ISA 2004 Server快速安装指南

出处：ISAServer.org 作者：Thomas 时间：2004-6-17 15:52:00

Microsoft

Internet Security and Acceleration Server 2004

Beta2

快速安装指南

(译自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在“相关下载”栏目中有pdf版本的下载)

一、安装Windows net server 2003并且建立基本的网络结构

二、安装ISA Server 2004 beta2

三、查看防火墙系统策略

四、建立访问策略

1、建立允许所有流出数据的访问策略

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

五、建立一条阻止HTTP下载的HTTP策略

六、测试

七、后记

一、安装Windows net server 2003并且建立基本的网络结构

和ISA Server 2000一样，ISA Server 2004对硬件要求不是很高，在CPU Pentium III 500+ MHz、256M内存环境下都能运行，不过为了更好的性能，建议增加CPU速率和内存容量。

安装ISA Server 2004的机器应该有至少有两个网卡，一个为外部接口，一个为内部接口。但是和ISA Server 2000不一样，ISA Server 2004没有本地地址表（Local Address Table），所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy控制所有网络间的数据传输。

下图为一个测试网络，ISA Server作为一个边缘防火墙（Edge Firewall）：

在安装ISA Server 以前，应该要保证内部网络正常的工作。由于ISA Server自身不具备DNS Forwarder功能（ISA Server只能容许DNS query包通过，但是不具有自动将DNS query数据包转发到ISP的DNS服务器的功能），所以在你内部网络的DNS设置中，要么建立一个内部的DNS服务器，要么把所有客户机的DNS全部设置为你ISP的DNS。在这篇文章中，在ISA Server机上已经建立好了一个内部的DNS服务器，所有客户端以ISA Server机的内部接口作为它的网关和DNS服务器。

至于DHCP服务器，如果DHCP服务器位于ISA Server机，这个beta2版的有个BUG，无法正确的处理来自内部网络的DHCP request信息，只有Allow DHCP request from all network才能正常识别内部网络的DHCP request信息，但是这样造成了潜在风险，所以建议你不要在ISA Server机器上实现DHCP服务。

ISA Server 2004对于系统的基本要求是要求IE6.0以上，如果是在Windows 2000 server，要求是在sp4以上，另外还要求打KB821887补丁（关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在本地下载），强烈建议只在Windows net server 2003上安装。

二、安装ISA Server 2004 beta2

运行isaautorun.exe开始ISA Server 的安装，如下图：

点击next，出现180天的授权协议画面：

选择 I accept the terms in the license agreement ，然后点击Next，

在Customer Information页，输入个人信息，Product Serial Number自动生成，点击Next.继续。

在Setup Type页，如果你想改变ISA Server的默认安装选项，可以点击Custom，然后点击Next：

在Custom Setup页你可以选择安装组件，默认情况下，会安装Firewall Services、ISA Server Management和Firewall Client Installation Share，而用于控制垃圾邮件和邮件附件的Message Screener不会安装。如果你想安装Message Screener ，需要在ISA Server 机器上首先安装IIS 6.0 SMTP服务。点击Next继续：

在Internal Network页, 点击Add按钮.内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中，内部网络包含ISA Server 2004必须进行数据通信的信任的网络服务，例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火墙的系统策略会自动允许ISA Server 到内部网络的部分通信。

在Internal Network setup页，点击Configure Internal Network按钮。

在Configure Internal Network对话框中，移去Add the following private ranges选项，保留Add address ranges based on the Windows Routing Table选项. 选上连接内部网络的适配器，点击OK。

在下图的对话框中点击OK：

在内部网络地址对话框中点击OK：

在Internal Network 页点击Next：

在Ready to Install the Program 页点击Install；

在Installation Wizard Completed 页，选择Invoke ISA Server Management when wizard closes然后点击Finish。

此时，会出现Microsoft Internet Security and Acceleration Server 2004 控制台。
三、查看防火墙系统策略

默认情况下，ISA Server 2004不允许和Internet主机的通信。但是，默认防火墙系统策略允许ISA Server 2004访问部分网络以完成管理任务。

可以用以下方法查看系统策略：

1、在 Microsoft Internet Security and Acceleration Server 2004 控制台，展开服务器，右击 Firewall Policy ，指向View 并点击 Show System Rules。

2、点击上图图表栏最右方图标。

这个系统策略标识了ISA Server 2004默认的访问控制。你可以注意到Access rules由以下部分组成：Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。

注意：有条系统策略允许防火墙到任何网络的DNS服务器发送DNS queris。

四、建立访问策略

1、建立允许所有流出数据的访问策略

为了让数据能访问外部网络，你必须新建一条访问策略，执行以下步骤：

（1）在Microsoft Internet Security and Acceleration Server 2004控制台，展开ISA Server服务器，右击Firewall Policy，指向New 并点击 Access Rule:

（2）在Welcome to the New Access Rule Wizard 页，在Access policy rule name中输入“All Open Outbound”，点击OK，

（3）在Rule Action页，选择Allow ，然后点击Next.

（4）在Protocols 页，选择All outbound protocols然后点击Next.

（5）在Access Rule Sources 页，点击Add，在Add Network Entities对话框中，点击Networks 目录，双击Internal，然后点击Add Network Entities 对话框中的Close按钮。然后点击Next.

（6）在Access Rule Destinations 页中点击Add按钮，在Add Network Entities对话框中，点击Networks 目录，双击 External 然后点击Close，最后点击Next.

（7）在User Sets页，接受默认的All Users.点击Next.

（8）在Completing the New Access Rule Wizard页查看你的设置最后点击Finish 。

（9）点击面板顶部的Apply按钮，设置会马上生效。

此时，内部网络的用户已经可以完全的访问Internet了。

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

接下来，你需要建立一个访问策略，以允许内部网络客户可以连接位于ISA Server 上的DNS服务器。这点是ISA Server 2004和ISA Server 2000的不同之处：ISA Server 2000对于内部接口，是不需要设置访问策略的，但是在ISA Server 2004中，内部接口也受到访问策略的保护，所以你必须显式的允许内部客户的访问。

主要步骤和建立Allow open outbound一样，不一样的地方：

1、协议name ：DNS from Internal Network；

2、在Protocols页，选择Infrastructure下的DNS协议，如下图：

3、在Access Rule Sources页，选择Internal；

4、在Access Rule Destinations页，选择Local Host；

最后点击Apply。
五、建立一条阻止HTTP下载的HTTP策略

ISA Server 2004的Http策略允许你进行细微的控制，你可以使用Http策略来阻止用户访问任何站点、内容，或者在Http头中出现的任何协议。这条策略将阻止.zip和执行文件的下载，按以下步骤启用策略：

1、右击 All Open Outbound 访问策略然后点击 Configure HTTP命令；

2、在 Configure HTTP policy for rule 的General页，选择 Block responses with Windows executable content ，点击Apply，最后点击OK。

3、最后点击Apply使修改生效。

六、测试

至此，ISA Server 2004的配置已经基本完成，我们现在使用一台内部客户机来测试一下：

打开浏览器，输入http://www.microsoft.com/downloads/details.aspx?FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9&DisplayLang=en ，你可以看见下图：

现在我们点击isafp1.exe，因为我们的配置，ISA Server 2004防火墙将阻止可执行文件的下载，如下图：

至此，ISA Server 2004的配置已基本完成。

七、后记

当我将ISA Server 2004成功配置之后，感觉却是：ISA Server 越来越像KWF了。除了ISA Server 2004在VPN方面做了强化配置外，其他方面，ISA Server 和KWF的功能太相似了，而且有些地方还不如KWF，如无DHCP服务，不能转发DNS查询等等，而且从协议的配置上来说，也比KWF麻烦多了。由于还是个beta版本，所以不可避免的存在Bug，如我现在就有个问题，同样的Cisco VPN拨号程序，在98下可以成功连接，但是在我的2000上却始终不能正常连接，原因还在searching……但是从稳定性及系统的兼容性上看，ISA Server 2004做的相当出色，比起ISA Server 2000改进相当大。微软自己的产品，兼容性不用说了，而且比起ISA Server 2000，2004占用系统资源要更少。这个版本是标准版，有些功能，如ISA Server 2000企业版中的带宽控制和Cache监控被取消，可能在正式企业版推出后会提供。

总体来看，ISA Server 2004是世界第一流的软件防火墙，无愧于我对它的喜爱!

, ,

邮件网络安全

ISA 2004 Server快速安装指南