7第七章ISA SERVER2004

ISA2004发布内网SERV-U FTP服务器FTP协议分析大多数的TCP服务是使用单个的连接，一般是客户向服务器的一个周知端口发起连接，然后使用这个连接进行通讯。

但是，FTP协议却有所不同，它使用双向的多个连接，而且使用的端口很难预计。

一般，FTP连接包括：一个控制连接(control connection)。

这个连接用于传递客户端的命令和服务器端对命令的响应。

它使用服务器的21端口，生存期是整个FTP会话时间。

几个数据连接(data connection)。

这些连接用于传输文件和其它数据，例如：目录列表等。

这种连接在需要数据传输时建立，而一旦数据传输完毕就关闭，每次使用的端口也不一定相同。

而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。

其中数据连接模式有两种，一种是主动模式(port mod)，在FTP协议中，控制连接使用周知端口21，相反，数据传输连接的目的端口通常实现无法知道，因此处理这样的端口转发非常困难。

FTP协议使用一个标准的端口21作为ftp-data端口，但是这个端口只用于连接的源地址是服务器端的情况，在这个端口上根本就没有监听进程。

FTP的数据连接和控制连接的方向一般是相反的，也就是说，是服务器向客户端发起一个用于数据传输的连接。

连接的端口是由服务器端和客户端协商确定的。

所以，FTP协议的这个特征对ISA转发以及防火墙和NAT的配置增加了很多困难。

如果客户端在防火墙或NAT网关后面，用PORT方式将无法与Internet上的FTP服务器传送文件。

除此之外，还有另外一种FTP模式，叫做被动模式(passive mod)。

在这种模式下，数据连接是由客户程序发起的，和刚才讨论过的模式(我们可以叫做主动模式)相反。

是否采取被动模式取决于客户程序，在ftp命令行中使用passive命令就可以关闭/打开被动模式。

SERV-U FTP服务器发布本文主要讨论ISA2004发布内网SERV-U FTP服务器的方法。

实验12网络防火墙与ISA Server 200412.1防火墙防火墙原指古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙。

在网络世界，防火墙作为一种网络安全技术，最初被定义为一个实施某些安全策略保护一个安全区域（局域网），用以防止来自一个风险区域（Internet或有一定风险的网络）的攻击的装置。

随着网络技术的发展，人们逐渐意识到网络风险不仅来自与网络外部还有可能来自于网络内部，并且在技术上也有可能实施更多的解决方案，所以现在通常将防火墙定义为“在两个网络之间实施安全策略要求的访问控制系统”。

从技术上看，防火墙已经成为包过滤技术、代理服务技术、可信信息系统技术、计算机病毒检测防护技术和密码技术的综合体。

1. 防火墙的功能一般说来，防火墙可以实现以下功能：（1）防火墙能防止非法用户进入内部网络，禁止安全性低的服务进出网络，并抗击来自各方面的攻击。

（2）能够利用NA T（网络地址变换）技术，既实现了私有地址与共有地址的转换，又隐藏了内部网络的各种细节，提高了内部网络的安全性。

（3）能够通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略，实现计划的确认和授权。

（4）所有经过防火墙的流量都可以被记录下来，可以方便的监视网络的安全性，并产生日志和报警。

（5）由于内部和外部网络的所有通信都必须通过防火墙，所以防火墙是审计和记录Internet使用费用的一个最佳地点，也是网络中的安全检查点。

（6）防火墙允许Internet访问WWW和FTP等提供公共服务的服务器，而禁止外部对内部网络上的其他系统或服务的访问。

虽然防火墙能够在很大程度上阻止非法入侵，但它也有一些防范不到的地方，如：（1）防火墙不能防范不经过防火墙的攻击。

（2）目前，防火墙还不能有效的防止感染了病毒的软件和文件的传输，有效的防止病毒的办法仍然是在每台主机上安装杀毒软件。

（3）防火墙不能防御数据驱动式攻击，当有些表面无害的数据被邮寄或复制到主机上并被执行而发起攻击时，就会发生数据驱动攻击。

二、安装ISA Server 2004首先要有一台双网卡的电脑，一个网卡连接外网，另一网卡连接内网，外网网卡的Ip地址是自动获取的，内网网卡的Ip地址是与内网在同一个网段的，内网网卡只要：注意：上面的Ip地址要根据你的实际情况来设置我们安装的版本是ISA Server 2004中文标准版（Build 4.0.2161.50）。

运行ISA Server 20 04安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如下图：点击“安装ISA Server 2004”，出现安装界面：点击“下一步”，在“许可协议”页，选择“我接受许可协议中的条款”，点击“下一步”。

在安装类型页，如果你想改变ISA Server的默认安装选项，可以点击“自定义”，然后点击"下一步"：在“自定义”页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。

如果你想安装消息筛选程序，需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。

点击“下一步”继续：在内部网络页，点击“添加”按钮。

内部网络和ISA Server 2000中使用的LAT已经大大不同了。

在ISA Server 2004中，内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。

防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。

在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：注意：上面是我机子上设置的，地址，在你的机子上可能会显示的不一样这里的LAN表示你的内网网卡地址，WAN表示你的外网网卡地址在“选择网卡”对话框中，移去“添加下列专用范围...”选项，保留“基于Windows路由表添加地址范围选项。

选上连接内部网络的适配器，点击OK。

由于ISA企业版采用配置与服务的分离，在域环境下安装企业版，相对比较简单。

但对于工作组环境或ISA的配置存储服务器与服务之间是不存在信任关系的域环境时，安装就复杂一些。

要完成ISA企业版本的安装基本有以下几个步骤：1、为安装配置存储服务器的Wuhan申请服务器证书u 首先需要安装CA。

因为使用独立CA，在申请证书时需要以Web申请，所以要将IIS也一并安装。

u 访问http://10.10.10.10/certsrv进入证书申请。

“申请一个证书”→“高级证书申请”→“创建并向此CA 提交一个申请。

”。

注意：l 在识别信息的姓名中输入存储服务器的FQDN(本例中为wuhan)。

l 需要的证书类型为”服务器身份验证证书”l 要勾选”标记密钥为可导出”及” 将证书保存在本地计算机存储中”。

2、在Wuhan上导出证书；u 通过MMC打开”证书”，选择”计算机账户”。

u 在”计算机账户”中导出在上步中申请的证书。

注意：l 要勾选”是，导出私钥”。

3、在Wuhan上安装配置存储服务器；u 先只安装存储服务器。

u 在”企业部署环境”中选择”我将在工作组或没有信任关系的域中部署。

”通过”浏览”选择步骤2中导出的证书(扩展名：pfx)。

4、在Wuhan上安装ISA服务；u 定位配置存储服务器中输入配置存储服务器的FQDN(本例中为wuhan)。

u 在安装好配置存储服务器后，安装第一台ISA时需要”创建新阵列”，如果是安装后继ISA，则使用”加入现在阵列”u 在配置存储服务器身份验证选项中选择”通过SSL加密通道进行身份验证”，并在”浏览”中选择给配置存储服务器颁发证书的CA的信任证书。

u 后续安装过程与标准版基本一致。

5、配置阵列内部通信使用的账户；u 打开ISA管理界面，在”阵列”中选取一台ISA服务器，Mouse右键”属性”→“阵列内凭据”中勾选”使用此帐户进行身份验证”，并通过”设置账户”输入一个在当前阵列中每台ISA服务器都有(登录名及密码都一样)的帐户名及密码。

ISA Server 2004 企业版利用插件 Bandwidth Splitter 限制用户带宽【概述】ISA 是一个非常强悍的防火墙软件，单就从功能上讲也是现在任何一个软件无法匹敌的，但是 ISA 并不是完美的，比如一个非常实用的功能，比如限制用户/计算机的带宽流量这样的功能就无法直接实现，不过我们可以利用插件Bandwidth Splitter（分离器）弥补这一不足。

Bandwidth Splitter 是 Microsoft ISA Server 的一个应用程序扩展，补充了一些新的功能，从而更合理地共享了现有的因特网连接带宽，并根据预设规则分发到所有用户和服务器。

顺便说一句 ISA 开放的平台，允许用户自行编写插件也是相当好的。

【主要功能】限制由个人用户和主机，以及用户组和主机组所使用的因特网连接带宽（通信量调整，带宽节流）。

为允许的因特网通信量的最大使用量，固定的时间段（一天、一个星期或一个月），及个人用户和主机以及用户组和主机组建立配额。

由管理员实时地监控所有用户及其通过 ISA Server 的连接，包括个人用户和连接所使用的带宽。

Bandwidth Splitter for ISA Server 2004/2006 有这样的一些主要功能：①可以定制（分配&限制）内部网络中的单个用户和主机，或是用户组、主机组（AD 环境中）对 INTERNET 连接和带宽。

②可以启用通往 INTERNET 的流量（总量）限制。

③实时监控连接状态以及流量使用情况。

他还有这样的一些特点：①作为一个插件（或功能）集成于 ISA 的控制面版中。

②不但能管理基于 WEB 代理客户端的 HTTP/HTTPS/FTP 连接的流量，还可以管理 TCP/UPD 连接。

③管理被发布的服务器的流量。

④和域的集成性较好，能管理域环境中的单个用户和主机的流量。

⑤针对一些类型的 WEB 页面，在慢速链接网络中，你可以设置其下载的速率比一般速率较高。

ISAISA的安装域环境ISA的安装(加入域并用有权限的域用户登录)1．运行安装ISA SERVER 2004—同时安装ISA服务器和配置存储服务器—完成安装第二台ISA时只安装ISA服务器服务即可2．在工作组环境下安装ISAA安装一台CA，最好不要与ISA是同一台B为ISA申请一张服务器证书，申请时，证书存储于本机并标记密钥为可导出（用ISA主机名为姓名，好记）C信任CA并安装服务器证书D导出ISA的服务器证书并导出私钥（信任CA和导出证书时用MMC—证书—计算机账户）E安装存储服务器，浏览到刚才导出的证书（完成）F重新运行安装—修改—ISA服务器—浏览到存储服务器（本机）并输入存储服务器的用户名和密码—通过SSL加密--（若信任CA就使用现有受信任的CA）--安装—完成—打ISA2004的补丁并重启G工作组下安装第二台ISA把第一台上下载的CA证书和导出的ISA服务器证书复制到第二台ISA上,MMC—证书—计算机账户--（个人证书导入第一台ISA服务器的带密钥的证书，受信任的根证书颁发机构导入CA的证书）在第一台ISA上—陈列—防火墙墙策略—工具箱—网络对象—计算机集—陈列服务器—属性—添加计算机—输入第二台ISA的主机名和内网IP运行安装ISA—ISA服务器服务—输入第一台ISA的主机名或内网IP，使用此账户进行连接输入—通过SSL加密通道进行身份验证—安装—完成配置缓存陈列—配置—缓存—缓存驱动器—选择一个服务器–-属性—最好不要放在C盘—输入缓存大小—设置—确定并配置缓存规则和内容自动下载ISA Server 客户端在ISA上安装“防火墙客户端安装共享”在客户端输入UNC路径访问ISA在共享文件夹mspclnt中的setup—配置ISA的IP或主机名—确定客户端—IE—属性—连接—局域网设置—代理服务器会出现ISA的地址ISA的VPN1．ISA—虚拟专用网络—VPN客户端—定义地址分配—使用静态地址池（必须用静态地址池，而且地址不能与内网和ISA在同一网段，找一个用不到的偏僻的网段即可）--访问网络勾选外网—确定—应用2．启用VPN客户端访问3．注意用户有没有拨入权限，如果用户的拨入属性是“通过远程访问策略访问”那就得在“配置VPN客户端访问—组—添加允许访问的组就OK了”4．在防火墙访问策略中新建规则—允许“VPN客户端”访问内网的那些资源在用ISA做基于证书的VPN时要注意：ISA：在配置VPN客户访问—协议—勾选启用L2TP下载ISA的证书并信任CA域：下载的是“从属证书颁发机构”模板工作组：下载的是“服务器”证书VPN Client ：下载客户端证书并信任CA域：下载“用户”模板工作组“客户端”证书通过ISA发布安全WEB ServerISA防火墙是一个安全屏障，保护内网的安全，那么企业中如果有一些服务器来为外网提供服务就没办法了吗？不是的，通过ISA来进行发布就可以让外网来访问了。

ISA Server 2004企业版Beta安装指南和ISA Server 2004标准版相比，企业版对安装计算机的硬件要求基本一致，唯一的区别在于ISA Ser ver服务和配置存储服务器必须安装在Windows Server 2003之上。

另外，微软推荐你保留4G的硬盘空间作为日志存储。

由于在企业版中采用了配置与服务的分离，配置服务器采用活动目录应用程序模式（ADAM）进行存储，I SA Server服务计算机与配置存储服务器之间的访问默认采用集成身份验证，并且相互之间的数据通信均采用加密，所以强烈推荐你在域环境中配置ISA Server企业版；并且在域环境中配置企业版非常简单，只需要将需要安装服务的计算机都加入到域中，安装时使用域管理员身份登录就可以很轻松的完成。

对于在工作组环境或在ISA Server服务与配置存储服务器之间不存在信任关系的网络环境的安装，这就不是那么容易了。

首先你需要在安装配置存储服务器的计算机上安装服务器验证证书，然后在安装配置存储服务器时选择使用此证书，最后在安装ISA Server服务时，选择信任颁发配置存储服务器所使用的服务器验证证书的CA。

这样两者之间才能正常进行通信。

最后还需要在运行ISA Server服务的本地计算机上建立一个相同的用户账户，然后配置阵列使用此用户进行阵列内部的通信。

如果在安装时选择同时安装配置存储服务器及ISA Server服务，会自动建立一个以安装计算机名为名字的阵列并将此计算机上的ISA Server服务加入到此阵列中，此时在配置存储服务器和ISA Server服务之间是使用集成身份验证进行通信。

如果是想让其他工作组环境下的ISA Server服务加入到此阵列中，需要修改配置存储服务器的验证方式。

但是经过试验，因为此时已经在此配置存储服务器上建立了使用集成身份验证的阵列，不允许你再修改配置存储服务器的验证方式，因此无法在阵列中加入ISA Server服务。

实验报告N9T03祝龙博【实验名称】使用ISA server 2004限制internal 与DMZ、external之间通信。

【实验环境】启动虚拟机，Winc Wind Red Linux RedFlag Linux，其中Winc用作安装ISA Server 2004，必须安装3块网卡。

Wind用作内网的客户机，Red Linux用作DMZ区域的WEB服务器，Red Linux用作外网服务器。

【实验目的】通过安装ISA Server 2004 代理防火墙，对内网实施防护。

【实验步骤】首先在Winc 上进行配置：Internal 网卡的配置：DMZ区域网卡的配置：External网卡的配置：开启路由功能：在开始->管理工具->路由和远程访问。

在Wind上配置IP地址：内网客户机。

在DMZ区域的WEB服务器上配置IP地址，并且启动WEB服务。

网络连接设置为VMnet3在外网WEBV服务器上配置IP地址，并且启动WEB服务。

网络连接设置为VMnet4在没有安装ISA Server 2004 之前，内网客户机是可以访问外网的。

而且其他都可以互相访问。

安装ISA Server 2004：1.在制定ISA Server 内部网络上包括的地址范围时，添加选择网卡的时候要选择刚才指定是内网的那块网卡：当成功安装了ISA Server 之后，以上环境中的客户机、服务器之间是不能相互访问的。

1.设置内网客户机能够访问外网的WEB服务器：创建一个新的访问规则：选择允许：选择要指定的协议：这里我们先选择http协议：选择访问规则的源地址：选择访问规则的目标地址：应用次规则：Localhost访问外网Web服务器：External访问外网Web服务器：在external服务器上查看源地址：10.10.10.10（防火墙地址）以上只是设置了internal中的客户机能够访问external的WEB服务器80端口，但是Ping不通：2.设置internal客户机能Ping通external：选择Ping协议：选择源地址：选择目标地址：应用此规则：在internal客户机上测试是否连通：设置localhost和internal可以访问DMZ区域的WEB服务器：1.首先在ISA Server 2004 上新建一个网络：选择外围网络：选择前面指定的DMZ网段：注意：应用新的配置在配置中的网络项中有刚创建的网络地址范围：创建新的访问规则：选择HTTP协议：选择源地址：目标地址一定要选择DMZ应用新的访问规则：测试访问：Localhost访问：Internal访问：注意：在ISA Server 2004 上创建DMZ区域时。

七、使用访问规则向导来禁止某些内部用户访问某些网站在ISA Server 2004中，禁止客户上网是很简单的事情，这节中讨论的是使用IP地址来禁止某些客户上网。

通过ISA Server 2004简单、方便的操作，我们只需要两步设置就可以做到这点。

操作步骤如下：A、对需要禁止上网的客户建立一个地址范围或者计算机集；然后为禁止这些用户访问的那些站点建立一个地址范围或域名集；B、在防火墙策略中新建一个访问规则；阻止内部的这些计算机集访问定义的外部站点地址范围或域名集；在这篇文章中，我们演示如何禁止IP为192.168.0.41的内部客户访问YA HOO网站。

1、新建网络对象首先在防火墙策略右边的工具箱里面点开“网络对象”，然后右击“计算机集”，然后选择“新建计算机集”；然后在“新建计算机集规则元素”对话框上点击“添加”，然后选择“计算机”；在“添加计算机规则元素”对话框，输入该计算机名字和IP 地址，点击“确定”；在“添加计算机规则元素”对话框上点击“确定”；建立好的计算机集如下图所示，然后，我们为需要为禁止用户访问的YAHOO 网站建立一个域名集，同样在“网络对象”中，右击“域名集”，选择“新建域名集”；后在“新建域名集策略元素”对话框中，点两次“新建”按钮，然后分别把域名修改为“*”和“*”，然后点击“确定”；在“域名集”下面，就列出了我们刚建好的“YA HOO”域名集；2、建立访问规则现在我们可以建立访问规则了。

右键点击防火墙策略，选择新建“访问规则”，在新建访问规则向导页输入规则的名字，在此我们命名为“禁止某些客户访问YAHOO”；在规则操作页，选择“拒绝”；在协议页，选择“所有出站通讯”；在访问规则源页，点击“添加”，然后在“添加网络实体”对话框中展开计算机集，双击“禁止的客户”，然后点击“关闭”，然后在“访问规则源”页点击“下一步”；在访问规则目标页，点击“添加”，然后在“添加网络实体”对话框中展开域名集，双击“YAHOO”，然后点击“关闭”，然后在“访问规则目标”页点击“下一步”；在用户集页，保留默认的所有用户，点击“下一步”；在正在完成新建访问规则向导页，点击“完成”；最后，点击“应用”以保存修改和更新防火墙策略。

ISA Server 2004配置轻松上手
安强
【期刊名称】《网管员世界》
【年(卷),期】2005(000)007
【摘要】五年前Microsoft发布了Microsoft Internet Security and Acceleration(ISA)Server 2000(简称ISA 2000)，ISA 2000稳定、安全的性能赢得了广大网络管理员的青睐。

2004年，Microsoft终于又发布了倍受关注的ISA Server 2004(以下简称ISA 2004)，新版ISA Server提供了更高水平的应用层安全性，以及更优异的访问速度和性能。

【总页数】2页(P62-63)
【作者】安强
【作者单位】江苏
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.用ISA Server轻松打造校园网代理服务器 [J], 蒋录莲
2.另类问题配置技巧两则——基于ISA Server 2004的防火墙配置经验 [J], 朱宏志
3.Microsoft Intemet Security and Acceleration （ISA） Server 2004完全上手指南 [J], 风间子
4.ISA Server 2004王者舞步曲——第一曲迪斯科——ISA Server 20004安装配
置 [J], 陈洪彬;董茜
5.轻松组建ISA Server打造一个防毒、防黑的安全网络(二) [J], 郭武士; 杨建因版权原因，仅展示原文概要，查看原文内容请购买。

ISA Server 2004 Web代理服务拒绝用户再次进行身份验证参考Tristank's Blog和Dr. Tom Shinder's ISA Firewall Space前言：可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和I SA Server 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择Web代理的身份验证方式时，不得不选择基本身份验证。

不过，通过这篇文章，你可以学习到如何配置ISA防火墙来允许这一行为，从而让你使用更为安全的集成身份验证而不是基本身份验证。

可能很多人都遇到过这个问题，当配置ISA防火墙（ISA Server 2004）的Web代理使用集成身份验证时，如果当前登录的用户没能通过验证，那么ISA防火墙就会直接拒绝用户的访问，而不是和ISA Se rver 2000中一样弹出窗口要求用户输入账户信息进行身份验证，这让许多ISA防火墙管理员在选择We b代理的身份验证方式时，不得不选择基本身份验证。

其实从集成身份验证的原理来说，当用户没有通过身份验证时，是会弹出窗口要求用户输入账户信息进行身份验证的。

但是在ISA Server 2004中从安全角度考虑，当用户提交的账户信息未能通过身份验证时，ISA Server 2004会返回代码为502的错误信息（ISA防火墙拒绝了对指定URL的访问）拒绝客户的访问，而不是返回另外一个代码为407（要求客户进行身份验证）的错误信息，所以浏览器就不会再次提示用户进行身份验证，而是显示用户的访问被拒绝。

这个配置通过ISA防火墙中某个ISA防火墙网络所对应的Web代理服务侦听器（默认侦听8080端口）的ReturnDeniedIfAuthenticated属性来进行控制，它的值默认设置为FALSE；如果你将其设置为TRUE，那么当用户提交的身份验证信息未能通过身份验证时，ISA Server 2004会返回另外一个代码为407（要求客户进行身份验证）的错误信息，此时浏览器就会再次提示你进行身份验证。

在使用ISA Server 2004的过程中，难免会出现ISA Server 2004服务停止的情况，当然原因可能很多。

当服务停止的时候，难道还需要我们做网管的手动启动吗？其实Micr osoft已经为我们考虑到了这点，在Windows Server 2003中，新增了一个命令行工具Eventtriggers，可以根据事件日志来触发动作。

你在Windows系统的帮助中可以查到Eventtriggers的详细，我这儿就只对建立一个触发器的相关参数进行介绍。

eventtriggers create 新建事件触发器，其监视并作用于按给定条件显示的日志事件。

语法eventtriggers[.exe] /create [/s Computer [/u Domain\User [/p Passwor d]]] /tr TriggerName [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS Serv er"] [LOG] [DirectoryLogName] [*] ] {[/eid ID] | [/t {ERROR | INFORMATI ON | WARNING | SUCCESSAUDIT | FAILUREAUDIT}] | [/so Source]} [/d D escription] /tk TaskName参数/s Computer指定远程计算机名称或IP 地址（不能使用反斜杠）。

该默认值是本地计算机。

/u Domain\User根据由User 或Domain\User 指定的用户所具有的帐户权限来运行脚本。

默认值是当前登录发出命令的计算机的用户具有的权限。

/p Password指出/u 参数中指定的用户帐户的密码。

/tr TriggerName指定要与事件触发器关联的友好名称。

/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS Server"] [LOG] [DirectoryLo gName] [*] ]指定要监视的事件日志。

ISA Server 2004配置详解ISA2004本地主机访问规则ISA 2004本机访问外界，需要建立从本地主机到外部网络的相应协议访问策略。

所有网络（和本地主机）指的是所有的网络（内网和公网），本地主机指的是ISA服务器。

如图01所示。

图01本地主机允许通过所有出站去访问任何能连接到的网络，相对于安全的角度讲此处设置的外网（其它网络）访问本地主机的规则是只能过FTP和HTTP的21和80来访问本地服务器主机。

2．允许所有内部用户访问Internet的所有服务ISA2004和ISA2000相比，再也不要求必须为用户所访问的服务定义协议，只需要一条策略就可以让内部客户完全的访问Internet上的所有服务。

如图02所示。

图023．使用访问规则来禁止对某些网站的访问首先建立要禁止网站的域名集，在防火墙策略选项的右边工具栏中的网络对象中新建一个如图03所示的被禁的网站的域名集。

图03在此为防火墙策略新添加了名称为禁止上某一网站的规则，内容是这样的：拒绝所有受保护的网络（安装ISA时设定的地址范围和本地主机）访问被禁止的网站。

这些站点主要考虑不健康网站或可能带木马网页的网页，为了安全不让客户端访问。

如图04所示。

图04使ISA更加安全为了使ISA服务器更加安全，需要做两个设置：第一个设置是其它网络访问本地主机的规则，然后在弹出的“为规则配置HTTP 策略”对话框中右击，取消选择“阻止高位字符”和阻止包含Windows可执行内容的响应。

如图05所示。

图05第二：如果有必要的话，还可以控制响应文件的扩展名，在如图07所示中选择扩展名，然后进行编辑。

注意：出于安全考虑，ISA Server 2004 默认是不允许FTP上传的（即不能写FTP服务器），取消的办法是：在允许访问FTP服务器的规则上（在这儿是无限制的Internet访问）上点击右键，然后选择“配置FTP”，把“只读”选项去掉。

如果不想让某些客户端能过已建的规则访问设定的网站，除了修改和删除防火墙策略中的控制规则以外，最好的方法是可将其规则停止，如图06所示，内网无限制上网规则为停用。

ISA 2004 Server快速安装指南时间：2004-6-17 15:52:24来源： 作者：Thomas票数：157等级:点击：2257MicrosoftInternet Security and Acceleration Server 2004Beta2快速安装指南(译自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在“相关下载”栏目中有pdf版本的下载)目录一、安装Windows net server 2003并且建立基本的网络结构二、安装ISA Server 2004 beta2三、查看防火墙系统策略四、建立访问策略1、建立允许所有流出数据的访问策略2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略五、建立一条阻止HTTP下载的HTTP策略六、测试七、后记一、安装Windows net server 2003并且建立基本的网络结构和ISA Server 2000一样，ISA Server 2004对硬件要求不是很高，在CPU Pentium III 500+ MHz、256M 内存环境下都能运行，不过为了更好的性能，建议增加CPU速率和内存容量。

安装ISA Server 2004的机器应该有至少有两个网卡，一个为外部接口，一个为内部接口。

但是和ISA Server 2000不一样，ISA Server 2004没有本地地址表（Local Address Table），所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy控制所有网络间的数据传输。

下图为一个测试网络，ISA Server作为一个边缘防火墙（Edge Firewall）：在安装ISA Server 以前，应该要保证内部网络正常的工作。

由于ISA Server自身不具备DNS Forwarder 功能（ISA Server只能容许DNS query包通过，但是不具有自动将DNS query数据包转发到ISP的DNS 服务器的功能），所以在你内部网络的DNS设置中，要么建立一个内部的DNS服务器，要么把所有客户机的DNS全部设置为你ISP的DNS。