ISA安装设置全集

ISA安装设置全集
发布时间：2003-10-245inet 点击: 34171
ISA安装设置全集
安装ISA Server
设定ISA Server
Policy Elements 设定
如何建立ISA Server 封包过滤Packet Filtering 原则
Publishing Service 转送服务
ISA 2000 Server 备份及还原
ISA Server 记录档管理
ISA Server 入侵侦测功能
安装ISA Server
将Microsoft ISA 2000 Server 光碟放在Windows 2000 伺服器上；按下Install ISA Server 如图下。

Fig 1.撰择Full Installation；
ISA Server 2000 有下列三个安装元件:
一、ISA Services: 防火墙运作及控制服务。

二、Add-In Services: 附加网路服务元件，可选择安装包括H.323 Gatekeeper Service，这
是提供内部使用者运用MS Netmeeting 或H.323 和外面网路(Internet) 沟通的闸道
(Gateway)应用程式，Message Screener 用作提供过滤进出防火墙的SMTP Packet
的管制监墆服务元件。

三、Administrator Tools: 管理ISA Server 介面程式包括H.323 Gatekeeper Service 的
管理介面。

这个管理工具可以安装在Windows 2000 Professional 工作站作远端管理
ISA Server 运作。

2.警告讯息；
如你安装于Windows 2000 Stand-Alone Server 且没有加任何Active Directory，这个讯息如图下是
Fig 2 接著按下Yes 并选择Integrated mode (注解如下) 。

Fig 3
Firewall Cache Integrated
是否能自订存取原则(Access Policy) Yes HTTP only Yes
是否能让内部网站转向(Web Publishing) 给外部使用Yes Yes Yes
Yes No Yes
是否能让内部使用者运用虚拟网路(VPN) 存取其他网路主
机
是否能让内部伺服器应用程式转向(Web Publishing) 给外部
Yes No Yes
使用
是否提供快取服务(Cache Service) No Yes Yes
是否提供封包过滤(Packet filtering) Yes No Yes
是否提供进出防火墙网路应用程式的过滤程式(Application
Yes No Yes
filtering)
是否提供即时监视(Real-time monitoring) Yes Yes Yes
是否提供系塻发生错误或遭到攻击的警告(Alerts) Yes Yes Yes
是否提供报告(Reports) 塻计图表功能Yes Yes Yes
由于ISA Server 2000 并不知道那一个IP 位址段为内部网路。

你必须宣告防火墙架构中内部IP 位址区段s Table 或LAT)。

依据RPC 1918 定义的内部私人网路(Private Network) IP 位址范围如下:
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255
设定LAT 如下:
•按下Construct Table(Fig 4)；
Fig 4 •勾选Add address ranges based on the Windows 2000 Routing Table ；再勾选内部网路为10.10.10.254那张网卡；接按三次Ok 便完成安彚貱
Fig 5
设定ISA Server
为了防火墙的安全考虑，将下列预墇服务程式暂时“停止”运作:
Simple Mail Transfer Protocol (SMTP)
World Wide Web Publishing Service
Network News Transport Protocol (NNTP)
IIS Admin Service
FTP Publishing Service
Routing and Remote Access
由于在ISA Server 上预墇是不允许内部使用者PING 到外面IP 位址。

也就是内对外“IP Routing 因此你只要开这个“IP Routing”功能即可让内部PING 到外面网路IP 位址。

一
Fig 6 二
Fig 7
注意: 你内部网路使用端TCP/IP 预墇闸道(Default Gateway) 必须是10.10.10.254 (ISA Server 对位址)。

三开启存取权限Protocol rules:
这是ISA Server 判断使用者是否具有向网际网路存取权限的第一关。

而ISA Server 预墇值是空白就是拒绝所有内部使用端主机进行对外通讯的服务。

Fig 8
开启存取权限Protocol rules 如下图:
Fig 9
Fig 10
点选: “Allow”à“All IP Traffic ”à“Always”à“Any request ”à完成。

(Fig . 11)
Fig 11
ISA Server 共有下列三个使用端角色:
一WEB Proxy Clients 就是设定使用者端的浏览器上的Proxy 伺服器位址及埠口。

二SecureNAT Clients 让内部使用端能存取连线到网际网路(Internet) 资源。

如内部Web
Server 转向提供某些服务给外界使用者。

三Firewall Clients 内部使用端想存取外面网际网路(Internet)必须经过使用者身份验
证。

如采用Firewall Client 角色；必须为每一个使用端安装
Firewall Client 程式。

四Web Proxy Client 网页代理使用端
使用端只要设定浏览器(如: IE，Netscape…) 上的代理服务伺服器(Proxy Server) IP 位址壼勂(Fig. 12)。

要注意的是ISA Server 预墇代理服务埠口(Port) 为“8 080”。

Fig 12
五Firewall Client 安装(Optional)
为何要在使用端安装Firewall client 程式? 系塻管理者可以针对“使用者帐号”
进行存取权控管。

当你在使用端安装Firewall client 程式时，你在ISA Server 上的存取政策(Access Policy) 即可以依据使用端登入“使用者帐号”来进行身份验证及存取权控管。

如此一来，你可以在ISA Server 上设定控管对象是针对使用者“帐号”同时也可使用端的“IP 位址”来进行使用端存取权限监管。

当然Fi rewall client 安装程式只限在Microsoft Windows 作业平台。

到使用端电脑上，开启网路芳邻，寻找ISA Server 主机并选择开启一个名为“m spclnt”的共用资料夹，对“Setup.exe”连续点选滑鼠右键二下即可。

Policy Elements 设定
禁止内部网路某一使用端对外网路服务存取
实习一: 你将新增一个规限使10.10.10.1 至10.10.10.99 IP 范围的内部使用端无法连线到网际网路上的FTP 主机。

点选“Policy Elements”下的“Client Address Sets ”à“新增”à“Set”(Fig 13) à“Add”(Fig 14)；
Fig 13
Fig 14 Fig 15
Fig 16
接点选“Protocol rules”à“新增”à“Rules”(Fig 17)；
Fig 17
Fig 18
给Protocal rule name 一个名称à“Next”(Fig 18) à“Deny ”à(Fig 19) à“Alwa ys”à“Specific computers (client address sets)”à“Add ”NoFTP à“完成”(Fig 20)。

Fig 19
Fig 20
实习二: 如何简单限制企业内部使用者去浏览色情网站。

点选“Policy Elements”→“Destination sets”→“新增”→“Set”(Fig.21)
Fig 21
Fig 22
Fig 23
你输入这个目的位址(Destination) 为“”(Fig. 23) 及该网站受限的目录(Path) 为“/* ”；Path 之所以墇为“/*”是你要管制“”下所有网页档案。

接下按“OK”→“OK”完成(Fig. 24) 。

Fig 24
接你又发现到一个新的色情网站“http://207.235.5.37”，而如何新增这个网址到这个目的集(Destination sets) 内呢？步骤如下:
点选上述“NoSexWWW”按滑鼠右键→“内容”(Fig. 25) →“Destinations”→“Ad d”(Fig. 26) →(Fig. 27) →“OK”→“确定”完成。

Fig 25
Fig 26 Fig 27
再订立一个新的站台及文件规则(Site and Content Rules)；点选“Site and Content R ules”→“新增”→“Rule”(Fig. 28) →(Fig. 29) →“Deny”→“Custom”→“S pecified destination set”→“NoSexWWW”→“Always”→“Any request”→(F ig. 30) →“完成”。

Fig 28
Fig 29
Fig 30
如图Fig 30，由于是设定这个规则是属于(Deny) ，也就是所设定的文件“Images”都不会由ISA Server 传给内部使用者。

实习三: 内部使用端对外存取时间限制设定
点选先前设定的“All Access”原则，按滑鼠右键并按下“内容”(Fig. 31)。

Fig 31
再选择“Schedule”→“New ”(Fig. 32) →输入新的排程元件(Schedule) 为“LimitD ate”(Fig. 33) →拖曳选择“星期天”时段→并点选“Inactive”按钮→“确定”。

这个设定即是星期天整天关闭存取服务不运作。

当然你可开启这个“LimitDate”来进行时段编修。

Fig 32
Fig 33
实习四: 自订文件类别(Content Group)
你可自行管制文件类别作内部向外存取规则。

接下来你将建立一个名为“SelfDefine01”的文件类别，然后再加入到自订的站台及文件规则(Site and Content Rule)。

点选: “Content Groups”→按滑鼠右键→“新增”→“Content Group”(Fig. 34)→输入名字“Name”为“SelfDefine01”(Fig. 35) →加入文件格式或副档名为文件类别(Fig. 35) →“OK ”完成(Fig. 36)。

Fig 34
Fig 35
Fig 36
开启已存在的“NoSexWeb”文件规则内容中的“HTTP Content ”(Fig. 37) →点选“S elfDefine01”→“确定”完成。

Fig 37
(注: 要“Disable ”或“删除”某些规则功能。

按滑鼠右键选择“Disable”或“删除”即可。

)
实习五: 汇出所有规则到档案
点选: “Access Policy”→按滑鼠右键→“输出清单”→汇到档案名称为“2k012.txt ”。

如何建立ISA Server 封包过滤(Packet Filtering) 原则
实习六: 设定允许对外回应ICMP 封包过滤原则
ISA Server 安装好后，是无法由网际网路(Internet) PING 到对内的网卡(203.186.33.1 73)。

设定允许防火墙对外回应ICMP 的封包过滤如下:
点选: “IP Packet Filters”→按滑鼠右键(Fig. 38) →“新增”→“Filters”→输入“I CMP_Ping_Query”→“下一步”→“Allow packet transmission”→点选“Predefined”→并向下拉再点选“ICMP ping query”→“Default IP addresses for each external i nterface on the ISA Server computer”(注: 采用预设防火墙为本机对外网路卡IP (203. 186.33.173) 位址) →“All remote computers”→“下一步”→“完成”(Fig. 39)
Fig 38
Fig 39
Publishing Service 转送服务
Web Publishing Rules: 网页转送规则透过ISA Server设定可将内部HTTP 及FTP 主机传
给外部网路使用者存取
Server Publish Rules: 期他网路转送规则如SMTP及POP3
实习七: 启动ISA Server 上HTTP 转向服务
点选: “Destination Set”(Fig. 40) →滑鼠右键→“新增”→“Set”→输入名字(N ame) : “WWW”→“Add”→点选“Destination”→并输入“www.kamo.101main.n et”→“OK”→“确定”完成(Fig. 41)。

Fig 40
Fig 41
接点选“Web Publishing Rules”(Fig.42) →滑鼠右键→“新增”→“Rule..”→输入“WebPub”→下拉到“Specified destination set”→再拉选名称(Name) 为“WWW”→“下一步”→点选“Any request”→点选“Redirect the request to this internal Web server (name or IP address):”→输入“10.10.10.133”(注: 我内部Web Server IP位址为10.10.10.133) →“下一步”→“完成”(Fig. 43)。

Fig 42
Fig 43
由于ISA Server 倾听要求内送网页(Listeners of Incoming Web Requests) 预设并未启动及指定倾听网路卡。

这个倾听功能主要是在ISA Server 指定对外网路卡以利进行网页外传(Outgoing) 或内送(Incoming) 封包服务。

启动如下:
点选本机名称如“W2K1”(Fig. 44) →“内容”→按下“Incoming Web Requests”→点选“Use the same listener configuration for all IP addresses”→“确定”→“S ave the changes and restart the service(s)”→“OK ”完成。

Fig 44
习作八: HTTP-S 转向服务:
HTTP-S 服务采用的是SSL (Secure Socket Layer) 通讯协定来保障网站与使用者之间资料传输的安全性。

而这HTTP-S 的埠口(Port) 是443。

ISA Server 预设值是无法由外部使用者连到内部网路的HTTPS 主机(如Exchange 2000 内含Outlook Web Access 的网页收发Email 功能，其中一项变更密码就必须使用HTTPS 服务。

) 。

点选: “IP Packet Filters”→“新增”(Fig. 45) →“Filter…”→输入原则名称为“H TTPS_Filter”→选择“Allow packet transmission”→“Predefined”→再拉至“HT TPS server (port 443)”→选择“Default IP addresses for each external interface on the ISA Server computer”→“All remote computers”→“完成”(Fig. 46)。

Fig 45
Fig 46
在伺服器转向规则(Server Publishing Rules) 中，新增一个规则。

点选: “Server Publishing Rules”→“新增”→“Rules…”(Fig. 47) →输入规则名称为“HTTPS_Rule”→“下一步”→输入“IP address of internal server”为“1 0.10.10.133”(注: 此内部主机为Exchange 2000 Server) →再输入“External IP add ress on ISA Server”为“203.186.33.173 ”(Fig. 48) →拉至“HTTPS Server ”→“Any request”→“完成”。

Fig 47
Fig 48 习作九: FTP 转向服务:
若你想将内部的FTP 站台(10.10.10.133) 开放给网际网路使用者存取使用。

注意: 须要新增二个封包过滤原则；允许网际网路传送FTP 控制埠口21 及FTP传送资料埠口20 给ISA Server。

1.点选: “IP Packet Filters”→“新增”→“Filter…”→输入封包过滤原则名称
“FTP_20 ”→选“Allow packet transmission ”→“Custom”→下拉IP
protocol 至“TCP”→Direction: 选择“Inbound”(即封包传送方向是由外部网路送进来) →Local port: = “Fixed port”→Port number: = “20”→Remot
e port: = “All ports”→点选“Default IP addresses for each external inte
rface on the ISA Server computer”→“All remote computers”→“完成”。

Fig 49
2.点选: “IP Packet Filters”→“新增”→“Filter…”→输入封包过滤原则名称
“FTP_21 ”→选“Allow packet transmission ”→“Custom”→下拉IP protocol 至“TCP”→Direction: 选择“Inbound”(即封包传送方向是由外部网路送进来) →Local port: = “Fixed port”→Port number: = “21”→Remot
e port: = “All ports”→点选“Default IP addresses for each external inte
rface on the ISA Server computer”→“All remote computers”→“完成”
(Fig. 50)。

Fig 50
3.新增一个名为“FTP_RULE”伺服器转向规则(Server Publishing Rules)。

点选: “Server Publishing Rules”→“新增”→“Rule…”(Fig. 47) →输
入“FTP_RULE”→输入“IP address of internal server”为“10.10.10.133”
(注: 此内部主机为Exchange 2000 Server) →再输入“External IP address o n ISA Server”为“203.186.33.173 ”(Fig. 48) →拉至“FTP Server”→
“Any request”→“完成”。

习作十: SMTP/POP3 转向服务:
设定SMTP/POP3 的转向服务跟上述步骤不同，你要采用ISA 内的一个“Secure Mail Server”来设定SMTP/POP3 的转向服务。

点选: “Server Publishing Rules”→“Secure Mail Server…”(Fig. 51) →恥选“I ncoming SMTP”及“Incoming POP3”(Fig. 52) →输入“External IP address on
ISA Server”为“203.186.33.173”→再输入“At this IP address ”为“10.10.1 0.133”→“完成”。

其实你也可以自行依前面设定FTP 站转向服务的方式来自行订定SMTP/POP3 转向服务。

Fig 51
Fig 52
ISA 2000 Server 备份及还原
ISA Server 提供了一个简单的备份及还原功能。

其操作步骤如下:
1. 备份(Backup):
点撰ISA Server 主机名称→按右键并选择“Back up…”(Fig. 53) →输入备份档名(Fig. 54) (注: 备份档副档名一定为“.bif”) →“OK”。

Fig 53
Fig 54
2. 还原(Restore):
点撰ISA Server 主机名称→按右键并选择“Restore…”(Fig. 53) →“Browse ”来选择备份档存放位置→“OK”。

Fig 55
ISA Server 记录档管理
ISA Server 记录档是修正企业安全防御工事的核心工具！不可轻视它的存在。

而ISA S erver 针对下列三个服务提供记录:
一Packet filter
二Firewall service
三Web proxy
习作十一: 记录档设定:
预设记录档位置在C:\Program Files\Microsoft ISA Server\ISALogs ；当然你可自定记录档位置。

点选: “Logs”(Fig. 55) →“Packet filters”→按滑鼠右键“内容”→依据自己需要设定档案内容即可。

Packet Filter 记录档栏
Firewall and Web Proxy 记录档栏位。