ISA2006 边缘防火墙配置

1、边缘防火墙模型

ISA Server 2004上安装有两个网络适配器，它作为边缘防火墙，让内部客户安全快速的连接到Internet，内部的Lan我以192.168.0.0/24为例，不考虑接入Internet的方式（拨号或固定IP均可）。

ISA Server 2004上的内部网络适配器作为内部客户的默认网关，根据惯例，它的IP地址要么设置为子网最前的IP（如192.168.0.1），或者设置为最末的IP（192.168.0.254），在此我设置为192.168.0.1；对于DNS服务器，只要内部网络中没有域，那么内部可以不建立DNS服务器，不过推荐你建立，具体介绍可以见“建立内部的DNS服务器”一文。在此例中，我们假设外部网卡（或拨号连接）上已经设置了DNS服务器，所以我们在此不设置DNS服务器的IP地址；还有默认网关，内部网卡上切忌不要设置默认网关，因为Windo ws主机同时只能使用一个默认网关，如果在外部和内部网络适配器上都设置了默认网关，那么ISA Server可能会出现路由错误。

接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别，防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下，请尽量考虑使用SNAT客户，因为它是标准的网络路由，兼容性是最好的。

SNAT客户的TCP/IP配置要求：

必须和ISA Server的内部接口在同个子网；在此，我可以使用192.16

8.0.2/24～192.168.0.254/24；

∙配置ISA Server的内部接口为默认网关；此时默认网关是192.168.0.

1；

∙DNS根据你的网络环境来设置，可以使用ISP的DNS服务器或者你自己在内部建立一台DNS服务器；但是，DNS服务器是必需的。

Web代理客户和SNAT客户相比，则要复杂一些：

∙IP地址必须和ISA Server的内部接口位于同个子网；在此，我可以使用192.168.0.2/24～192.168.0.254/24；

∙默认网关和DNS服务器地址都可以不配置；

∙必须在IE的代理属性中配置ISA Server的代理，默认是内部接口的8 080端口，在此是192.168.0.1:8080；

∙对于其他需要访问网络的程序，必须设置HTTP代理（ISA Server），否则是不能访问网络；

至于关闭SNAT客户的访问，在ISA Server的访问规则中不要允许所有用户访问，改为所有通过验证的用户即可。

防火墙客户默认会配置IE为web代理客户，然后对其他不能使用代理的Wins ock应用程序进行转换，然后转发到所连接的ISA防火墙。对于防火墙客户，你最好先按照SNAT客户进行设置，然后安装防火墙客户端，安装防火墙客户端后它会自动配置客户为Web代理客户。

在安装ISA Server时，内部网络配置为192.168.0.0/24。安装好后，你可以根据你的需要，自行配置访问规则。ISA Server中带了五个网络模型的模板，

可以让你只是点几下鼠标就可以设置好访问规则，但是希望你能手动设置规则，这样可以让你有更深的认识，具体操作可以参见ISA中文站其他的文章。

对于ISA Server的这三种客户更详细的描述，请见“ISA Server客户端类型”一文。

下图中是一种特殊的情况，在内部网络中还有其他子网的内部客户。此时，你首先得将这些子网的地址包含在ISA Server的内部网络中，然后在ISA Serve r上配置到这些子网的路由，其他的就和单内部网络的配置一致了，具体请参见How to：在存在多条路由的内部网络中配置ISA Server 2004一文。