实验12 网络防火墙与ISA Server 2004

How to ：在域环境中配置ISA Server 2004很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DN S无法解析。

在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 200 4。

从这篇文章，你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。

这个试验的网络拓朴结构如下图所示：这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Serve r中的大部分操作。

其中：Denver（DC/Dns server）FQDN：；IP ：10.2.1.2/24；DG：10.2.1.1；DNS：10.2.1.2；备注：这是一台域控，默认网关是ISA Server的内部接口，DNS设置为本机。

Florence（ISA Server 2004）FQDN：Florence（目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；（1）Internal Interface：IP：10.2.1.1/24DG：noneDNS：10.2.1.2（2）External Interface：IP：61.139.1.1/24DG：61.139.1.1DNS：none备注：ISA Server上的IP设置比较讲究，首先DNS只能设置为内部AD的DNS服务器，然后默认网关为外部出口。

Sydney（Dns/Web server）FQDN：IP：61.139.1.2/24DG：61.139.1.1DNS：61.139.1.2备注：这台计算机用来模拟外部的DNS和Web服务器。

后面我们会在内部的DC上设置DNS 的转发，将非域的DNS解析请求转发到此DNS服务器上，然后通过域名来访问这台Web服务器上的一个Web站点。

在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙：在独立服务器上安装ISA防火墙；将ISA防火墙计算机加入域；在ISA防火墙上对域管理员进行ISA完全控制的授权；建立通过验证的域管理员访问外部所有协议的访问规则；测试该访问规则，通过IP地址来访问外部的Web服务器；在内部AD的DNS服务器上设置DNS转发；建立访问规则，允许内部网络的所有用户访问外部的DNS服务；测试内部DNS解析请求的转发，并通过域名来访问外部的Web站点；配置ISA防火墙，允许其访问外部站点1、在独立服务器上安装ISA防火墙关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。

用ISA Server2004为局域网把关
飞翔鸟
【期刊名称】《网管员世界》
【年(卷),期】2006(000)006
【摘要】我们通常都从IP地址入手来控制网内用户对Internet的访问，比如IP 与MAC地址的绑定加上路由器的MAC地址过滤，或者是将交换机端口与MAC 地址绑定等。

但是这些方法应用起来并不方便，如果遇上用户修改IP与MAC地址、交换机为非可网管的情况，就起不到应有的作用了。

【总页数】2页(P132-133)
【作者】飞翔鸟
【作者单位】江苏
【正文语种】中文
【中图分类】TP393.07
【相关文献】
1.医院局域网的VLAN划分与ISA2006的适应调整 [J], 陈国耿
2.结合 ISA2000 和长角牛网络监控机实现对局域网内用户的分组管理 [J], 王艳娜
3.基于ISA构建安全局域网 [J], 詹自熬;赵玉娟
4.打好局域网病毒“歼灭战”——ISA 2004防毒实战 [J], 乱笔涂鸦
5.选择ISA Server2004的十大理由——微软公司为提高网络安全的最新力作 [J], MichaelOtey;刘海蜀
因版权原因，仅展示原文概要，查看原文内容请购买。

isa防火墙如何配置isa防火墙要怎么样去配置，才能更好的使用呢?下面由店铺给你做出详细的isa防火墙配置介绍!希望对你有帮助!isa防火墙配置一：配置ISA Server网络环境网络环境中是否有必要安装ISA、是否可以安装ISA、安装前ISA 保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题，本文将具体阐述一下。

文章导读1、ISA server概述2、边缘防火墙模型 3、单网络与多网络模型ISA Server 2004是目前世界上最好的路由级软件防火墙，它可以让你的企业内部网络安全、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。

你可以在网络的任何地方，如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。

ISA Server 2004对于安装的要求非常低，可以说，目前的服务器对于ISA Server 2004的硬件系统需求都是绰绰有余的。

ISA Server作为一个路由级的软件防火墙，要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等，它并不像其他单机防火墙一样，只需安装一下就可以很好的使用。

在安装ISA Server时，你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置，这样才能做到安装ISA Server后即可很容易的使用，而不会出现客户不能访问外部网络的问题。

再谈谈对在单机上安装ISA Server 2004的看法。

ISA Server 2004可以安装在单网络适配器计算机上，它将会自动配置为Cache only的防火墙，同时，通过ISA Server 2004强大的IDS和应用层识别机制，对本机提供了很好的防护。

但是，ISA Server 2004的核心是多网络，它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙，它太过于庞大了，这样会为服务器带来不必要的性能消耗。

另类问题配置技巧两则——基于ISA Server 2004的防火墙
配置经验
朱宏志
【期刊名称】《网管员世界》
【年(卷),期】2005(000)002
【摘要】ISA Server 2004是一款企业级的防火墙．入门容易．但在使用过程中您可能会碰到一些“莫名其妙”的问题。

笔者举两个典型的例子．希望能够给您一点启示。

【总页数】1页(P67)
【作者】朱宏志
【作者单位】重庆
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.打造强“墙”——配置用户认证策略——基于Checkpoint的防火墙配置经验[J], 庄一嵘
2.限制文件下载——基于ISA Server2000的防火墙配置方法 [J], 董霞
3.配置不走弯路——基于NOKIA IP350的防火墙配置经验 [J], 庄一嵘
4.ISA Server 2004配置轻松上手 [J], 安强
5.ISA Server 2004王者舞步曲——第一曲迪斯科——ISA Server 20004安装配置 [J], 陈洪彬;董茜
因版权原因，仅展示原文概要，查看原文内容请购买。

MicrosoftInternet Security and Acceleration Server 2004Beta2快 速 安 装 指 南风间子2004年2月15日QQ:4484262E-mail:zhangmeibo@译自Thomas W Shinder ，Get Up and Running with ISA Server 2004 Beta 2版权所有©转载请表明出处目 录一、安装Windows net server 2003并且建立基本的网络结构 (3)二、安装ISA Server 2004 beta2 (3)三、查看防火墙系统策略 (15)四、建立访问策略 (17)1、建立允许所有流出数据的访问策略 (17)2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略 (26)五、建立一条阻止HTTP下载的HTTP策略 (28)六、测试 (30)七、后记 (32)一、安装Windows net server 2003并且建立基本的网络结构和ISA Server 2000一样，ISA Server 2004对硬件要求不是很高，在CPU Pentium III 500+ MHz、256M内存环境下都能运行，不过为了更好的性能，建议增加CPU速率和内存容量。

安装ISA Server 2004的机器应该有至少有两个网卡，一个为外部接口，一个为内部接口。

但是和ISA Server 2000不一样，ISA Server 2004没有本地地址表（Local Address Table），所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy控制所有网络间的数据传输。

下图为一个测试网络，ISA Server作为一个边缘防火墙（Edge Firewall）：在安装ISA Server 以前，应该要保证内部网络正常的工作。

由于ISA Server自身不具备DNS Forwarder功能（ISA Server只能容许DNS query包通过，但是不具有自动将DNS query数据包转发到ISP的DNS服务器的功能），所以在你内部网络的DNS设置中，要么建立一个内部的DNS服务器，要么把所有客户机的DNS全部设置为你ISP的DNS。

实验报告N9T03祝龙博【实验名称】使用ISA server 2004限制internal 与DMZ、external之间通信。

【实验环境】启动虚拟机，Winc Wind Red Linux RedFlag Linux，其中Winc用作安装ISA Server 2004，必须安装3块网卡。

Wind用作内网的客户机，Red Linux用作DMZ区域的WEB服务器，Red Linux用作外网服务器。

【实验目的】通过安装ISA Server 2004 代理防火墙，对内网实施防护。

【实验步骤】首先在Winc 上进行配置：Internal 网卡的配置：DMZ区域网卡的配置：External网卡的配置：开启路由功能：在开始->管理工具->路由和远程访问。

在Wind上配置IP地址：内网客户机。

在DMZ区域的WEB服务器上配置IP地址，并且启动WEB服务。

网络连接设置为VMnet3在外网WEBV服务器上配置IP地址，并且启动WEB服务。

网络连接设置为VMnet4在没有安装ISA Server 2004 之前，内网客户机是可以访问外网的。

而且其他都可以互相访问。

安装ISA Server 2004：1.在制定ISA Server 内部网络上包括的地址范围时，添加选择网卡的时候要选择刚才指定是内网的那块网卡：当成功安装了ISA Server 之后，以上环境中的客户机、服务器之间是不能相互访问的。

1.设置内网客户机能够访问外网的WEB服务器：创建一个新的访问规则：选择允许：选择要指定的协议：这里我们先选择http协议：选择访问规则的源地址：选择访问规则的目标地址：应用次规则：Localhost访问外网Web服务器：External访问外网Web服务器：在external服务器上查看源地址：10.10.10.10（防火墙地址）以上只是设置了internal中的客户机能够访问external的WEB服务器80端口，但是Ping不通：2.设置internal客户机能Ping通external：选择Ping协议：选择源地址：选择目标地址：应用此规则：在internal客户机上测试是否连通：设置localhost和internal可以访问DMZ区域的WEB服务器：1.首先在ISA Server 2004 上新建一个网络：选择外围网络：选择前面指定的DMZ网段：注意：应用新的配置在配置中的网络项中有刚创建的网络地址范围：创建新的访问规则：选择HTTP协议：选择源地址：目标地址一定要选择DMZ应用新的访问规则：测试访问：Localhost访问：Internal访问：注意：在ISA Server 2004 上创建DMZ区域时。

在ISA Server中使用模版创建防火墙策略在ISA Server 2004<SP2 ）服务器中创建访问规则时，除了可以使用各种配置向导外，使用系统提供的网络模版也不失为一种快捷的方式。

ISA Server 2004<SP2提供了5种模版，分别是“边缘防火墙”、“3 向外围网络”、“前端防火墙”、“后段防火墙”和“单一网络适配器”。

其中边缘防火墙的作用是将网络连接到In ternet并防止网络受到入侵，因此其适用范围最为广泛。

下面以“边缘防火墙”模版为例介绍创建防火墙访问策略的方法，操作步骤如下所述：第1步，打开ISA Server 2004<SP2 ）管理窗口，在左窗格中依次展开“服务器名称配置”目录，并选中“网络”选项。

这时右侧的任务窗格中默认打开“模版”选项卡，里面列出了系统内置的五种模版，单击“边缘防火墙” 模版，如图2009010625 所示。

b5E2RGbCAP图2009010625单击“边缘防火墙”模版第2步，打开“网络模版向导”，在欢迎页中单击“下一步”按钮。

在打开的“导出ISA服务器的配置”对话框中，如果用户以前没有保存过配置，则可以单击“导出”按钮保存当前配置。

由于本例的ISA Server服务器是新配置的, 因此单击“导出”按钮，如图2009010626所示。

p1EanqFDPw图2009010626 “导出ISA服务器的配置”对话框第3步，在打开的“导出配置”对话框中选择文件保存位置，并选中“ISA服务器导出选项”区域的“导出用户权限设置”和“导出机密信息< 将使用加密）”复选框，然后单击“导出”按钮。

成功导出配置后单击“确定”按钮，返回“导出ISA服务器的配置”对话框，并单击“下一步”按钮，如图2009010627所示。

DXDiTa9E3d图2009010627成功导出配置第4步，打开“内部网络IP地址”对话框，确认向导正确识别了内部网络的IP地址。

理解ISA Server 2004访问规则的处理过程1.摘要与ISA Server 2000简单的信任与不信任网络模型相比，ISA Server 2004使用了更为成熟灵活的网络模型。

因此，ISA Server 2004定义网络和防火墙策略的方式完全不同，其处理访问规则的逻辑亦是如此。

这可能会导致你的防火墙策略的配置结果与你的期望不同，我们将在这篇文章中探讨ISA Server 2004如何处理不同的规则列表以及某条特定规则是如何被选取以满足特定出站请求的。

2.总论为了从功能角度描述在被定义的网络间何种通讯是被允许的，ISA Server 2004使用了一组三个规则列表的集合：网络规则：此列表定义并描述了网络的拓扑结构。

这些规则用于决定两个网络实体间是否具有路由关系、以及何种路由关系被定义（路由还是NAT）。

当网络实体间没有配置任何关系，那么ISA Server将丢弃两个网络间的所有通讯数据。

正确定义网络对象和它们之间的路由关系对于ISA 2004的显得尤为重要。

系统策略：此列表包含了30条ISA Server 2004预定义的、应用于本地主机的访问策略。

因此，它们控制着ISA Server本身“从/到”的通讯，并启用需要的诸如验证、网络诊断、日志、远程管理等功能。

记住：这些规则只是“允许”规则，你只可以启用或者禁用这些规则，或者对其中的一些规则属性进行少量的修改。

防火墙策略：此列表包含了你自定义的所有规则。

这是一个经过排序的简单列表，包含了两种可能的规则类型：访问规则和发布规则。

在此列表的最后包含了一条预定义的默认规则：Deny 4 ALL（Deny ALL users use ALL pro tocols from ALL networks to ALL networks），拒绝所有用户发起的从所有网络到所有网络的所有协议的访问。

这个默认规则不能修改或者删除，所以，对于任何允许或者阻止的通讯都由ISA Server 2004的一条明确的规则来完成。

实训报告
班级：座号：姓名：指导教师：成绩：
一、实训项目：ISA Server配置
二、实训目的：
1.掌握防火墙ISA Server的安装
2.掌握防火墙ISA Server的配置；
三、实训环境和要求：
1、环境
三台虚拟机，
虚拟机1作为isa server,其配置2块网卡，外网网卡（IP，网关，dns:202.201.113.179）,内网网卡仅设置ＩＰ和子网掩码（192.168.10.1:24）
虚拟机2：内网web服务器（IP：192.168.10.2网关：192.168.10.1，），要求安装web服务器，并配置好
虚拟机3：外网客户端（IP：202.201.113.178 网关，dns:202.201.113.179）
首先测试并保证isa和web相通，isa和外网客户端相通，外网客户端和web不通
2、要求
1）、在windowsserver2003下安装ISA server服务器，要求把ISA server 服务器和配置服务器安装在同一台服务器上
2）、配置ISA server 服务器保护内网安全，要求如下
A.通过ISA sever把内网IP为192.168.10.2的web服务器发布出去，
使得外网可以访问此服务器上的资源
B.通过ISA sever把内网IP为192.168.10.2的ftp服务器发布出去，
使得外网可以访问此服务器上的资源
四、实训步骤：
五、实训总结和心得：。

ISA Server 2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明，有很多网友也提出这个问题。

我花了一天时间，进行N次尝试和测试，获得了一手资料。

本文适用于已经有一定ISA和网络技术基础的网友参考，请初入门的网友先学习其他文章。

由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计，所以针对国内的实际情况（很多网友的网络只有一个Internet的IP地址），模板需要做很大调整。

外围网使用公网IP的情况按照模板不需要调整，很容易实现，这里就不做介绍了。

只有一个公网IP的也有两种情况，后端防火墙内的网络需要不需要被外围网访问。

先介绍后端防火墙内的电脑或者服务器，不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况，这种情况比较简单。

在第一种和第二种情况下网络构成不变。

一、外围网不需访问后端防火墙内的电脑或者服务器1.要求服务器网段（FTP服务器，WEB服务器，邮件服务器）不能上网，只能被外部和外围网有限访问一些服务，外围网和后端防火墙网段能够上网，后端防火墙网段可以访问外围网和服务器网段。

2.网络构成前端防火墙共3张网卡，网卡1连接对外服务的服务器IP ：192.168.1.1/24 无网关，无DNS网卡2连接外围网IP：192.168.100.1/24 无网关，无DNS网卡3使用PPPoE拨号得到外部IP，网关，DNS服务器地址外围网客户端的网络设置IP：192.168.100.*/24 网关192.168.100.1，DNS 192.168.100.1在ISA服务器上建立DNS服务器，转发到ISP提供的DNS服务器后端防火墙2网卡，网卡1连接外围网IP：192.168.100.2/24 ，网关192.168.100.1，DNS 192.168.100.1网卡2连接内部上网电脑IP：192.168.50.1/24 无网关，无DNS3.1设置前端防火墙如图使用前端防火墙模板，点击模板，如果需要保持以前的网络设定，可以在此处导出网络设置文件，备份。

ISA Server 2004 Web代理服务拒绝用户再次进行身份验证参考Tristank's Blog和Dr. Tom Shinder's ISA Firewall Space前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和I SA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。

不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。

可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Se rver 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择We b代理的身份验证方式时，不得不选择基本身份验证。

其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。

但是在ISA Server 2004中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISA Server 2004会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISA Server 2004会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。

ISA Server 2004配置详解ISA2004本地主机访问规则ISA 2004本机访问外界，需要建立从本地主机到外部网络的相应协议访问策略。

所有网络（和本地主机）指的是所有的网络（内网和公网），本地主机指的是ISA服务器。

如图01所示。

图01本地主机允许通过所有出站去访问任何能连接到的网络，相对于安全的角度讲此处设置的外网（其它网络）访问本地主机的规则是只能过FTP和HTTP的21和80来访问本地服务器主机。

2．允许所有内部用户访问Internet的所有服务ISA2004和ISA2000相比，再也不要求必须为用户所访问的服务定义协议，只需要一条策略就可以让内部客户完全的访问Internet上的所有服务。

如图02所示。

图023．使用访问规则来禁止对某些网站的访问首先建立要禁止网站的域名集，在防火墙策略选项的右边工具栏中的网络对象中新建一个如图03所示的被禁的网站的域名集。

图03在此为防火墙策略新添加了名称为禁止上某一网站的规则，内容是这样的：拒绝所有受保护的网络（安装ISA时设定的地址范围和本地主机）访问被禁止的网站。

这些站点主要考虑不健康网站或可能带木马网页的网页，为了安全不让客户端访问。

如图04所示。

图04使ISA更加安全为了使ISA服务器更加安全，需要做两个设置：第一个设置是其它网络访问本地主机的规则，然后在弹出的“为规则配置HTTP 策略”对话框中右击，取消选择“阻止高位字符”和阻止包含Windows可执行内容的响应。

如图05所示。

图05第二：如果有必要的话，还可以控制响应文件的扩展名，在如图07所示中选择扩展名，然后进行编辑。

注意：出于安全考虑，ISA Server 2004 默认是不允许FTP上传的（即不能写FTP服务器），取消的办法是：在允许访问FTP服务器的规则上（在这儿是无限制的Internet访问）上点击右键，然后选择“配置FTP”，把“只读”选项去掉。

如果不想让某些客户端能过已建的规则访问设定的网站，除了修改和删除防火墙策略中的控制规则以外，最好的方法是可将其规则停止，如图06所示，内网无限制上网规则为停用。

实验一ISA Server2004的安装与使用（一）一、试验目的：学习使用ISA Se rver为代表的软件防火墙使用。

二、试验内容：通过使用ISA Server2004，配置试验环境，观看试验结果并进行分析，理解防火墙对网络安全的重要作用。

三、试验环境：（1）已安装ISA Server2004的服务器虚拟机。

（2）至少两台Windows2003或者xp的客户机和服务器虚拟机。

四、本次课程试验内容（参考企业试验手册）：1、安装ISA Server2004，并搭建试验环境，配置各虚拟机的地址信息，测试内外网络的通信。

（试验手册模块A）1. 创建如图1所示的三台虚拟机，并且按照拓扑图配置IP信息。

图1 实验拓扑图2.创建如图所示的虚拟机图2 创建虚拟机3.由于先安装好了ISA 2004 所以要先在ISA服务器管理里配置允许ping命令，才能检查等下配置的NAT功能有没有对。

图3 配置允许ping 命令图4 配置NAT图5 内网计算机已经能ping通外网2、配置针对所有用户内网到外网的http通信（试验手册模块B）。

练习1允许来自客户端计算机的出站WEB访问1，测试连接性图6 测试连接性2，在ISA 2004 上配置web 访问规则图7 添加web 访问规则3，内网计算机能够访问外部服务器图8 http访问正常图9 ftp 访问正常4，新建计算机集图10 新建计算机集5，创建拒绝受限计算机策略图116，再次访问外部服务器，已经不能进行访问了。

图127，当改变防火墙策略顺序时（把允许上移到拒绝前）发现又能访问外部服务器了。

图138，删除拒绝受限规则。

练习2 启用客户端计算机上使用ping 命令由于前面已经启用，就不再赘述。

练习3 允许从ISA 2004 进行出站访问1，在ISA 2004上由于没有配置允许策略，所以默认访问外部服务器是拒绝的。

图14 不能访问外部ftp服务器2，创建允许策略图15 创建允许策略3，应用之后再次访问ftp服务器，发现已经能够访问了。