ISA+Server+2004标准版安装指南

ISA Server 2004标准版安装指南

一、系统及网络需求

要使用 ISA 服务器，您需要：

•CPU：至少550MHz，最多支持四个CPU；

•内存：至少256MB；

•硬盘空间：150MB，不含缓存使用的磁盘空间；缓存需要存放在NTFS分区上；

•操作系统：Windows Server™2003 或 Windows®2000 Server 操作系统。但是如果在运行 Windows2000 Serve r的计算机上安装 ISA Server 2004服务器，那么必须达到以下要求：

•必须安装 Windows2000 Service Pack4 或更高版本；

•必须安装 Internet Explorer6 或更高版本；

•如果您使用的是 Windows2000 SP4 整合安装，还要求打KB821887补丁（“为 Windows 2000 授权管理器运行库配置审核时，安全日志中未记录授权角色的事件”，可在本站下载）；

•网络适配器：必须为连接到 ISA Server 2004服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISA Server 2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet 的内容使用。

•DNS服务器：ISA Server 2004服务器不具备转发DNS请求的功能，必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器，或者使用外网（Internet）的DNS服务器。

•网络：在安装ISA Server 2004服务器以前，应保证内部网络正常工作，这样可以避免一些未知的问题。二、安装ISA Server 2004

下图是我们的网络拓朴结构：

在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器，所有客户端以ISA Server机的内部接口（10.

0.1.1）作为它的网关和DNS服务器。

我们安装的版本是ISA Server 2004中文标准版（Build 4.0.2161.50）。运行ISA Server 2004安装光盘根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如下图：

点击“安装 ISA Server 2004”，出现安装界面：

点击“下一步”，在“许可协议”页，选择“我接受许可协议中的条款”，点击“下一步”。

在客户信息页，输入个人信息和产品序列号，点击“下一步”继续。

在安装类型页，如果你想改变ISA Server的默认安装选项，可以点击“自定义”，然后点击"下一步"：

在“自定义”页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务。

点击“下一步”继续：

在内部网络页，点击“添加”按钮。内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中，内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信。

在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：

在“选择网卡”对话框中，移去“添加下列专用范围...”选项，保留“基于Windows路由表添加地址范围选项。选上连接内部网络的适配器，点击OK。在弹出的提示对话框中点击OK。

在内部网络地址对话框中点击OK：

在内部网络页点击“下一步”：

在防火墙客户端连接设置页上，如果你的客户机上使用了ISA Server 2000的防火墙客户端，则可以勾选“允许运行早期版本的...”，点击“下一步”：

在服务页，点击“下一步”：

在可以安装程序了页点击安装：

在安装向导完成页，选择“在向导关闭时运行ISA服务器管理”，然后点击“完成”。此时，会出现Microsoft I nternet Security and Acceleration Server 2004 控制台。

三、配置ISA Server 2004服务器

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间如何访问，而访问规则则定义了用户（内、外网）的访问，服务器发布规则则定义了如何让用户访问服务器。

1、网络规则

网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接，以及定义如何进行连接。网络连接的方式有：

•网络地址转换 (NAT)：当指定这种类型的连接时，ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的IP 地址。当定义内部网络与外部网络之间的关系时，可以使用 NAT 网络规则。

•路由：当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时，可以使用路由网络规则。

路由网络关系是双向的。如果定义了从网络A 到网络B 的路由关系，那么从网络B 到网络A 也存在着路由关系。相反，NAT 关系则是唯一的和单向的。如果定义了从网络A 到网络B 的 NAT 关系，则不能定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。

安装时，会创建下列默认规则：

•本地主机访问。此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。

•VPN 客户端到内部网络。此规则指定在两个 VPN 客户端网络（“VPN 客户端”和“被隔离的 VPN 客户端”）与内部网络之间存在着路由关系。

•Internet 访问。此规则定义了在内部网络与外部网络之间存在的 NAT 关系。

2、访问规则

（1）防火墙系统策略

在安装 ISA Server 2004服务器时，会创建默认的系统策略。系统策略允许 ISA Server 2004服务器访问它连接到的网络的特定服务。在防火墙策略上点击右键，指向“查看”，然后点击“显示系统策略规则”，

或者点击图标栏上最右边的快捷图标：