ISA server 2004标准版安装指南
ISA2004发布内网SERV-u
ISA2004发布内网SERV-U FTP服务器FTP协议分析大多数的TCP服务是使用单个的连接,一般是客户向服务器的一个周知端口发起连接,然后使用这个连接进行通讯。
但是,FTP协议却有所不同,它使用双向的多个连接,而且使用的端口很难预计。
一般,FTP连接包括:一个控制连接(control connection)。
这个连接用于传递客户端的命令和服务器端对命令的响应。
它使用服务器的21端口,生存期是整个FTP会话时间。
几个数据连接(data connection)。
这些连接用于传输文件和其它数据,例如:目录列表等。
这种连接在需要数据传输时建立,而一旦数据传输完毕就关闭,每次使用的端口也不一定相同。
而且,数据连接既可能是客户端发起的,也可能是服务器端发起的。
其中数据连接模式有两种,一种是主动模式(port mod),在FTP协议中,控制连接使用周知端口21,相反,数据传输连接的目的端口通常实现无法知道,因此处理这样的端口转发非常困难。
FTP协议使用一个标准的端口21作为ftp-data端口,但是这个端口只用于连接的源地址是服务器端的情况,在这个端口上根本就没有监听进程。
FTP的数据连接和控制连接的方向一般是相反的,也就是说,是服务器向客户端发起一个用于数据传输的连接。
连接的端口是由服务器端和客户端协商确定的。
所以,FTP协议的这个特征对ISA转发以及防火墙和NAT的配置增加了很多困难。
如果客户端在防火墙或NAT网关后面,用PORT方式将无法与Internet上的FTP服务器传送文件。
除此之外,还有另外一种FTP模式,叫做被动模式(passive mod)。
在这种模式下,数据连接是由客户程序发起的,和刚才讨论过的模式(我们可以叫做主动模式)相反。
是否采取被动模式取决于客户程序,在ftp命令行中使用passive命令就可以关闭/打开被动模式。
SERV-U FTP服务器发布本文主要讨论ISA2004发布内网SERV-U FTP服务器的方法。
7第七章ISA SERVER2004
根据自身需要进行选择,如选择“自定义安装”,则:
配置内部网络:
单击“添加”,输入内部网段范围:
单击“选择网卡”,配置内网卡:
完成向导的配置:
三、防火墙策略
㈠、部署防火墙策略的原则
1、只允许想要允许的客户、源地址、目标地址、协议。 2、针对相同用户的规则,拒绝的规则要放在前。 3 3、在不影响防火墙执行效果的情况下,将匹配度更高的规 则放在前面。 4、在不影响防火墙执行效果的情况下,将针对所有用户的 规则放在前面。 5、尽量简化规则。 6、ISA 的每条规则都是独立的。 7、永远不要允许任何网络访问ISA 的所有协议。
③、安全性与网络性能的兼顾 ISA SERVER 不仅提供了网络安全性能的保 证,也兼顾了网络性能。用户可以快速的访问网 络而不会注意到防火墙的存在。
ISA SERVER 是通过在其中提供了高性能的缓存功 能来实现的。
使用缓存有些什么好处?
a、降低了对带宽的要求 同样的请求只需要下载一次。 b、提高用户浏览的速度 c、能确保存储内容是最新的 ISA SERVER 能遵守网站上内容的过期设置 d、合理分配带宽 最频繁访问的内容可以设定在非工作时间提前 下载 e、降低对服务器的工作负载
②、负载平衡功能 在企业版引入了负载平衡功能,可以 创建支持冗余和故障恢复的网络环境。
负载平衡功能主要有: 集成网络负载平衡:可以使用多达31台计算 机组成的群集来提供服务器的高可用性。 缓存阵列路由协议:将多台ISA SERVER 计 算机的缓存集成在一起,就像使用一个缓存一样。
2、企业版的弱点
1、WEB 服务的发布
①、“防火墙策略”、“新建”、“WEB服务器发布规则”
②、为WEB发布规则 命名
③、定义要发布的站点
ISA2004 学校教程
当今的网络安全已成为必须重视的一个问题。
微软的ISA2004在用于小型单位或个人构建安全高效的网站时很方便适用(针对有独立的服务器而言)。
ISA2004比ISA2000的功能上改进了很多,ISA2004引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。
ISA2004提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题。
本文介绍了一个用ISA2004构建的一个网站系统的方法。
一、构建网站的现有硬软件环境我用来构建网站的硬件环境是:用一台安装有双网卡的机器作为网站服务器,同时还作为单位内部机器共享上网的代理服务器,其中一块网卡连接Internet,有固定IP的地址。
安装的是Windows2000系统,Web、Ftp服务等正常运行。
现需要安装ISA2004加强安全性。
二、安装ISA2004的前提ISA2004的安装过程比较简单,但在安装前首先要了解安装ISA2004需要的最低要求:①具有300MHz或更高频率的兼容Pentium II的CPU的个人计算机;②Microsoft? Windows Server 2003 或 Windows 2000 Server操作系统。
如果是Windows 2000的操作系统,还必须安装Windows 2000 Service Pack 4 (SP4) 或更高版本、安装Internet Explorer 6或更高版本;③256MB内存;④与计算机的操作系统兼容的网络适配器,对于连接到ISA服务器计算机的每个网络还都需要一个额外的网络适配器以便与内部网络通讯;⑤一个用NTFS文件系统格式化的本地硬盘分区,并且至少拥有150MB的可用硬盘空间。
这是专门用于缓存的硬盘空间。
其次,要根据自己单位的需要,规划好网络安全部署方案。
ISA2004自带了“Internet 边缘防火墙”、“Internet 边缘防火墙”、“分支办公室防火墙”、“安全服务器发布”、“安全 Exchange 服务器SSL VPN”多种方案。
ISA+Server+2004标准版安装指南
ISA Server 2004标准版安装指南一、系统及网络需求要使用 ISA 服务器,您需要:•CPU:至少550MHz,最多支持四个CPU;•内存:至少256MB;•硬盘空间:150MB,不含缓存使用的磁盘空间;缓存需要存放在NTFS分区上;•操作系统:Windows Server™2003 或 Windows®2000 Server 操作系统。
但是如果在运行 Windows2000 Serve r的计算机上安装 ISA Server 2004服务器,那么必须达到以下要求:•必须安装 Windows2000 Service Pack4 或更高版本;•必须安装 Internet Explorer6 或更高版本;•如果您使用的是 Windows2000 SP4 整合安装,还要求打KB821887补丁(“为 Windows 2000 授权管理器运行库配置审核时,安全日志中未记录授权角色的事件”,可在本站下载);•网络适配器:必须为连接到 ISA Server 2004服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器。
但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用。
•DNS服务器:ISA Server 2004服务器不具备转发DNS请求的功能,必须使用额外的DNS服务器。
你或者在内部网络中建立一个DNS服务器,或者使用外网(Internet)的DNS服务器。
•网络:在安装ISA Server 2004服务器以前,应保证内部网络正常工作,这样可以避免一些未知的问题。
二、安装ISA Server 2004下图是我们的网络拓朴结构:在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server机的内部接口(10.0.1.1)作为它的网关和DNS服务器。
ISA_server_操作指南
ISA_server_操作指南HOW TO:安全地将您的公司连接到Internet最近更新: 19-Jul-2001文章ID: CHS300876这篇文章中的信息适用于:Microsoft Windows 2000 ServerMicrosoft Windows 2000 Advanced Server概要本分步指南介绍了在现有的基于Windows 的网络中拥有少于255 台工作站的小型公司如何通过使用Microsoft Internet Security Acceleration (ISA) 防火墙安全服务,将计算机连接到Internet。
1. 安装ISA ServerISA 防火墙需要一台装有两个网络适配器的计算机。
需要将其中的一个适配器连接到内部网络。
将另外一个适配器连接到您的Internet 服务供应商(ISP)。
ISP 能帮助您建立该连接。
防火墙通过阻止Internet 上的其他人访问内部网络或您的计算机上的机密信息,来充当企业Intranet 与Internet 之间的安全屏障。
规划安装可以在独立的计算机上、在作为Windows NT 域成员的计算机上或在作为Windows 2000 Active Directory 域成员的计算机上运行ISA Server Standard Edition。
为实现最高的安全性,应在一台独立计算机上运行ISA Server。
网络适配器的配置涉及到设置连接Internet 的外部接口和连接基于Windows 的网络的内部接口。
您的ISP 应该提供静态IP 地址、子网掩码、默认网关以及一台或多台DNS 服务器。
在连接到ISP 的网卡的TCP/IP 设置中,输入该信息。
一些ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息,这样很好。
配置服务器的网络适配器1.右键单击桌面上的网上邻居,然后单击属性。
2.右键单击您的Internet 连接,单击重命名,然后键入Internet 连接。
浪潮ASE安装过程
浪潮ASE安装过程浪潮ASE(Application Service Engine,应用服务引擎)是一种提供高性能和可扩展性的服务器软件平台。
它可以部署各种应用程序,包括Web应用程序、数据中心应用程序和云计算等。
安装浪潮ASE需要按照以下步骤进行操作:1.系统准备在安装浪潮ASE之前,需要确保系统符合浪潮ASE的最低配置要求。
这包括操作系统版本、CPU和内存要求等。
确认系统准备就绪后,可以开始安装过程。
3.解压安装包4.运行安装程序在解压缩后的目录中,可以找到一个名为"setup.exe"或"install.exe"的安装程序。
双击运行该程序,进入安装向导界面。
5.安装目录选择在向导界面中,需要选择浪潮ASE的安装目录。
建议将其安装到一个独立的目录中,以免与其他软件产生冲突。
6.选择组件安装向导会列出可选择的组件,根据需求选择需要安装的组件。
通常,选择默认选项即可满足大部分应用的要求。
7.配置网络参数在安装过程中,需要配置浪潮ASE的网络参数。
这包括网络端口、IP地址和子网掩码等。
根据实际需要进行配置。
8.输入许可证信息9.开始安装在确认所需的配置信息后,可以点击"安装"按钮来开始安装浪潮ASE。
安装过程可能需要一些时间,请耐心等待。
10.完成安装当安装过程完成后,将显示安装成功的消息。
此时,可以关闭安装程序并退出安装向导。
11.验证安装为了验证浪潮ASE是否正确安装,可以尝试启动浪潮ASE并登录到管理界面。
如果能够成功登录,即表示安装过程已经完成并且浪潮ASE已经准备好运行。
需要注意的是,以上步骤仅为基本安装过程的简要描述。
在实际安装中,可能还需要根据具体的环境要求和需求进行一些额外的配置和调整。
此外,安装过程中需要注意备份重要数据,以免因安装过程中的意外情况导致数据丢失。
ISAServer2004-在域里部署
在域环境中配置ISA Server 2004很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题,主要集中在无法引用域用户和DNS无法解析。
在这篇文章中,我以一个域环境实例,来给大家介绍如何在域环境中配置ISA Server 2004。
从这篇文章,你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。
这个试验的网络拓朴结构如下图所示:这是一个由三台计算机组成的域环境,也许看起来很简单,但是却已经足以模拟域环境中配置ISA Server中的大部分操作。
其中:•Denver(DC/Dns server)FQDN:;IP :10.2.1.2/24;DG:10.2.1.1;DNS:10.2.1.2;备注:这是一台域控,默认网关是ISA Server的内部接口,DNS设置为本机。
•Florence(ISA Server 2004)FQDN:Florence(目前还处于工作组环境,没有加入域,我会在后面的操作中将其加入域);(1)Internal Interface:IP:10.2.1.1/24DG:noneDNS:10.2.1.2(2)External Interface:IP:61.139.1.1/24DG:61.139.1.1DNS:none备注:ISA Server上的IP设置比较讲究,首先DNS只能设置为内部AD的DNS服务器,然后默认网关为外部出口。
•Sydney(Dns/Web server)FQDN:IP:61.139.1.2/24DG:61.139.1.1DNS:61.139.1.2备注:这台计算机用来模拟外部的DNS和Web服务器。
后面我们会在内部的DC上设置DNS的转发,将非域的DNS解析请求转发到此DNS服务器上,然后通过域名来访问这台Web服务器上的一个Web站点。
在这篇文章中,我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙:•在独立服务器上安装ISA防火墙;•将ISA防火墙计算机加入域;•在ISA防火墙上对域管理员进行ISA完全控制的授权;•建立通过验证的域管理员访问外部所有协议的访问规则;•测试该访问规则,通过IP地址来访问外部的Web服务器;•在内部AD的DNS服务器上设置DNS转发;•建立访问规则,允许内部网络的所有用户访问外部的DNS服务;•测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点;•配置ISA防火墙,允许其访问外部站点1、在独立服务器上安装ISA防火墙关于ISA Server 2004的安装已经有多篇文章介绍了,在此就不重复。
Microsoft ISA2004简体中文版2
《Microsoft ISA2004简体中文版》(Microsoft Internet Security and Acceleration (ISA) Server 2004)简体中文版发行时间: 2004年制作发行: Microsoft[已通过安全检测]SYMANTEC.ANTIVIRUS.CORPORATE.V10.0.2.2000(英文精简版本)[已通过安装测试]WinXP+SP2和WIN2003专业版 WIN98软件版权归原作者及原软件公司所有,如果你喜欢,请购买正版软件共享服务时间:每天:8点至24:30点共享服务器:DonkeyServer No3 . DonkeyServer No9软件名称:Microsoft ISA2004简体中文版软件版本:软件大小:53.61 MB软件语言:简体中文软件类别:国外软件 / 共享软件 / 服务器区运行环境:Win2003, WinXP, Win2000, NT, WinME, Win9x作为着名路由级网络防火墙Microsoft® Internet Security and Acceleration Server 2000 (以下简称为ISA Server 2000)的升级版,微软已经在2004年7月13日发布了Microsoft® Internet Security and Acceleration (ISA) Server 2004(以下简称为ISA Server 2004)。
它和ISA Server 2000相比,到底有哪些值得我们期待的新功能呢?本文详细地介绍ISA Server 2004的新特性,并且图文并茂的介绍了ISA Server 2004中新增加的重要功能。
新功能概述和ISA Server 2000相比,ISA Server 2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。
isa2004
目录1.0 简介1.1 此文档的读者1.2 此文档的内容2.0 功能概述2.1 多网络和防火墙策略2.2 系统策略2.3 VPN 集成2.4 用户和身份验证2.5 缓存2.6 配置导出和导入3.0 安装过程3.1 安装要求3.2 网络要求3.3 安装步骤3.4 默认设置3.5 执行熟悉任务的新方法3.6 带有单一网络适配器的 ISA 服务器计算机4.0 功能演练4.1 方案 1:导出配置4.2 方案 2:从内部网络访问 Internet4.3 方案 3:创建和配置受限制的计算机集4.4 方案 4:使用网络模板向导创建外围网络4.5 方案 5:发布外围网络中的 Web 服务器4.6 方案 6:发布内部网络中的 Web 服务器4.7 方案 7:配置虚拟专用网络4.8 方案 8:修改系统策略4.9 方案 9:导入配置1.0 简介Microsoft® Internet Security and Acceleration (ISA) Server 2004 引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型,以及经过改善的管理功能(包括配置导入和导出)。
1.1 此文档的读者如果您符合下列条件,请阅读本文档:∙使用 ISA Server 2000 并希望了解 ISA Server 2004 中的新增功能。
∙使用其他防火墙,在 ISA 服务器方面是一个新手。
∙需要简单地了解 ISA Server 2004 的功能。
∙希望在实验室中设置 ISA 服务器,并希望通过指导性的功能演练来了解如何在公司中实现 ISA 服务器。
有关详细信息,请参阅功能演练。
阅读本指南后,要了解有关 ISA 服务器的特征和功能的更多信息,请参阅 ISA 服务器帮助。
1.2 此文档的内容本文档概述了此版本的 ISA Server 2004 中引入的产品功能,并且提供了安装说明。
最为重要的是,本文档包含功能演练步骤,您可以在实验室环境中进行功能演练,以熟悉产品功能。
002.ISA2004的安装与客户端配置
本节大纲:
ISA的新特性 ISA ISA的安装前准备 ISA的安装配置 ISA实验安排
一,ISA的新特性 一,ISA的新特性
1,多网络架构支持:内网,外网,DMZ, 移动用户 2,增强的虚拟专用网络 3,强大的管理功能:简洁,模板,日志, 报告 4,全面的协议支持 5,深层过滤机制:http过滤,FTP只读 ……
各类客户端的部署说明
如果客户端计算机想通过防火墙连接到Internet,那它必须提前建 立与防火墙的连接类型,根据网络中的传输方式,可以将防火墙客户端 分为三类。
ISA客户端类型 ISA客户端类型
ISA 服务器可以保护三种类型的客户端:防火墙客户端、SecureNAT 客户端和 Web 代理客户端
ISA Server 2004支持的客户端 2004支持的客户端
一、SecureNAT Client
ISA Server 2004在默认情况下这项功能是处于没有启用 状态,启用该功能后,只要客户端用户设置此网关连接即可 访问外部网络。前提是需要管理员开放相应的对外缓存权限, 另外客户端的连接机制只能采用IP地址过滤方式。
二,安装ISA2004 安装ISA2004
2,安装ISA2004 (见下图)
安装界面 点击“安装 ISA Server 2004” 开始安装 这是免费的ISA2004 简体中文 120天 评估版 没有正式版稳定 但功能依然强大
ISA2004的安装向导出现了: 开始按向导安装吧!!!
1.协议 (哎! 不看了 反正不是正版) 2.产品序列号
安装类型: 让我们看一下自定义 中的选Байду номын сангаас: (更改:是改变安装的路径)
总共4项: 1:防火墙服务器 2:ISA服务器管理 3.客户端安装共享 4.消息筛选器 典型安装: 就是只安装1和2 完全安装: 就是1234都安 自定义就由你选啦!
ISA2006操作文档专业版
ISA Server 2004服务器操作文档目录1.ISA SERVER 2004简介 (3)2.安装ISA Server 2004 (10)3.配置ISA Server 2004 (18)4.日常管理维护工作 (18)5.一般故障恢复 (19)一.ISA Server 2004简介作为著名路由级网络防火墙ISA Server 2000的升级版,ISA Server 2004引入了多网络支持,易于使用且高度集成的虚拟专用网络配置,扩展的和可扩展的用户和身份验证模型,深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出),管理更方便快捷。
1.系统及网络需求要使用ISA Server 2004服务器,需要:●CPU:至少550Mhz,最多支持4个CPU●内存:至少256MB(虽然一般情况下64M的内存下都可以运行ISA Server2004,但是性能不好)●磁盘空间:150MB,不含缓存使用的磁盘空间●操作系统:为了得到更好的性能,推荐使用Windows Server 2003系统●网络适配器:必须为连接到ISA Server 2004服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器。
●DNS服务器:ISA Server 2004服务器不具备转发DNS请求的功能,必须使用额外的DNS服务器。
●网络:在安装ISA Server 2004服务器以前,应保证网络正常工作,这样可以避免一些未知的问题。
二.安装ISA Server 20041.简要的安装步骤:⑴.安装Windows Server 2003系统,打好补丁,安装杀毒软件。
⑵.安装ISA Server 2004企业版⑶. 配置ISA Server 2004的策略2.具体的安装步骤如下:当点击ISA Server 2004的安装应用程序,出现如下图点击安装,点击”接受协议中的条款”, 点击”下一步”点击”安装ISA服务器和配置存储服务”,点击”下一步”在”自定义”页,你可以选择安装的组件,默认情况下,会安装防火墙服务器和ISA服务器管理,然后点击下一步在下一提示框中选择建一个新的ISA服务,点击下一步在内部网络页,点击”添加”按钮在地址添加对话框中,点击”添加范围”在下面的网络地址栏添加内部网地址范围添加完所有的地址段后点击下一步在下面的提示框中勾上”允许运行早期版本的防火墙客户端软件的计算机连接”,点击下一步开始安装ISA Server 2004点击完成ISA Server 2004安装完毕.三..配置允许所有内部用户访问Internet的所有服务的访问规则在ISA Server 2004中,防火墙策略是由网络规则,访问规则和服务器发布规则三者的结合。
ISA Server 2004 系统策略
ISA Server 2004 系统策略Microsoft Internet Security and Acceleration (ISA) Server 2004 包含一种默认的系统策略配置,允许使用网络基础结构正常运行通常所需的服务。
从安全角度来讲,通常强烈建议用户配置系统策略以便不允许访问非管理网络所必需的服务。
请在安装后仔细查看配置的系统策略规则。
同样,请在执行完主要的管理任务后再次查看系统策略配置。
本文档将描述系统策略规则所启用的一些服务。
目录●网络服务●身份验证服务●远程管理●防火墙客户端共享●诊断服务●连接验证程序●SMTP●预定下载作业●访问Microsoft 网站●其他资源网络服务安装ISA Server 时就启用了基本网络服务。
安装后,ISA Server 可访问名称解析服务器和内部网络上的时间同步服务。
如果网络服务由不同的网络提供,应当修改适用的配置组源以应用特定网络。
例如,假定DHCP 服务器不在内部网络而在外围网络上。
则修改DHCP 配置组源,以应用于该外围网络。
用户可修改系统策略,以便只可以访问内部网络上的特定计算机。
或者,如果服务位于其他位置,也可以添加其他网络。
下表显示了应用于网络服务的系统策略规则。
配置组规则名称规则描述DHCP 允许从 ISA Server 到内部网络的 DHCP 请求允许从 DHCP 服务器到 ISAServer 的 DHCP 答复允许 ISA Server 计算机使用 DHCP(答复)和 DHCP(请求)协议访问内部网络。
DNS 允许从 ISA Server 到所选服务器的 DNS 允许 ISA Server 计算机使用 DNS 协议访问所有网络。
NTP 允许从 ISA Server 到受信任的 NTP 服务器的 NTP 允许 ISA Server 计算机使用 NTP (UDP) 协议访问内部网络。
DHCP 服务如果DHCP 服务器不在内部网络上,则必须修改系统策略规则以便其应用于DHCP 服务器所在的网络。
ISA Server 2004 SP2 使用指南
ISA Server 2004 SP2 使用指南微软于2006年1月31日发布了ISA Server 2004的SP2,针对的ISA Server产品包含标准版和企业版,其中企业版是在没有发布过SP1的情况下直接发布的SP2。
ISA Server 2004 SP2 除了修复过去发现的一些问题外,主要新增了以下特性:∙提供了针对Microsoft Update的BITS缓存支持;∙提供了HTTP压缩以及针对HTTP压缩的应用层状态过滤支持;∙支持通过DiffServ协议实现数据包优先级;新增特性BITS缓存支持后台智能传输服务(BITS)将体积较大的文件拆分为多个小块,当网络空闲时进行传输,然后在目的地组合接收到的小块数据,从而可以利用空闲带宽传送大量数据而不影响网络性能,Windows Update就是通过这种方式来下载Microsoft Update 上的更新程序。
但是对于SP2之前的ISA Server而言,BIT S方式传输的数据块并不是一个完整的对象,所以不能进行缓存。
在ISA Server 2004 SP2中,提供了针对Microsoft Update 的BITS数据缓存支持,从而支持缓存BITS数据块。
SP2中内建了一条针对Microsoft Update 的BITS缓存的Microsoft Update 缓存规则,你也可以配置任何缓存规则启用B ITS缓存支持。
Microsoft Update 使用一种机制来允许使用特定版本Windows操作系统的计算机只是请求和接收包含它们所需要的更新信息的范围,而ISA Server可以缓存这些HTTP范围请求,从而使缓存处理更为高效并且可以节省大量的网络带宽。
需要注意的是,ISA Server 2004 SP2 中提供的BITS缓存支持只是支持Microsoft Update、SUS Server和WSUS Server,并不支持第三方的BITS传输机制;ISA Server 2004 SP2中内建的Mic rosoft Update 缓存规则在计算缓存对象的大小时,只是计算数据包的负载长度,并不包括数据包头的长度。
ISA Server 2004配置详解
ISA Server 2004配置详解ISA2004本地主机访问规则ISA 2004本机访问外界,需要建立从本地主机到外部网络的相应协议访问策略。
所有网络(和本地主机)指的是所有的网络(内网和公网),本地主机指的是ISA服务器。
如图01所示。
图01本地主机允许通过所有出站去访问任何能连接到的网络,相对于安全的角度讲此处设置的外网(其它网络)访问本地主机的规则是只能过FTP和HTTP的21和80来访问本地服务器主机。
2.允许所有内部用户访问Internet的所有服务ISA2004和ISA2000相比,再也不要求必须为用户所访问的服务定义协议,只需要一条策略就可以让内部客户完全的访问Internet上的所有服务。
如图02所示。
图023.使用访问规则来禁止对某些网站的访问首先建立要禁止网站的域名集,在防火墙策略选项的右边工具栏中的网络对象中新建一个如图03所示的被禁的网站的域名集。
图03在此为防火墙策略新添加了名称为禁止上某一网站的规则,内容是这样的:拒绝所有受保护的网络(安装ISA时设定的地址范围和本地主机)访问被禁止的网站。
这些站点主要考虑不健康网站或可能带木马网页的网页,为了安全不让客户端访问。
如图04所示。
图04使ISA更加安全为了使ISA服务器更加安全,需要做两个设置:第一个设置是其它网络访问本地主机的规则,然后在弹出的“为规则配置HTTP 策略”对话框中右击,取消选择“阻止高位字符”和阻止包含Windows可执行内容的响应。
如图05所示。
图05第二:如果有必要的话,还可以控制响应文件的扩展名,在如图07所示中选择扩展名,然后进行编辑。
注意:出于安全考虑,ISA Server 2004 默认是不允许FTP上传的(即不能写FTP服务器),取消的办法是:在允许访问FTP服务器的规则上(在这儿是无限制的Internet访问)上点击右键,然后选择“配置FTP”,把“只读”选项去掉。
如果不想让某些客户端能过已建的规则访问设定的网站,除了修改和删除防火墙策略中的控制规则以外,最好的方法是可将其规则停止,如图06所示,内网无限制上网规则为停用。
ISA Server2004的安装与使用(1)
实验一ISA Server2004的安装与使用(一)一、试验目的:学习使用ISA Se rver为代表的软件防火墙使用。
二、试验内容:通过使用ISA Server2004,配置试验环境,观看试验结果并进行分析,理解防火墙对网络安全的重要作用。
三、试验环境:(1)已安装ISA Server2004的服务器虚拟机。
(2)至少两台Windows2003或者xp的客户机和服务器虚拟机。
四、本次课程试验内容(参考企业试验手册):1、安装ISA Server2004,并搭建试验环境,配置各虚拟机的地址信息,测试内外网络的通信。
(试验手册模块A)1. 创建如图1所示的三台虚拟机,并且按照拓扑图配置IP信息。
图1 实验拓扑图2.创建如图所示的虚拟机图2 创建虚拟机3.由于先安装好了ISA 2004 所以要先在ISA服务器管理里配置允许ping命令,才能检查等下配置的NAT功能有没有对。
图3 配置允许ping 命令图4 配置NAT图5 内网计算机已经能ping通外网2、配置针对所有用户内网到外网的http通信(试验手册模块B)。
练习1允许来自客户端计算机的出站WEB访问1,测试连接性图6 测试连接性2,在ISA 2004 上配置web 访问规则图7 添加web 访问规则3,内网计算机能够访问外部服务器图8 http访问正常图9 ftp 访问正常4,新建计算机集图10 新建计算机集5,创建拒绝受限计算机策略图116,再次访问外部服务器,已经不能进行访问了。
图127,当改变防火墙策略顺序时(把允许上移到拒绝前)发现又能访问外部服务器了。
图138,删除拒绝受限规则。
练习2 启用客户端计算机上使用ping 命令由于前面已经启用,就不再赘述。
练习3 允许从ISA 2004 进行出站访问1,在ISA 2004上由于没有配置允许策略,所以默认访问外部服务器是拒绝的。
图14 不能访问外部ftp服务器2,创建允许策略图15 创建允许策略3,应用之后再次访问ftp服务器,发现已经能够访问了。
ISA Server 2004管理入门篇
ISA Server 2004 應用層級防護能力
只有被允許的應用程 式封包可以通過。
企業網路
網際網路
傳統防火牆 應用層防火牆
IP標頭 Source Address, Dest. Address, TTL, Checksum
TCP標頭 Sequence Number Source Port, Destination Port, Checksum
應用層內容
<html><head><meta httpquiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC MSNBC Front Page</title><link rel="stylesheet"
常見架構模式(一)
中文ISA Server 2004管理主控台
全新改良設計的直覺化管理介面
請立即更新 ISA Server 2004 SP2
SP2提供哪一些新特色
支援BITS快取 HTTP壓縮 提供流量優先權設定 支援Windows Server 2003 R2 支援SQL Server 2005 新的憑證警示機制 服務品質監控支援(SQM)
唯一使用ISA Server做為邊緣防火牆
常見架構模式(二)
整合企業現有硬體式防火牆架構
ISA Server 2004 多重網路架構
每一張網路介面卡均 連接到每一個網路 每一個網路都與其他 網路有所區隔 可以在每個網路間定 義不同的存取原則 只有設定允許通訊的 規則,才能加以存取
ISA Server 2004快速入门
ISA Server 2004快速入门
朱宏志
【期刊名称】《《Windows & Net Magazine:国际中文版》》
【年(卷),期】2004(000)11M
【摘要】作为微软公司最新推出的企业级防火墙和性能优异的缓存服务器产品。
ISA Server 2004在用户界面、功能、特性上比上一版本的产品都有很大改变。
本文将带您迅速上手ISA Server 2004。
【总页数】7页(P59-65)
【作者】朱宏志
【作者单位】国内某公司IT主管
【正文语种】中文
【中图分类】TP393
【相关文献】
1.ISA Server 2000实战入门之加快访问Internet的速度 [J], SOHO123
2.ISA Server 2000实战入门之VPN的建立 [J], SOHO123
3.ISA Server 2000实战入门——性能的监视与优化 [J], SOHO23
4.ISA Server 2000实战入门之配置安全的Internet访问 [J], soho123
5.ISA Server 2004王者舞步曲——第一曲迪斯科——ISA Server 20004安装配置 [J], 陈洪彬;董茜
因版权原因,仅展示原文概要,查看原文内容请购买。
可信赖的ISA Server 2004
可信赖的ISA Server 2004
Karen; Forster; 刘海蜀(译)
【期刊名称】《《Windows IT Pro Magazine:国际中文版》》
【年(卷),期】2005(000)008
【摘要】ISA Server 2004作为企业级的防火墙软件产品,它是否比其它产品更
安全?它的开发是否与其它的微软产品有所不同?请听听来自微软开发经理的回答。
【总页数】3页(P53-55)
【作者】Karen; Forster; 刘海蜀(译)
【作者单位】《Windows; IT; Pro; Magazine》的编辑部主管; 不详
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.用ISA Server 2004和网络版瑞星杀毒软件构建安全双保险 [J], 李相汝
2.基于ISA2004和Windows Server2003实现VPN技术 [J], 刘竹涛
3.ISA Server 2004异机迁移 [J], 张波
4.理解ISA Server 2004规则的构建和理解 [J], 贺武征
5.ISA Server 2004王者舞步曲——第一曲迪斯科——ISA Server 20004安装配置 [J], 陈洪彬;董茜
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISA Server 2004标准版安装指南本文网站:/一、系统及网络需求要使用ISA 服务器,您需要:∙CPU:至少550MHz,最多支持四个CPU;∙内存:至少256MB;∙硬盘空间:150MB,不含缓存使用的磁盘空间;缓存需要存放在NTFS分区上;∙操作系统:Windows Server™2003 或 Windows®2000 Server 操作系统。
但是如果在运行Windows2000 Server的计算机上安装ISA Server 2004服务器,那么必须达到以下要求:∙必须安装Windows2000 Service Pack4 或更高版本;∙必须安装Internet Explorer6 或更高版本;∙如果您使用的是Windows2000 SP4 整合安装,还要求打KB821887补丁(“为 Win dows 2000 授权管理器运行库配置审核时,安全日志中未记录授权角色的事件”,可在本站下载);∙网络适配器:必须为连接到ISA Server 2004服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器。
但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自Internet 的内容使用。
∙DNS服务器:ISA Server 2004服务器不具备转发DNS请求的功能,必须使用额外的DNS 服务器。
你或者在内部网络中建立一个DNS服务器,或者使用外网(Internet)的DNS服务器。
∙网络:在安装ISA Server 2004服务器以前,应保证内部网络正常工作,这样可以避免一些未知的问题。
二、安装ISA Server 2004下图是我们的网络拓朴结构:在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server 机的内部接口(10.0.1.1)作为它的网关和DNS服务器。
我们安装的版本是ISA Server 2004中文标准版(Build 4.0.2161.50)。
运行ISA Server 20 04安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装,如下图:点击“安装ISA Server 2004”,出现安装界面:点击“下一步”,在“许可协议”页,选择“我接受许可协议中的条款”,点击“下一步”。
在客户信息页,输入个人信息和产品序列号,点击“下一步”继续。
在安装类型页,如果你想改变ISA Server的默认安装选项,可以点击“自定义”,然后点击"下一步":在“自定义”页你可以选择安装组件,默认情况下,会安装防火墙服务器、ISA服务器管理,防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。
如果你想安装消息筛选程序,需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。
点击“下一步”继续:在内部网络页,点击“添加”按钮。
内部网络和ISA Server 2000中使用的LAT已经大大不同了。
在ISA Server 2004中,内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。
防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。
在地址添加对话框中,点击“选择网卡”,出现“选择网卡”对话框:在“选择网卡”对话框中,移去“添加下列专用范围...”选项,保留“基于Windows路由表添加地址范围选项。
选上连接内部网络的适配器,点击OK。
在弹出的提示对话框中点击OK。
在内部网络地址对话框中点击OK:在内部网络页点击“下一步”:在防火墙客户端连接设置页上,如果你的客户机上使用了ISA Server 2000的防火墙客户端,则可以勾选“允许运行早期版本的...”,点击“下一步”:在服务页,点击“下一步”:在可以安装程序了页点击安装:在安装向导完成页,选择“在向导关闭时运行ISA服务器管理”,然后点击“完成”。
此时,会出现Microsoft Internet Security and Acceleration Server 2004 控制台。
三、配置ISA Server 2004服务器在ISA Server 2004中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。
网络规则定义了不同网络间如何访问,而访问规则则定义了用户(内、外网)的访问,服务器发布规则则定义了如何让用户访问服务器。
1、网络规则网络规则定义并描述网络拓扑。
网络规则确定两个网络之间是否存在连接,以及定义如何进行连接。
网络连接的方式有:∙网络地址转换(NAT):当指定这种类型的连接时,ISA 服务器将用它自己的IP 地址替换源网络中的客户端的IP 地址。
当定义内部网络与外部网络之间的关系时,可以使用NAT 网络规则。
∙路由:当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标网络。
源客户端地址包含在请求中。
当发布位于DMZ网络中的服务器时,可以使用路由网络规则。
路由网络关系是双向的。
如果定义了从网络A 到网络B 的路由关系,那么从网络B 到网络A 也存在着路由关系。
相反,NAT 关系则是唯一的和单向的。
如果定义了从网络A 到网络B 的NAT 关系,则不能定义从 B 到 A 的网络关系。
您可以创建定义双向关系的网络规则,但是ISA 服务器将忽略有序规则列表中的第二条网络规则。
安装时,会创建下列默认规则:∙本地主机访问。
此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。
∙VPN 客户端到内部网络。
此规则指定在两个VPN 客户端网络(“VPN 客户端”和“被隔离的V PN 客户端”)与内部网络之间存在着路由关系。
∙Internet 访问。
此规则定义了在内部网络与外部网络之间存在的NAT 关系。
2、访问规则(1)防火墙系统策略在安装ISA Server 2004服务器时,会创建默认的系统策略。
系统策略允许ISA Server 2004服务器访问它连接到的网络的特定服务。
在防火墙策略上点击右键,指向“查看”,然后点击“显示系统策略规则”,或者点击图标栏上最右边的快捷图标:右边出现了系统策略,如下图所示,标注的地方表明,ISA Sevrer 2004服务器可以像任何网络发起DNS 请求。
注意:所有系统策略类别都是在安装ISA 服务器时默认启用的,我们建议你根据自己的需求来禁用不需要的系统策略类别。
(2)访问策略现在我们需要建立一条访问策略以允许内部网络客户访问外部网络(Internet),同时,因为内部网络客户需要访问ISA Server 2004服务器上的DNS服务器以解析域名,我们也需要建立一条策略以允许内部网络客户访问ISA Server 2004服务器的DNS服务。
新建一条允许内部客户访问外部网络的所有服务的访问规则:在防火墙策略上点击右键,指向“新建”,然后点击“访问规则”。
在“新建访问规则向导”的访问规则名称文本框中,输入“Allow all outbound traffic”,然后点击“下一步”。
然后在“规则操作”页,选择“允许”,点击“下一步”;在协议页,选择“所有出站通讯”,点击“下一步”;在访问规则源页,点击“添加”,在“添加网络实体”对话框,双击“内部”,然后点击“关闭”,点击"下一步";在访问规则目标页,点击“添加”,在“添加网络实体”对话框,双击“外部”,然后点击“关闭”,点击"下一步";在用户集页,接受默认的所有用户,点击"下一步";在新建访问规则向导页,回顾你选择的设置,然后点击“完成”;新建一条允许内部客户访问ISA Server 2004服务器上的DNS服务的访问规则主要步骤和上面一条一样,不同的地方:规则名:Allow internal acces firewall's dns service协议页选择“所选的协议”,然后点击“添加”选择通用协议下的“DNS”。
访问规则目的为“本地主机”:此时,ISA Server 2004的管理控制台应该如下图所示,点击“应用”以保存修改和更新防火墙策略。
在应用新配置对话框,点击“确定”。
此时,ISA Server 2004服务器的初步配置已经完成,内部客户可以访问外部网络的所有服务,也可以访问ISA Server 2004服务器上的DNS服务。
注意:只能访问ISA Server 2004服务器上的DNS服务,其他的服务都会被禁止(如ping等),因为你没有在策略中明确允许这一点。
启用缓存启用缓存有两个条件,首先是设置了缓存所用的驱动器,其次是设置缓存规则。
(1)设置缓存所用的驱动器在ISA Server 2004管理控制台的“缓存”上点击右键,选择“定义缓存驱动器”。
注意,此时的缓存上有个向下的红色箭头,表明没有启用缓存。
在定义缓存驱动器对话框中,根据你自己的网络带宽及流量进行设置,不过需要注意的是,缓存驱动器必须采用NTFS分区格式。
(2)设置缓存规则此时“缓存”上已经没有向下的箭头了,表明已经设置了缓存驱动器。
在“缓存”上点击右键,指向“新建”,点击“缓存规则”。
在“新缓存规则向导”页,输入名称“Cache external content”,然后点击“下一步”。
在缓存规则目标页,点击添加,选择“外部”,点击“下一步”;在内容检索页,接受默认的“只有在缓存中存在对象的...”,点击“下一步”;、在缓存内容页,接受默认的“如果源和请求头指明要缓存”,你可以根据你的需要勾选下面的选项,点击“下一步”;在缓存高级配置页,根据你自己的需要进行设置,点击“下一步”;在HTTP缓存页,接受默认的选项,点击“下一步”;在FTP缓存页,取消“启用FTP缓存”的勾选(你可以根据你的需求进行设置),点击“下一步”;在新缓存规则向导页,回顾你的设置,然后点击“完成”。
点击“应用”以保存修改和更姓防火墙策略,ISA Server 2004会弹出一个警告提示你,选择“保存更改,并重启动服务”,然后点击“确定”。
成功后你会在缓存规则栏里面看见新的缓存规则。
取消FTP的只读最后谈一点,ISA Server 2004默认是不允许FTP上传的(即不能写FTP服务器)。
取消的办法是:在允许访问FTP服务器的规则上(在这儿是Allow all outbound traffic)上点击右键,然后选择“配置FTP”,在配置FTP协议策略对话框中,取消“只读”的勾选,点击确定,最后点击“应用”以保存修改和更新防火墙策略。