ISA Server2006安装和配置

理论部分

一.放火墙的概述

1.放火墙的主要功能:强化安全策略;记录用户的上网活动;隐藏用户站点或网络拓扑;安全策略的检查

2.放火墙的分类

1)包过滤型放火墙:工作在OSI参考模型的网络层,根据数据包头源地址,目的地址,端口号和协议类型等标志来确定是否允许数据包通过2)代理型放火墙:工作在OSI的最高层,应用层,代理服务器实是在确认客户端连接请求后接管连接,代其向服务器发出连接请求,代理服务器根据服务器的应答,决定如何响应客户端请求;缺点是速度慢

3)状态检测型放火墙:是由包过滤型发展而来的,可以自动生成和删除响应过滤规则,还可以追踪连接状态，工作在网络层

3.放火墙体系

双宿主堡垒主机:两块网卡的主机做放火墙,一个用外网,一个用内网三宿主堡主机:放火墙有三个接口,一个内网,一个外网,一个非军事区背靠背连接:有两台双网卡的放火墙,DMZ区就在两个放火墙之间

4.放火简介:NetScreen系列放火墙(是硬件放火墙);Ciso ASA系列放火墙(硬件放火墙);天融放火墙;Check Pint放火墙;ISA Server2004/2006(融合了状态检测型和代理型放火墙的特点)

二. ISA Server2006概述

1. ISA Server2006功能介绍(ISA Server2006是路由级别的放火墙,兼有高性能缓存功能

Internet放火墙: ISA Server2006可以部署成一台专用放火墙,作为内部用户接入Internet的安全网关

安全服务器的发布: ISA Server2006,内部用户能够向Internet发布服务, ISA Server2006计算机代表内部发布服务器来处理客户端的请求,避免服务器直接暴露在Internet上而收到攻击

Web缓存服务器: ISA Server2006可以像代理防火墙一样,通过服务器中的缓存实现网络的加速,可以同时将Internet放火墙和Web缓存部署到同一台服务器

2. ISA Server2006版本：标准版，企业版

三. ISA Server2006的安装

1. ISA Server2006安装注意事项

1)硬件配置:CPU(至少733MHZ);内存(至少512MB);硬盘空间(至少150MB);操作系统(Winsows2000/2003);网络适配器(必须为连接到ISA Server2006的每个网络单独准备一个适配器

2)DNS: ISA Server2006不自带DNS,必须使用额外的DNS服务器

3)Web发布:如果利用ISA Server2006发布Web服务器,必须让ISP保留保留静态IP地址

2. ISA Server2006的组件

阵列:对一组ISA Server2006服务器的统一管理

配置服务器:用于存储企业中全部阵列的配置信息

ISA服务器:运行放火墙.VPN和缓存服务和ISA服务器

ISA服务器:用于管理企业和阵列成员的管理终端

3.安装ISA Server2006:即可在域中安装也可在工作组环境下安装

4.配置ISA Server2006客户端

操作部分

试验案例：在工作组环境下部署ISA Server 2006 服务起

实验环境:在虚拟机中打开一个03和一个XP,用03作放火墙服务器,XP

内网客户端,真机作为外网

03 内网(lan)IP:172.16.100.100/16

外网(wan)IP:1.0.0.1

真机IP:1.0.0.2\8

XPIP:172.16.100.200\16

实验需求:配置三种不同的客户端,能访问外网的Web和Ftp 实验过程:

一.在03上安装ISA

二.在ISA上配置策略

三.配置客户端

1.配置SecureNAT Client

客户机能ping通外网

2.配置Web Proxy Client

客户端不能ping通外网,但能访问,以为它不支持一个协议

3.配置Firewall Client

客户端不能ping通外网,但能访问,以为它不支持一个协议