外网接口,就等于访问了DMZ区域中的服务器。
我想大家在路由器上都应该做过NA T,NA T有个技术叫PA T,它也可以用来发布服务器,通过端口来定位服务。
咱这和那个道理是一样的。
我们还要把这些服务器发布到内网——而不是让他们直接访问,为什么呢?“家贼难防”!,就不用解释了。
来看看具体的步骤吧!首先还是分析一下拓扑。
为了大家看起来方便我把大概的的信息罗列到下面:1. DMZ区域中有两台服务器,分别是:1>.web服务器主机名: IP:172.16.1.20/16 GW:172.16.1.12>.mail服务器主机名: IP:172.16.1.10/16 GW:172.16.1.12. ISA Server的三块网卡IP分别为:1>.内网卡LAN IP:192.168.1.1/242>外围网卡DMZ IP:172.16.1.1/163>外网卡W AN IP:61.134.1.4/8主要的TCP/IP参数就是上面罗列的那些,其他没说到的咱们边做边说吧。
第一部分:创建并配置DMZ区域前面一直是这个图,但其实DMZ区我们并没有去用到它,所以这之前我们一直是一种边缘防火墙的部署方式。
Windows域环境下部署ISA2006企业版
Windows域环境下部署ISA Server 2006防火墙(一)安装和配置ISA Server 2006服务器及客户端ISA Server 2006可以部署在各种规模的网络中,不同的部署方式可以针对不同规模的企业。
为其提供一个安全的解决方案。
ISA Server 2006主要有三大功能:第一、将其部署成一台专用防火墙,作为内部用户接入Internet的安全网关;第二、利用ISA Server 2006,企业内部用户能够向Internet发布服务器;第三、ISA Server 2006可以像代理防火墙一样,通过服务器的缓存实现网络的加速。
这三大功能咱们都会说到。
今天先来看一下如何在域环境下部署ISA Server 2006.ISA Server 2006有两个版本,标准版和企业版。
咱们今天用的是企业版,在安装之前先说一些注意事项如下:1、硬件配置是否支持(这个问题在这个年代,应该不是个问题,呵呵!)2、是否已存在ISA Server3、是否需要缓存功能4、是否进行安全服务器的发布5、windows域环境是否已搭建好6、ISA Server的应用有多大规模为什么要注意上面所说的几个问题呢?主要还是考虑到性价比的问题。
如果要求不是很高,完全用不着企业版,标准版足亦!还能节省成本,毕竟这玩艺儿还不是很便宜。
再说一下ISA Server 2006的组件,想有效地部署ISA Server 2006,必须了解ISA Server 2006的各个组件及其功能。
ISA Server 2006主要由下面的组件构成:1、阵列——阵列是对一组ISA Server 2006服务器的统一管理方式。
并且它们可以共享同样的配置。
2、配置存储服务器——用于存储企业中全部阵列的配置信息,是ISA中最重要的部分3、ISA服务器服务——运行防火墙、VPN和缓存服务的ISA服务器4、ISA服务器管理——用于管理企业和阵列成员的管理终端本次以及后面要说的ISA Server 2006部分都会依据下面这幅拓扑图。
isa2006特性一瞥
特性一瞥对内部的 Microsoft 服务器的安全的远程访问特性描述针对基于窗体的验证由防火墙产生窗体。
ISA Server 2006 能够产生由Outlook Web Access 站点使用的窗体,用于基于窗体的验证。
这项针对Outlook Web Access 站点进行远程访问改进的安全措施,能够防止未经验证的用户与 Outlook Web Access 服务器进行联系。
使用 SSL 对终端服务进行远程访问。
运行Windows Server 2003 操作系统的计算机支持通过 SSL 的 RDP 允许一个 SSL 连接到 Windows Server 2003 终端服务上。
通过 ISA Server 2006,您可以使用 SSL 技术的终端服务器,更加安全地发布 Windows Server 2003。
强制通过Microsoft Outlook 消息和协作的 MAPI 客户端与Microsoft Exchange RPC 连接。
ISA Server 2006 安全的 Exchange Server 发布规则使远程用户能够通过Internet,使用全部功能的 Outlook MAPI 客户端,连接到 Exchange Server。
尽管如此,Outlook 客户端必须设置成使用安全的 RPC ,只有这样连接才能进行加密。
利用ISA Server 2006 RPC 策略,您可以阻止所有非加密的 Outlook MAPI 客户端连接。
Outlook Web Access 发布向导。
通过来自 SSL VPN 核心的 SSL 连接进行无委托的远程访问。
ISA Server 2006 Outlook Web Access 发布向导带您漫步创建防火墙规则,以及创建与您的 Exchange 服务器连接的Outlook Web Access SSL。
在这个向导中能够创建所有的网络要素,而且在创建策略要素的时候,无需离开这个向导。
ISA Server 2006简介
一.ISA Server 2006简介ISA Server2006的主要功能缓存的运作方式与换成的种类防火墙的设置种类ISA Server与VPN的集成多重网络的支持数据包筛选基本概念ISA Server 2006企业版的特色二.安装与测试ISA Server 2006安装ISA Server前的环境规划安装ISA Server 2006测试ISA Server 防火墙是否安装成功三.网页缓存高速缓存与硬盘配置设置缓存规则Web链高级缓存设置定时自动下载网页内容删除缓存区的数据四.彻底剖析ISA Server客户端ISA Server客户端概述测试环境的搭建ISA Server的配置“Web代理客户端”的配置“SecureNAT客户端”的配置“防火墙客户端”的配置自动发现(Automatic Discovery)验证用户身份自动安装Microsoft Firewall Client选择适当的客户端五.开放访问因特网与系统监视开放访问网页、FTP与电子邮件系统监视六.开放与阻挡实时通信与P2P软件实时通信与P2P软件简介开放与阻挡Windows Live Messenger、MSN Web Messenger、Windows Messenger 开放与阻挡其他实时通信与P2P软件通过要求验证用户身份来阻挡利用组策略来限制实时通信软件的执行利用“防火墙客户端”的应用程序设置来阻挡追踪与分析实时通信与P2P软件的数据包特性七.开放访问内部网络的资源内部网络的发布概论发布内部DNS服务器发布内部网站与网站服务器场发布内部SSL网站与SSL网站服务器场发布内部邮件服务器发布内部SMTP Relay发布Exchange SSL OWA网站八.开放访问三向防火墙的DMZ资源建立DMZ网络与配置网络规则发布DMZ内的DNS服务器发布DMZ内的网站与网站服务器场发布DMZ内的SSL网站与网站服务器场发布DMZ内的SMTP Relay九.开放前后端防火墙之间的DMZ资源建立Back-to-Back防火墙测试环境发布Back-to-Back防火墙的DMZ SMTP Relay 十.架设ISA Server虚拟专用网络(VPN)VPN基本概念启用ISA Server VPN服务器启用L2TP/IPSec VPN服务器隔离的VPN客户端Back-to-Back防火墙+VPN服务器建立L2TP/IPSec与PPTP的站对站VPN建立IPSec隧道模式的站对站VPN站对站VPN+VPN客户端访问Back-to-Back防火墙+站对站VPN十一.入侵检测ISA Server支持的入侵检测项目启用入侵检测与警报设置十二.远程管理ISA Server远程管理—利用“远程桌面连接”远程管理—利用“ISA Server管理控制台”十三.CARP与NLB的构建CARP与NLB基本概念NLB构建实例演示CARP构建实例演示ISA Server隶属于工作组的环境构建。
ISA2006 发布 FTP 服务器
用ISA2006发布FTP服务器,需要二个大的步骤,一是通过IIS建立FTP服务器,二是来用ISA2006发布。
因本文档主要说明的是如何对FTP进行发布,故省下IIS建立FTP服务器的步骤。
ISA的发布实际上是路由的一种映射,下面来看详细的步骤。
打开ISA2006,在左侧的策略中选择“防火墙策略”在其右侧的“防火墙策略任务”中选择“发布非Web服务器协议”:
在“新建服务器发布规则向导页面”填写好服务器发布规名称:
下一步后得到“选择服务器”,填写FTP服务器的IP地址:
之后“下一步”在“选择协议”处选择“FTP服务器”:
然后“下一步”,在“网络侦听器IP地址界面”选择“所有网络(和本地主机)”,这样的目地是为了,让所有的计算机都可以访问这个FTP服务器。
最后“下一步”看到完成界面,核实好配置的信息后选择“完成”,最后在上方应用,这样FTP服务器即发布完成了。
isa2006_发布内部网站web
发布内部网站web很多小型企业限于资金紧缺,无法让Web 服务器得到很好的安全防护,往往就把一台Web 服务器孤零零地扔在IDC 机房里。
这么处理的结果可想而知,Web 服务器要么被黑客们当成了练兵场,要么沦为肉鸡,成为下一次网络攻击的踏板,能够毫发无伤全身而退的基本是凤毛麟角。
其实,只要在Web 服务器上用防火墙保护一下,效果就要好上很多,一般普通的攻击都可以挡住。
提到这里,有些老板又要邹眉头了,“防火墙好是好,就是这个成本,太,太高了一些….. ”。
错!今天我们提供的这种保护Web 服务器的方案并不需要额外的硬件投入,只要在Web 服务器上安装上软件防火墙ISA2006 ,利用ISA 的Web 服务器发布功能就能享受到低投入高安全的乐趣。
我们准备了一台Web 服务器SERVER1 进行测试,如下图所示,SERVER1 有个测试用的网站,我们来看看如何利用ISA2006 保护这个可怜的Web 服务器。
大致思路是这样的,在Web 服务器上安装一块虚拟网卡,将Web 站点建在虚拟网卡上,在ISA上用Web 发布规则把虚拟网卡上的Web 站点发布到物理网卡上。
这个过程听起来平淡无奇,为什么还值得大书特书一番呢?关键就是要避免IIS 和Web 侦听器的冲突。
两者都要监听80端口,前面安装ISA时,我们提到过ISA服务器上不应该有进程守护80 端口,就是为了避免和Web 侦听器冲突。
但现在我们不得不考虑如何解决80 端口的冲突问题,这篇文章关键之处就在这里。
解决冲突有两种方法,端口重定向和取消HTTP 套接字池,具体容我一一道来。
但之前先将实验环境搭好,包括创建虚拟网卡,安装ISA2006 等。
搭好后的实验拓扑如下图所示。
一安装虚拟网卡要在Web 服务器上安装ISA ,首先要有两块以上的网卡,这倒用不着专门去买一块新网卡,我们在Web 服务器上添加一块虚拟网卡就可以了。
微软在系统中提供了Loopback 回路网卡,Loopback 网卡就是能提供协议绑定的虚拟网卡,我们只要添加一块Loopback 网卡就可以了。
ISA2006
ISA Server的防火墙策略
网络规则
网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接,以及 定义如何进行连接。网络连接的方式有:
网络地址转换 (NAT):当指定这种类型的连接时,ISA 服务器将用它自己的 IP 地 址替换源网络中的客户端的 IP 地址。 当定义内部网络与外部网络之间的关系时, 可以使用 NAT 网络规则。 路由:当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标 网络。源客户端地址包含在请求中。当发布位于 DMZ 网络中的服务器时,可以 使用路由网络规则。
门户Web 服务器 外出人员
邮件 服务器
内网Web 服务器
DMZ区
VPN Internet
Internal Network
SharePoint
总部 ISA 2006 服务器 Active Directory
分部
管理员
内容
ISA Server 介绍 ISA 2006 的典型应用 ISA Server 2006 的架构解析 利用防火墙策略控制网络访问 服务器的发布 - Web 服务器的发布 - 非 Web 服务器的发布 VPN 的配置与启用 流量控制
外部防御与控制 内部防御与控制 采取缓解与控制措施 日志与报警
通过TCP连接检测防御外部强洪水式(DDOS/SYN/CC)攻击 利用防火墙策略阻隔非法入站请求
通过TCP连接检测防御内部蠕虫病毒攻击 利用防火墙策略阻隔非法出站请求
自动阻塞非法数据流并查询攻击者DNS名或IP 全面自动化的警报发出和日志记录
ISA Server 介绍 ISA 2006 的典型应用 ISA Server 2006 的架构解析 利用防火墙策略控制网络访问 服务器的发布 - Web 服务器的发布 - 非 Web 服务器的发布 VPN 的配置与启用 流量控制
电大(网络系统管理与维护)专科期末复习题
2017年电大(网络系统管理与维护)专科期末复习题一、填空题1.为了保证活动目录环境中各种对象行为的有序与安全,管理员需要制定与现实生活中法律法规相似的各种管理策略,这些管理策略被称为(组)策略。
2.在设置组策略时,当父容器的组策略设置与子容器的组策略设置发生冲突时,(子)容器的组策略设置最终生效。
3.在ISA Server中,防火墙的常见部署方案有:(边缘)防火墙、(三向)防火墙和(背对背)防火墙等。
4.ISA Server支持三种客户端:(web代理)客户端、(防火墙)客户端和(SecureNat)客户端。
5.(UPS)电源是一种在市电中断时仍然能够为网络设备提供持续、稳定、不间断的电源供应的重要外部设备。
6.一旦对父容器的某个GPO设置了(“强制”),那么,当父容器的这个GPO的组策略设置与子容器的GPO的组策略设置发生冲突时,父容器的这个GPO的组策略设置最终生效。
7.软件限制规则有:(哈希)规则、(证书)规则、(路径)规则和(Internet区域)规则。
8.在ISA Server上配置发布规则时,内部网络中希望被发布的计算机必须为(SecureNat)客户端。
9.(逻辑)类故障一般是指由于安装错误、配置错误、病毒、恶意攻击等原因而导致的各种软件或服务的工作异常和故障。
10.在活动目录中,计算机账户用来代表域中的(成员)。
11.一旦对某个容器设置了(“阻止继承”),那么它将不会继承由父容器传递下来的GPO设置,而是仅使用那些链接到本级容器的GPO设置。
12.在ISA Server中,为了控制内部用户访问Internet,管理员需要创建(访问)规则。
13.如果计算机策略与用户策略发生冲突时,以(计算机)策略优先。
14.(复合型)型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。
15.(正常)备份是最完整的备份方式,所有被选定的文件和文件夹都会被备份(无论此时其“存档”属性是否被设置)。
使用ISAServer发布服务器
使用ISAServer发布服务器布服务器使用ISAServer2006公布受其爱护的服务器,是ISAServer的第2个要紧功能。
ISAServer是目前惟一能真正公布安全Web站点的防火墙软件,本节将通过一些具体的实例,介绍用ISAServer公布服务器的方法及注意..11.6 公布服务器使用ISA Server 2006公布受其爱护的服务器,是ISA Server的第2个要紧功能。
ISA Server是目前惟一能真正公布安全Web站点的防火墙软件,本节将通过一些具体的实例,介绍用ISA Server公布服务器的方法及注意事项。
11.6.1公布Web站点大多数的硬件防火墙和软件的代理服务器,在对外公布服务器时,差不多上通过端口映射的方式来公布服务的。
举例来讲,Web服务使用TCP 的80端口,一样的防火墙在公布Web服务器时,差不多上将“外网”IP地址的、TCP协议的80端口转发到内网的1台Web服务器上,同时1个I P地址只能转发1个,如果需要将内网中的多台Web服务器(不在同一台运算机上,也确实是讲,内网的IP地址不是1个时)转发到Internet上时,一样的服务器就没有了那个“功能”,目前只有ISA Server系列防火墙能够实现那个功能。
使用ISA Server 2006公布内网的Web服务是专门灵活的。
那个地点通过举例来讲明ISA Server 2006公布Web服务器的方法。
第1步,打开ISA Server 2006操纵台,右击“防火墙策略”选项,从显现的菜单中选择“新建”→“网站公布规则”命令,如图11-75所示,打开“欢迎使用新建邮件服务器公布规则”页。
第2步,在“欢迎使用新建Web公布规则向导”页中,在“Web公布规则名称”文本框中,键入标识信息,例如,“公布Web服务器”,然后单击“下一步”按钮。
第3步,在“请选择规则操作”页中,单击“承诺”单选按钮,然后单击“下一步”按钮。
微软ISA2006功能概述
�
防火墙是指设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一 系列部件的组合。它是不同网络或网络安全域之 间信息的唯一出入口,能根据企业的安全政策控 制(允许、拒绝、监测)出入网络的信息流,且 本身具有较强的抗攻击能力。它是提供信息安全 服务,实现网络和信息安全的基础设施。 ----在逻辑上,防火墙是一个分离器,一个限制 器,也是一个分析器,有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。
易于使用
增强的性 能
ISA Sபைடு நூலகம்rver 2006 常见部署场景
� ISA
Server 做为边缘防火墙运行
� 阻止所有Internet通讯除非该通讯是明确被允许 � 发布内部服务器比如 WEB或EXCHANGE � 为远程用户提供VPN网关 � 提供代理和缓存服务
LAN LAN Web Web Server Server Web Web Server Server
LAN LAN ISA ISA Server Server or or other other VPN VPN gateway gateway ISA ISA Server Server LAN LAN
VPN VPN Tunnel Tunnel Server Server Corporate Corporate Headquarters Headquarters Internet Internet User User
ISA ISA Server Server VPN VPN
Server Server Exchange Exchange Server Server
Internet Internet User User Remote User
ISA2006-详细实例实验手册
ISA2006-详细实例实验手册LT同意软件许可协议,选择下一步。
输入用户名,单位及序列号等参数后,来到安装类型界面,如下图所示,选择自定义安装。
选择ISA2006的安装组件,从下图可知,只有ISA服务器和ISA服务器管理两个组件。
有ISA2004经验的管理员要注意,ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持,消息筛选被Forenfront取代,ISA客户端共享需要用手工共享的方法实现。
接下来设置内网的地址范围,点击“添加”按钮。
顺便提一下,这个参数很重要,因为在ISA中网络是防火墙策略中最基本的一个考虑因素,具体我们回头再说。
设置内网范围时,点击“添加适配器”,如下图所示,选择与内网相连的网卡,点击确定。
这里建议大家最好把ISA上的网卡根据实际连接情况命名为内网,外网,外围等,以方便后续使用。
根据我们提供的网卡,ISA将内网的地址范围设置为10.1.1.0-10.1.1.255,点击确定。
安装程序询问是否允许不加密的防火墙客户端连接。
不加密的防火墙客户端指的是ISA2000之前的防火墙客户端,ISA2000之后的防火墙客户端支持数据加密,安全性更好,由于在实验环境中不需要使用早期防火墙客户端,因此我们不用勾选“允许不加密的防火墙客户端连接”。
安装程序警告我们在安装过程中有些服务会重新启动,选择“下一步”。
完成了参数设置,终于开始安装了。
如下图所示,点击“完成”,结束了ISA2006的常规安装。
至此,我们完成了ISA2006的常规安装。
安装过程并不复杂,相信大家都可以完成,难的地方在后面的管理部分,慢慢来吧。
二ISA2006标准版的无人值守安装ISA2006的无人值守安装原理是很简单的,常规安装时我们通过交互方式输入安装参数,无人值守时只需事先将安装参数写到答案文件中,然后让ISA的安装程序从答案文件中获取参数就可以了。
因此我们实现ISA2006的无人值守只需要注意两点:1)如何创建答案文件2)如何让安装程序调用答案文件先解决第一个问题。
ISAServer2006使用经验与部分疑难问题解决
实用I S A S e r v e r2006使用经验与部分疑难问题解决经贸大学王春海某市政府使用ISA Server做代理服务器与防火墙软件,至今已有几年时间,期间出现过一些问题,现将一些使用经验与“疑难”问题的解决方法整理出来,供需要的朋友参考。
1、ISA 502错误一天,科技局的人告诉我,说他们在登录“省科学技术厅”的“网上管理中心”时,不能上报材料,错误信息如下(如图1所示):网络访问消息: 不能显示此页技术信息(供支持人员使用)错误代码: 502 Proxy Error。
The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)经过检查,发现该使用了TCP的8443作为SSL的端口,而在默认情况下是使用TCP的443端口。
而ISA默认只允许TCP 443端口的https协议,其它端口都不允许通过。
解决方法:在ISA用“记事本”新建一个文本,保存为扩展为为vbs的文件。
文本文件容如下:文档set isa=CreateObject("FPC.Root")set tprange=isa.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRangesset tmp=tprange.AddRange("SSL 8443", 8443,8443)tprange.Save这里需要注意的地方是第3行小括号里的三个数字,意义是名称,端口上限,端口下限。
在这里需要访问的是TCP的8443。
保存退出,双击运行该脚本,在运行的时候没有提示,如果再次运行,会提示设置已经存在。
Exchange企业邮件与Windows安全应用(答案)
1. Contoso公司采用ISA Server 2006企业版作为企业的 Internet防火墙,公司内网有一台启用了SSL的Exchange服务器,现在管理员希望外网用户也可以使用OWA。
应该怎么做()(选择一项)A.在ISA上创建web服务器发布规则B.在ISA上创建服务器发布规则C.在ISA上创建Exchange Web客户端访问发布规则D.在ISA上创建访问规则标准答案:C2. Contoso公司采用ISA Server 2006企业版作为企业的 Internet防火墙,几个月以后公司的IT运维经理要求检查ISA这几个月的运行情况。
ISA管理员应该如何实现()(选择一项)3. Contoso公司采用ISA Server 2006企业版作为企业的 Internet防火墙,公司内网有一台启用了SSL的Web服务器,现在管理员希望外网用户也可以访问该网站。
它应该怎么做()(选择一项)A.在ISA上创建web服务器发布规则B.在ISA上创建服务器发布规则C.在ISA上创建邮件服务器发布规则D.在ISA上创建访问规则标准答案:A4. Contoso公司采用ISA Server 2006企业版作为企业的 Internet防火墙,管理员希望了解过去一个月公司员工web流量的使用情况,如何实现()(选择一项)A.利用ISA生成报告,查看摘要B.利用ISA生成报告,查看Web使用C.利用ISA生成报告,应用程序使用D.利用ISA生成报告,通讯和使用标准答案:B5. ISA提供了众多的监视工具,帮助网络管理人员了解ISA的工作情况,以下哪些功能不属于ISA的监视功能()(选择一项)A.警报B.会话C.数据包筛选器D.日志标准答案:C邮件通过MAPI(微软提供的一套用于邮件收发的接口)方式提交,并直接写到用户邮箱的发件箱中。
B.当运行在邮箱服务器角色上的“Microsoft Exchange邮件提交”服务发现用户发件箱中的邮件时,他将挑选一个中心传输服务器角色,并且提交一个新邮件通知给中心传输服务器上的存储驱动程序。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在Exchange 服务器提供的邮件访问服务功能中,最常用的是以下三个:
∙基于Web协议的OWA,让客户端可以通过Web浏览器访问邮件服务;
∙基于RPC协议的MAPI,让客户端可以通过Outlook访问邮件服务,具有最完整的用户服务特性;
∙SMTP协议,用于邮件服务器之间的邮件转发,和非MAPI客户端的邮件发送;
在这篇文章中,我将给大家介绍如何在ISA Server 2006 中发布这三个服务。
本文中的试验环境如下图所示,ISA Server 2006 作为边缘防火墙,连接Internet和内部网络,并未加入域;内部网络的IP地址范围为10.1.1.0/24,部署了域,Berlin是域控制器,并安装了DNS/证书权威/Exchange服务,在这个试验中,我将发布Berlin上的邮件服务;WSS是内部网络中的一台服务器,安装了Windows SharePoint Services 提供内部门户站点,我将在另外一篇文章中给大家介绍如何发布SharePoint 站点服务和实现单点登录(Single Sign On)。
一、发布OWA
在ISA Server 2006 中发布OWA服务和ISA Server 2004 基本一致,其实发布OWA服务和发布安全Web服务非常相似,通常的流程为:
∙在Exchange 服务器上安装服务器证书并配置OWA站点使用SSL连接。
注意:如果在ISA Server 和Exchange服务器之间需要安全连接,则不能在Exchange服务器上启用基于表单的身份验证;
∙在Exchange 服务器上导出OWA站点的服务器证书(含私钥);
∙在ISA Server 上将OWA站点服务器证书的证书颁发机构的CA证书导入到本地计算机的受信任的根证书存储中,再导入OWA站点的服务器证书;
∙在ISA Server 上确认访问OWA服务没有任何错误或警告提示;
在ISA Server 上创建OWA服务发布规则;
前面四个步骤我在此就不详细描述了。
如下图所示,我已经把OWA站点的服务器证书和对应的CA证书导入到ISA Server;
然后,需要在ISA Server 上访问OWA站点进行测试,注意在访问过程中不能出现任何错误或警告提示,否则你的OWA发布将会失败。
另外需要注意的是,如果在Exchange 服务器上针对OWA启用了基于表单的身份验证,那么就不能在ISA Server 和Exchange 服务器之间使用安全(HTTPS)连接,因此如果你需要在ISA Server 和Exchange 服务器之间启用安全连接,则必须在Exchange 服务器上取消基于表单的身份验证。
在准备工作做完以后,就可以创建OWA发布规则了,在此我以发布位于 (10.1.1.8)上的OWA服务为例。
在ISA Server 2006 管理控制台中,右击防火墙策略,指向新建,选择Exchange Web 客户端访问发布规则,
在弹出的欢迎使用新建Exchange 发布规则向导页,输入规则名称后点击下一步;
在选择服务页,选择对应的Exchange 服务器版本,然后选择发布服务类型,完成后点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用SSL来连接到被发布的Web服务器或服务器场(即使用HTTPS协议进行连接),点击下一步;
在内部发布细节页,在内部站点名栏输入被发布的OWA站点的名称,为了避免ISA不能正常解析此名字而导致发布失败的情况,建议你总是勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,完成后点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我输入外部域名,点击下一步;
在选择侦听器页,点击新建,在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,点击下一步;
在侦听器SSL证书页,点击选择证书按钮选择对应的服务器证书,完成后如下图所示,点击下一步;
在身份验证设置页,接受默认的HTML表单验证和Windows(Active Directory)验证方式,点击下一步;
在单点登录设置页,目前我并不启用单点登录,我将在后面一篇关于发布WSS的文章中结合此文章中的配置来设置单点登录,在此我直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,接受默认的身份验证委派方式基本身份验证,这也是OWA站点的默认身份验证方式。
ISA Server 上配置的身份验证委派方式必须和OWA站点上的身份验证方式一致,否则发布将失败。
点击下一步;
在用户集页,接受默认的所有经过身份验证的用户,这样ISA Server 将对请求访问的用户进行身份验证,点击下一步;
在正在完成新建Exchange发布规则向导页点击完成,此时OWA发布规则就创建好了。
在ISA Server 2006 管理控制台中点击应用保存修改并更新防火墙策略。
现在我们在外部客户上访问进行测试,访问成功,如下图所示:
二、发布MAPI和SMTP服务
在ISA Server 2006 中提供了邮件服务器发布向导,可以同时发布多种邮件访问服务,在此我将利用此向导同时发布MAPI和SMTP服务。
MAPI服务基于RPC协议,RPC协议的访问需要动态开放高端端口(1024~65535),在ISA Server 2004 之前,由于没有防火墙可以做到RPC协议的应用层过滤,因此从安全性考虑,通常都是禁止了RPC协议的直接访问而通过RPC over HTTPS来实现MAPI服务的访问。
从ISA Server 2004 开始,ISA Server 实现了针对RPC协议的应用层过滤,因此你可以直接发布基于RPC协议的MAPI服务而不需要经过RPC over HTTPS的转换。
在ISA Server 2006 管理控制台中,右击防火墙策略,指向新建,选择邮件服务器发布规则,
在弹出的欢迎使用新建邮件服务器发布规则向导页,输入规则名称后点击下一步;
在选择访问类型页,选择客户端访问:RPC,IMAP,POP3,SMTP,点击下一步;
在选择服务页,勾选Outlook(RPC)和SMTP(standard port),ISA Server 将会根据你的选择为每个服务创建一条发布规则,点击下一步;
在选择服务器页,输入服务器的IP地址,点击下一步;
在网络侦听器IP地址页,勾选外部网络,点击下一步;
在正在完成新建邮件服务器发布规则向导页点击完成,此时邮件服务器发布规则就创建好了,如下图所示:
在ISA Server 2006 管理控制台中点击应用保存修改并更新防火墙策略。
现在我们在外部客户上使用Outlook测试MAPI服务的访问,访问成功,如下图所示:
测试邮件发送:
对方成功接收到邮件,
最后我们通过Telnet 来测试发布的SMTP服务,发布成功,如下图所示:。