ISA Server 2004 入门指南 - 图文

ISA Server 2004 入门指南

目录 ? 简介 ? 功能概述 ? 安装过程 ? 功能演练 简介

Microsoft Internet Security and Acceleration (ISA) Server 2004 引入了多网络支持、易于使用和高度集成的虚拟专用网配置、得到扩展和可扩充的用户和身份验证模式，以及改进的管理特性，包括配置的导入和导出。 本章内容 1.1 目标读者

1.2 本文档中包含的内容 1.1 目标读者

如果符合下列条件，则应阅读本文档：

? 使用 ISA Server 2000 并希望了解 ISA Server 2004 的新增功能。 ? 使用其他防火墙，不熟悉 ISA Server。 ? 需要了解 ISA Server 2004 功能的介绍。

? 希望在实验室里建立 ISA Server，并使用有指导的演练来学习如何在

公司内实现 ISA Server。有关详细信息，请参阅功能演练。 在阅读完本指南后，要获得有关 ISA Server 特性和功能的详细信息，请参阅 ISA Server 帮助。 1.2 本文档中包含的内容

本文档包括在 ISA Server 2004 的此次发布中引入的产品特性的概述。同时还提供了安装说明。最为重要的是，本文档包括可以在实验室环境中实现的演练，以便读者熟悉产品的特性。理解 ISA Server 特性的最佳方法就是使用它们，因此我们建议您建立一个实验室，并尝试本文档中的演练。有关详细信息，请参阅功能演练。 功能概述 本章内容

2.1 多网络和防火墙策略 2.2 系统策略 2.3 VPN 集成

2.4 用户和身份验证 2.5 缓存

2.6 配置导出和导入

下表列出了 ISA Server 2004 的新增和改进功能。详细信息将会在随后的章节中说明。 多网络 新功能 描述 增或改进 新多网络可以配置一个或多个网络，每个网络都与其他网络有着增配置 独特的关系。访问策略是针对网络定义的，没有必要针功对给定的内部网络进行定义。在 ISA Server 2000 中，能 所有通讯都根据包括内部网络上的唯一地址范围的本地地址表 (LAT) 进行检查，而 ISA Server 2004 扩展了防火墙和安全功能，可以应用于所有网络之间的通讯。 新独特的ISA Server 的新增多网络功能可以保护您的网络免受增每网络内部或外部的安全威胁，方法是限制客户端（甚至组织功策略 内部）的通信。多网络功能支持复杂的外围网络（也称能 为 DMZ，网络隔离区或屏蔽子网）方案，因此可以配置不同网络中的客户端如何访问外围网络。 新所有通您可以在防火墙协议的上下文中通过防火墙来检查数增讯的状据和连接的状态，无论是源还是目标。 功态检查 能 新NAT 和您可以使用 ISA Server 来定义网络间的关系，这取决增路由网于访问的类型和网络间所允许的通信。在一些情况下，功络关系 您可能需要让网络间的通信更安全、更不透明。对于这能 些情况，您可以定义一个网络地址转换 (NAT) 关系。在其他情况下，您希望通过 ISA Server 简化路由通讯。在这些情况下，您可以定义一个路由关系。 新网络模ISA Server 包括网络模板，这些对应于常见的网络拓增板 扑。可以使用网络模板来配置用于网络间通讯的防火墙功策略。当您应用某个网络模板时，ISA Server 会根据能 所指定的策略创建一套必要的规则来允许通讯。 虚拟专用网络 新功能 描述 增或改进 改进功能 新增功能 新增功能 VPN 管理 VPN 的 状态检查 与第三方 VPN 可互操作的解决方案 隔离控制 ISA Server 包括高度集成的虚拟专用网络 (VPN) 机制。您可以像管理物理连接的网络和客户端那样，通过 ISA 服务器管理来管理 VPN 连接。ISA Server 的所有功能都可以用于 VPN 连接，包括监视、日志记录、会话管理。 VPN 客户端配置为独立的网络。因此，您可以为 VPN 客户端单独创建策略。规则引擎有选择地检查来自 VPN 客户端的请求，根据访问策略按状态检查这些请求并动态地打开连接。 由于支持行业标准 Internet 协议安全 (IPSec)，ISA Server 2004 可以插入到带有其他供应商的现有 VPN 基础结构的环境中，包括使用针对站点对站点连接的 IPSec 隧道模式的配置。 新ISA Server 可以将 VPN 客户端隔离在“隔离的 VPN 增客户端”网络中，直到验证它们符合企业安全要求为止。 功能 安全性和防火墙 新功能 描述 增或改进 新广泛的ISA Server 2004 扩展了 ISA Server 2000 功能，可增协议支以允许您控制访问以及使用任何协议，包括 IP 级别的功持 协议。您可以使用诸如 ping 和 tracert 这样的应用能 程序，并可以创建使用点对点隧道协议 (PPTP) 的 VPN 连接。此外，Internet 协议安全 (IPSec) 通讯可以通过 ISA Server 启用。 改身份验可以使用内置的 Microsoft Windows 或远程身份验证进证 拨入用户服务 (RADIUS) 身份验证类型或其他命名空功间对用户进行身份验证。规则可以应用于任何命名空间能 中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型，提供其他身份验证机制。 改发布 利用 ISA Server，您可以将服务器置于防火墙后端，进或者位于企业网络上或者位于外围网络上，这样可以安功全地发布它们的服务。 能 缓存 新功能 描述 增或改进 改缓存规进则 功能 管理 新功能 增或改进 改管理 进功能 新导出和增导入 功能 新仪表板 增功能 新日志查增看器 功能 改报告 进功能 利用 ISA Server 的集中缓存规则机制，可以配置存储在缓存中的对象如何进行检索以及如何从缓存中获得服务。 描述 ISA Server 包括新增的管理功能，可以使保护网络安全变得非常简单。新用户界面功能包括一个任务窗格、一个“帮助”选项卡、一个改进的入门向导以及防火墙策略编辑器的新外观。 ISA Server 引入了导出和导入配置信息的能力。您可以使用这个功能将配置参数保存到 .xml 文件中，然后从该文件中将信息导入到其他服务器中，这样就可以简化多个站点部署的防火墙配置复制。 提供关键监视信息的单一的汇总视图。如果要查看某个问题，可以打开详细监视视图来获得详细信息。 ISA Server 日志查看器实时显示防火墙日志。可以在联机实时模式下显示日志，也可以在历史查看模式下显示日志。可以在日志字段应用筛选来确定特定条目。 可以根据 Web 使用情况、应用程序使用情况、网络流量模式以及安全性来生成重复出现的报告或者只出现一次的报告。 2.1 多网络和防火墙策略

以前，内部网络的概念是指您公司内的所有计算机。外部网络是指公司外的所有计算机，通常可以通过 Internet 进行访问。当前网络的观点包括使用移动计算机访问其企业网络的用户，因此使他们自己成为不同网络的实际组成部分。分支机构连接到总部，它们希望使用总部资源，就像它们是网络的一部分那样。很多企业都使企业网络中的很多服务器（尤其是它们的 Web 服务器）可以接受公共访问，但是必须将这些服务器独立到不同的网络中，才能这么做。ISA Server 的多网络功能可以让您保护这些更复杂的网络方案。多网络支持影响到大多数 ISA Server 防火墙功能。 可以使用 ISA Server 的多网络功能来保护您的网络免受内部和外部的安

全威胁，方法是限制客户端（甚至组织内部）的通信。您可以定义在 ISA Server 中定义的各种网络之间的关系，这样 ISA Server 会确定每个网络上的计算机之间的相互通信。还可以将计算机分组到 ISA Server 网络对象（比如：计算机集和地址范围），并配置针对于每个网络对象的访问策略。

在常见的发布方案中，您可能希望将已发布的服务器隔离在它们自己的网络上（比如：外围网络）。ISA Server 的多网络功能支持这样的方案，因此可以配置企业网络上客户端如何访问外围网络以及 Internet 上的客户端如何访问外围网络。可以配置各种网络之间的关系，定义每个网络之间的不同访问策略。通过 ISA Server 中的网络模板和网络模板向导，配置外围网络拓扑变得非常简单。 下图说明了一个多网络方案。

在该图中，ISA Server 计算机连接在 Internet（外部网络）、企业网络（内部网络）和外围网络之间。ISA Server 计算机上有三个网络适配器，分别连接到每个网络。使用 ISA Server，可以在任意网络对之间配置不同的访问策略。可以确定每个网络上的计算机是否可以与其他网络上的计算机进行通信以及如何与之通信。每个网络都相互独立，只有配置允许进行通信的规则后才可以访问。

为了实现多网络方案，ISA Server 引入了下列概念：

? 网络。从 ISA Server 的观点来看，网络是可以包含一个或多个 IP 地

址和域的规则元素。网络包括一台或多台计算机，这些计算机始终对应于 ISA Server 计算机上的特定网络适配器。可以将规则应用到一个或多个网络中。 ? 网络对象。在创建网络后，可以将它们分组到网络对象集（子网、地

址范围、计算机集、URL 集或域名集）中。可以将规则应用于网络或网络对象。 ? 网络规则。可以配置网络规则来定义和描述网络拓扑。网络规则确定

两个网络之间是否存在连接以及将会允许的连接类型。可以按照下列方法之一来连接网络：网络地址转换 (NAT) 或路由。

2.1.1 网络和网络对象

网络包括一台或多台计算机，通常对应于物理网络，由 IP 地址范围定义。网络对象是您所定义的任意计算机组，例如单个网络，两个或更多网络的网络集，或者对其创建独特访问规则的计算机集。可以将规则应用于一个或多个网络或者网络对象，还可以应用于除指定的网络或网络对象之外的所有地址。计算机上每个网络适配器都可以映射到单个网络中。可以建立特定网络上所支持的 ISA Server 客户端的类型：防火墙、Web 代理或者两者。

ISA Server 预先配置为下列各种网络：

? 外部。此网络包括与任何其他内部网络不相关的所有计算机（IP 地

址）。无法删除默认外部网络。 ? 内部。根据安装，此网络包括与 ISA Server 计算机上的内部网络地址卡相关的所有计算机（IP 地址）。 ? 本地主机。此网络表示 ISA Server 计算机。无法删除或修改本地主机网络。 ? 隔离的 VPN 客户端。此网络包含尚未证实可以访问企业网络的

VPN 客户端地址。通常，此网络中的计算机允许对企业网络进行有限的访问。 ? VPN 客户端。此网络包含当前已连接的 VPN 客户端地址。在 VPN

客户端连接到 ISA Server 计算机或从 ISA Server 计算机断开时，它会动态地进行更新。无法删除 VPN 客户端网络。 本地主机、VPN 客户端和外部网络都是内置网络，用户无法删除或创建它们。内部网络是预先定义的网络，是根据安装创建的，可以修改或删除。 网络集可以配置为包括特定网络。另外，网络集可以定义为不包括（即排除）特定网络。

这些规则可以应用到网络、网络集或网络对象： ? 网络规则 ? 访问规则 ? 发布规则

对于访问规则，您要指定要对其应用该规则的目标网络和源网络。源网络指示出哪些网络被允许或被拒绝访问指定的目标网络。对于服务器发布规则，您要指定允许对特定计算机访问的源网络。 2.1.2 网络规则

网络规则定义和描述网络拓扑。网络规则确定两个网络之间是否存在连接以及拒绝的连接类型。可以按照下列方法之一来连接网络：

? 网络地址转换 (NAT)。当指定这种连接类型时，ISA Server 使用自身

的 IP 地址替换源网络上的客户端 IP 地址。当定义内部网络和网络网络之间的关系时，可能会使用 NAT 网络规则。

? 路由。当指定这种连接类型时，来自源网络的客户端请求直接中继到

目标网络。源客户端地址包括在请求中。在发布位于外围网络上的服务器时，可能会使用路由网络规则。 路由网络关系是双向的。如果定义了路由关系是从网络 A 到网络 B，那么也会存在一个从网络 B 到网络 A 的路由关系，而 NAT 关系是唯一且单向的。如果定义了 NAT 关系是从网络 A 到网络 B，那么就不可能再定义从 B 到 A 的网络关系。您可以创建定义两个关系的网络规则，但是在按顺序的规则列表中的第二个网络规则将会被 ISA Server 忽略。 根据安装，可以创建下列默认规则：

? 本地主机访问。此规则定义本地主机网络和所有其他网络之间的路由

关系。 ? VPN 客户端到内部网络。此规则定义两个 VPN 客户端网络（VPN

客户端和隔离的 VPN 客户端）和内部网络之间的路由关系。 ? Internet 访问。此规则定义内部网络和外部网络之间的 NAT 关系。 针对每个网络，按顺序处理网络规则。 2.2 系统策略

当安装 ISA Server 时，就会创建默认的系统策略。对于特定资源访问来说，系统策略会定义 ISA Server 计算机与连接到它的网络之间的访问规则。

注意：在安装 ISA 服务器时，默认情况下会启用所有系统策略类别，也会应用特定于内部网络的策略。可以修改系统策略的设置。我们建议您禁用在您的 ISA Server 配置中不需要的系统策略类别。 系统策略包含下列类别： ? 网络服务 ? 身份验证服务 ? 远程管理 ? 防火墙客户端 ? 诊断服务 ? 日志记录 ? 远程监视 ? 各种

当您启用或禁用系统策略配置组或一个配置组下的某个项目时，ISA Server 就会启用或禁用相关系统策略访问规则。 2.3 VPN 集成

ISA Server 有助于您建立并保护虚拟专用网络 (VPN)。VPN 是一个计算机集合，这些计算机通过 Internet 上的远程位置安全地连接到企业网络中。利用 VPN，您可以在模拟点对点个人链接的方式下通过共享网络或

公共网络在两台计算机之间发送数据。

VPN 连接允许在家里或其他远程站点工作的用户获得到组织服务器的远程访问连接，方法是使用由公共互联网（比如：Internet）提供的基础结构。从用户的观点来看，VPN 是计算机（VPN 客户端）和组织服务器（ISA Server 计算机）之间的点对点连接。共享网络或公共网络的实际基础结构是不相关的，因为它表面上看起来是通过专用的个人链接发送数据的。 VPN 连接还允许通过公共互联网（比如：Internet）与其他组织进行路由连接，同时维护安全的通信（例如，在地理位置上独立的办公室之间）。通过 Internet 的路由 VPN 连接逻辑上作为专用广域网 (WAN) 链接。 有两种 VPN 连接类型：

? 远程访问 VPN 连接。客户端形成连接到专用网络的远程访问 VPN

连接。ISA Server 提供对要 VPN 服务器所连接的整个网络的访问。 ? 站点对站点 VPN 连接。VPN 服务器形成安全地连接到专用网络两

个部分的站点对站点 VPN 连接。ISA Server 提供到 ISA Server 计算机所连接的网络的连接。 通过将 ISA Server 计算机用作 VPN 服务器，您可以从保护企业网络免受恶意 VPN 连接中受益。因为 VPN 服务器集成到了防火墙功能中，VPN 用户受限于针对预先配置的 VPN 客户端网络所定义的 ISA Server 访问策略。所有 VPN 客户端属于 VPN 客户端网络，并且允许它们根据预先定义的策略访问内部网络上的资源。

尽管 VPN 用户实际上是内部网络地址范围的一部分，但是它们没有必要受限于内部网络的访问策略（针对 ISA Server 所定义的）。可以配置特殊的规则来允许用户访问网络资源。

因为访问规则可以针对 VPN 客户端网络进行配置，所以 VPN 客户端受限于相同的状态检查机制，就像任何客户端在通过 ISA Server 的网络间进行通信那样。

所有到 ISA Server 计算机的 VPN 连接都会记录到防火墙日志中。这样可以允许您审核 VPN 连接。

在配置 VPN 时，可以为 VPN 用户的计算机保留一个静态 IP 地址池。VPN 客户端连接到本地网络时，它会从此地址池中分配一个 IP 地址。另外，可以选择利用动态主机配置协议 (DHCP) 服务器将 IP 地址动态分配给 VPN 客户端。IP 地址会添加到 VPN 客户端网络中。

此外，还可以为 VPN 启用隔离模式。通过启用隔离模式，可以确保在允许某个客户端加入到 VPN 客户端网络（通常具有对内部网络的无限制权限）之前检查它是否符合企业软件策略。通过在允许远程 (VPN) 客户端访问网络之前将其限制到隔离模式中，隔离控制提供了分阶段的网络访问。在客户端计算机配置符合组织特定的隔离限制后，将会根据您指定的隔离类型将标准 VPN 策略应用到连接中。例如，隔离限制可能会指定在连接到网络时要安装并启用特定的防病毒软件。尽管隔离控制不会保护计算机免受攻击者的攻击，但是可以对授权用户的计算机配置进行验证，如有必要，可以在它们可以访问网络之前进行更正。同时可以使用计时器设

置，用来指定如果客户端不符合配置要求，那么在多长的时间间隔后就会丢弃该连接。有关详细信息，请参阅 ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20612). 可以为每个 VPN 客户端连接创建两个不同的策略：

? 隔离 VPN 客户端网络。限制对客户端可以从中下载必要更新的服务

器的访问，以符合软件策略。 ? VPN 客户端网络。可以允许对所有企业（内部网络）资源的访问，

或者根据需要限制访问。VPN 客户端网络将具有一个与外部网络的 NAT 关系。将会配置定义 VPN 网络和外部网络之间的 NAT 关系的网络规则。 2.4 用户和身份验证

利用新增的 ISA Server 功能，可以将访问策略应用到 Windows 用户，或者应用到由其他身份验证机制（命名空间）验证的用户（比如：远程身份验证拨入用户服务 (RADIUS)）。ISA Server 支持身份验证机制： ? Web 代理客户端。基本身份验证（使用 Active Directory 目录服务或

RADIUS）、摘要身份验证、集成 Windows 验证或证书。 ? VPN 客户端。质询握手身份验证协议 (CHAP)、Microsoft 质询握手身份验证协议 (MS-CHAP)、MS-CHAP 版本 2、可扩展的身份验证协议 (EAP) 和 RADIUS。 ? 防火墙客户端。Kerberos 或 NTLM。

ISA Server 提供一种身份验证扩展机制，允许第三方供应商实现其他身份验证方案。

可以使用 ISA Server 将访问策略或发布策略应用到特定的用户或 IP 地址。用户可以被分组到用户集，而规则可以被应用到用户集。创建用户集时，可以将 Windows、RADIUS 和 SecurID 用户添加到该集。然后，可以将访问规则应用到该集。 2.5 缓存

利用缓存规则，可以指定存储在缓存中的内容类型，以及对象如何从缓存中获得服务。根据您组织的需要，缓存规则可以应用到所有站点或指定站点，以及应用到所有内容或限制应用到指定的内容类型。此外，还可以限制认为对象有效的时间量以及缓存规则处理过期对象的方式。

默认情况下，只有在对象的源和请求标题指示时才将其存储在缓存中。然而，可以基于下列选项指定存储哪些对象：

? 永不，不缓存任何内容。此选项禁止缓存该规则。

? 如果源和请求标题指示进行缓存。如果标题指示，就将对象存储在缓

存中。 如果选择第二个选项，还要选择缓存下列内容：

? 动态内容。如果内容是动态的，无论响应标题是什么，将会缓存对象。

? 脱机浏览的内容。这包括 302 和 307 响应。

? 内容要求用户身份验证以便进行检索。要求对用户进行身份验证。 利用缓存规则配置，可以定义是否针对超文本传输协议 (HTTP)、文件传输协议 (FTP) 以及安全套接字层 (SSL) 响应启用缓存。此外，还可以根据文件大小配置缓存规则来限制缓存的内容。

根据生存时间 (TTL) 设置缓存的 HTTP 和 FTP 对象将会过期。对于 HTTP 对象来说，根据 TTL 配置过期，这一点在响应标题中定义，而 TTL 边界在缓存规则中定义。TTL 边界以内容生存时间的百分比计算，表示创建或修改对象之后的时间量。FTP 根据缓存规则中针对 FTP 对象定义的 TTL 过期。

作为缓存规则配置的组成部分，可以定义存储在缓存中的对象如何进行检索，以及如何从缓存中获得服务。在 ISA Server 确定如何路由请求之前，如网络路由规则中定义的那样，ISA Server 会检查缓存中是否存在有效的对象副本。如果对象的 TTL 周期没有过期（在 HTTP 缓存属性或对象本身上进行指定），该对象就被认为是有效的。根据配置路由规则缓存属性的方式，ISA Server 将会从缓存中检索对象。可以配置 ISA Server 完成下列某项操作：

? 从缓存中检索某个对象，只要该对象仍然有效。如果对象无效，该请

求就会路由到服务器并进行检索。 ? 从缓存中检索某个对象，无论该对象是否仍然有效。如果缓存中没有

该对象的任何版本，该请求会路由到服务器。 ? 永不路由请求。如果缓存中没有发现该对象的任何版本，将会返回一

个错误页。 缓存规则是按顺序进行的，默认缓存规则最后处理。对于每个新连接而言，ISA Server 计算机按顺序处理缓存规则（即，第一个规则首先处理）。如果请求匹配规则所指定的条件，就会相应地路由、重定向以及缓存该请求。否则，就将处理下一个规则。这样持续到最后一个规则，处理默认规则，然后应用到请求中。

在安装 ISA Server 时，它配置默认缓存规则。首先配置默认规则，这样只有有效请求的对象才会从 ISA Server 缓存中检索。如果缓存中的对象无效，它将会直接从 Internet 进行检索。您无法修改默认缓存规则检索对象的方式。 2.6 配置导出和导入

ISA Server 包括导出和导入功能，您可以使用它将服务器配置参数保存到 .xml 文件中，然后将从该文件将信息导入到其他服务器。可以将配置保存到具有写入权限的任何目录和文件名。

当导出配置时，默认情况下会导出所有常规配置信息。这包括访问策略规则、发布规则、规则元素、警报配置、缓存配置以及 ISA Server 属性。如果您选择的话，一些服务器特定的配置信息可以被导出。此外，还可以选择导出用户权限设置和机密信息（比如：用户密码）。导出的文件中的

机密信息是经过加密的。在导入文件时，要求输入密码才能解密此信息。此密码在导出过程中进行设置。

在导出某个特定对象时，将会导出下列内容： ? 指定的对象，包括所有属性值。

? 包含在层次结构中起始于指定对象的所有子对象。

例如，如果要导出某个访问规则，网络对象和创建该规则过程中使用的用户集也会被导出，并且在将来导入该规则时将会被导入。 安装过程 本章内容 3.1 安装要求 3.2 网络需求 3.3 安装过程 3.4 默认设置

3.5 执行熟悉任务的新方法

3.6 具有单个网络适配器的 ISA Server 计算机 3.1 安装要求

为了使用 ISA Server，您需要：

? 一台配备 550 MHz 或更快 CPU 的个人计算机。

? Microsoft Windows Server 2003 或 Windows 2000 Server 操作系统。 注意：如果在运行 Windows 2000 Server 的计算机上安装 ISA Server，请注意以下附加要求：必须安装 Windows 2000 Service Pack 4 或更高版本。必须安装 Internet Explorer 6 或更高版本。如果正在使用 Windows 2000 SP4 slipstream，还必须安装 Microsoft 知识库文章 821887“在配置 Windows 2000 授权管理器运行时的审核时，授权角色的事件没有记录在安全日志中”中指定的热修补程序，该文章位于：http://go.microsoft.com/fwlink/?LinkId=22792) . 有关 ISA Server 2004 的设置和系统要求的最新信息，请参阅“ISA Server 设置和系统要求”（http://go.microsoft.com/fwlink/?LinkId=20538). ? 256 MB 的内存。

? 150 MB 的可用硬盘空间。这不包括您要用于缓存的硬盘空间。 ? 一块与计算机的操作系统兼容的网络适配器，用于与内部网络通信。 ? 用于连接到 ISA Server 计算机的每个网络的一块附加网络适配器。 ? 一个格式化为 NTFS 文件系统的本地硬盘分区。

注意：可以在仅有一块网络适配器的计算机上使用 ISA Server。通常，当另一个防火墙位于网络边缘，将公司资源连接到 Internet 时，您就会这样做。在这种单适配器方案中，ISA Server 的功能通常为已发布的服务器

提供一层附加的应用程序筛选保护，或者缓存来自 Internet 的内容。有关更多信息，请参阅“3.6 具有单个网络适配器的 ISA Server 计算机”。 警告：不要在超过四颗处理器的多处理器计算机上安装 ISA Server。 3.2 网络需求

ISA Server 同时需要域名系统 (DNS) 服务器和动态主机配置协议 (DHCP) 服务器。推荐同时将 DHCP 和 DNS 服务器安装在内部网络中的一台运行 Windows Server 2003 或 Windows 2000 Server 的计算机上。如果有必要，可以在 ISA Server 计算机上承载 DNS 和 DHCP 服务器。 3.2.1 DNS 服务器

DNS 是 TCP/IP 网络（比如：Internet）的名称解析协议。DNS 服务器承载着允许客户端计算机把好记的含有字母数字的 DNS 名称解析为计算机用于彼此通信的 IP 地址的信息。 3.2.2 DHCP 服务器

DHCP 服务器集中管理 IP 地址和相关信息，并自动将它提供给客户端。这样允许在服务器上配置客户端网络设置，而不是在每台客户端计算机上进行配置。

3.2.3 配置 DNS 和 DHCP 服务器

要打开“配置服务器向导”，请单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“配置服务器向导”。必须运行该向导两次：一次配置 DNS 服务器，另一次配置 DHCP 服务器。

在配置服务器来包括 DNS 服务器时，在“配置服务器向导”完成以后，将会出现“配置 DNS 服务器向导”。单击“DNS 清单”来检查 DNS 清单，然后遵循向导指示来配置 DNS 服务器。

在配置服务器来包括 DHCP 服务器时，“配置服务器向导”将运行“新建作用域向导”。遵循“新建作用域向导”的指示来定义 DHCP 服务器的作用域。 3.3 安装过程

如要安装 ISA Server 软件，请遵循以下步骤：

1. 将 ISA Server CD 插入 CD 驱动器，或者从共享网络驱动器运行

ISAautorun.exe。 2. 在“Microsoft ISA Server 安装”中，单击“安装 ISA Server”。 3. 在安装程序提示已完成系统配置的确定时，在“欢迎”页面上，单击

“下一步”。 4. 如果您接受用户许可协议中陈述的条款，请单击“我接受许可协议中的条款”，然后单击“下一步”。 5. 键入您的客户详细信息，然后单击“下一步”。 6. 单击“典型安装”、“完整安装”或“自定义安装”。 可以安装的组件有四个：

? ISA Server Services.构成 ISA Server 的服务。

? ISA Server Management。ISA Server Management 用户界面。 ? Firewall Client Installation Share。客户端计算机可从此处安装防火

墙客户端软件。这通常安装在非 ISA Server 计算机上，因此不是“典型安装”选项的一部分。Firewall Client Share 可安装在运行 Windows Server 2003、Windows 2000 Server 或 Windows XP 的计算机上。 ? Message Screener。一个配置来根据关键字或附件屏蔽电子邮件消

息的组件。该组件必须安装在简单邮件传输协议 (SMTP) 服务器上，该服务器通常不是 ISA Server 计算机。 “典型安装”安装 ISA Server Services 和 ISA Server Management。“完整安装”安装全部四个组件。“自定义安装”允许您选择要安装哪些组件。 7. 单击 “下一步”。

8. 配置“内部”网络。请遵循以下步骤：

1) 单击“添加”。

2) 单击“选择网络适配器”。

3) 选择“添加基于 Windows 路由表的地址范围”。

4) 选择一个或多个连接到“内部”网络的适配器。这些地址将包括

在为 ISA Server 默认定义的“内部”网络中。 5) 清除对“添加以下专用 IP 范围”的选择，除非您想要把那些范

围添加到“内部”网络中。 6) 单击“确定”。阅读“安装信息”，单击“确定”，再次单击“确定”

来完成“内部”网络配置，然后单击“下一步”。 9. 在“防火墙客户端连接设置”页面上，选择是否想要允许防火墙客户端和 ISA Server 计算机之间的非加密连接。ISA Server 2004 防火墙客户端软件使用了加密，但是较旧的版本没有使用。此外，有些版本的 Windows 不支持加密。您可以选择以下选项：

? 允许非加密的防火墙客户端连接。允许运行在不支持加密的

Windows 版本上的防火墙客户端连接到 ISA Server 计算机。 ? 允许运行早期版本的防火墙客户端软件的防火墙客户端连接到

ISA Server。仅当选择了一个选项时，此选项才可用。 10. 在“服务”页面上，检查将在 ISA Server 安装期间停止或禁用的服

务的列表。要继续安装，请单击“下一步”。 11. 单击 “安装”。

12. 在安装完成之后，如果想要立即调用 ISA Server Management，请选中“调用 ISA Management”复选框，然后单击“完成”。

3.4 默认设置

在安装之后，ISA Server 将使用下表列出的默认设置。 功能 默认设置 用户本地计算机上的 Administrators 组的成员可以配置防火墙策权限 略。 网络? 创建了以下网络规则： 设置 ? 本地主机访问。定义“本地主机”网络和“所有网络”之间的路由网络关系。这定义的是运行在 ISA Server 计算机上的服务所需要的、与其他网络的网络关系。 ? Internet 访问。定义从“内部”网络、“隔离的 VPN 客户端”网络和“VPN 客户端”网络到“外部”网络的 NAT 关系。仅当配置了适当的访问策略时，访问才会得到允许。 ? VPN 客户端到内部网络定义“VPN 客户端”网络和“内部”网络之间的路由网络关系。仅当启用了 VPN 客户端访问时，访问才会得到允许。 访问? 创建了以下默认访问规则： 规则 ? 默认规则。该规则拒绝所有网络之间的所有流量。 ? 系统策略规则。一系列允许 ISA Server 计算机与其他网络资源交互的规则。 发布 没有内部服务器对外部客户端是可访问的。 Web 默认规则。该规则规定所有 Web 代理客户端请求都直接从 链接 Internet 检索。 缓存 缓存大小设置为 0。因此所有缓存都被禁用。 3.5 执行熟悉任务的新方法

下表列出了可使用 ISA Server 2004 来执行的常见任务，并将这些任务与 ISA Server 2000 下的执行方式作了比较。 如果想要发布位在 ISA Server 2000 在 ISA Server 2004 中创于相同位置的服中创建一个允许访问建一个服务器发布规则。 务器。 位于 ISA Server 计算机上的特定服务器的静态数据包筛选器。 允许 ISA Server 创建一个允许访问 检验在安装时创建的默认计算机上的某个ISA Server 计算机上网络规则，准确地定义“本应用程序访问 的特定端口的静态数地主机”网络和“外部”网Internet 据包筛选器 络之间的关系。然后，创建一个允许访问特定协议的访问规则。 配置本地地址表单击任何服务的属性“内部”网络取代本地地址（LAT）。 上的“本地地址表”。 表，并被配置为安装过程的一部分。以后可以重新配置“内部”网络。 配置基于 IP 的协议支持。 基于 IP 的协议受到有限的支持。 配置虚拟专用网络。 使用 VPN 向导来配置客户端对路由器或路由器对路由器的 VPN。 配置传出的 Web 在数组属性上，单击请求属性。 “传出的 Web 请求”选项卡，并配置侦听器属性。 配置传入的 Web 在数组属性上，单击请求属性。 “传入的 Web 请求”选项卡，并配置侦听器属性。 创建一个协议定义，指定以下任何协议：TCP、UDP、ICMP 或 IP 级。如果选择 IP 级，您可以指定任何低级协议。 配置并启用 VPN 属性并监视 VPN 连接。 每个网络都有自己的侦听器，即负责侦听针对该网络的请求的网络适配器。 Web 侦听器被用作每个 Web 发布规则的一部分。在配置 Web 发布规则时，您将指定要把哪个侦听器用于该规则。 3.6 具有单个网络适配器的 ISA Server 计算机

ISA Server 可以安装在具有单个网络适配器的计算机上。通常，当另一个防火墙位于网络边缘，将公司资源连接到 Internet 时，您就会这样做。在这种单适配器方案中，ISA Server 通常用于缓存来自 Internet 的内容，以供公司网络上的客户端使用。 3.6.1 内部网络

ISA Server 的基本特性之一是其连接多个网络的能力。当 ISA Server 安装在单适配器计算机上时，它仅识别一个网络——“内部”网络。“内部”网络包含所有 IP 地址，以下地址除外：0.0.0.0、255.255.255.255 和地址范围 127.0.0.0-127.255.255.255。

3.6.2 在单适配器计算机上安装 ISA Server

作为安装过程的一部分，您将指定“内部”网络中的地址。在将 ISA Server 安装在具有单个网络适配器的计算机上时，请确保包括除 0.0.0.0、255.255.255.255 和地址范围 127.0.0.0-127.255.255.255 之外的所有地址。 可以使用“单网络适配器”网络模板来配置单适配器 ISA Server 计算机。要使用该模板，在“ISA Server Management”中，展开“配置”节点，并选择“网络”。在任务窗格中，在“模板”选项卡上，选择“单网络适配器”来启动“网络模板向导”。遵循向导步骤来完成该配置。推荐使用“网络模板向导”提供的默认设置。 3.6.3 缓存

可以将单适配器计算机上的 ISA Server 部署为正向代理或缓存服务器，从而为客户端提供优化的 Internet 访问。在该方案中，可以配置 ISA Server 来维护经常被请求的 Internet 对象（它们可由任何 Web 浏览器客

户端访问）的一个集中的缓存，并使用缓存规则来管理该缓存。在该方案中，您将修改默认防火墙策略来允许内部客户端访问 Internet。虽然所有 IP 地址都被认为是在相同的“内部”网络上，但是由于默认的“全部拒绝 (Deny All)”规则，ISA Server 将拒绝 Web 流量。因此您需要创建一个允许 Web 流量在网络之间传递的规则。为了启用该缓存方案，必须创建一个允许所有客户端使用 HTTP（或者 HTTPS 和 FTP，视需要而定）访问规则。由于“内部”网络唯一定义为包括所有地址，该规则的源和目标网络应该是内部的。 3.6.4 单适配器模式下的功能

当在具有单适配器的计算机上安装 ISA Server 时，不能使用以下 ISA Server 特性： ? 防火墙客户端 ? 虚拟专用网络 ? IP 数据包筛选 ? 多网络防火墙策略 ? 服务器发布 ? 应用程序级筛选

这样导致 ISA Server 成为网络中的一个受限的安全角色。 功能演练 本章内容

4.1 情境 1：导出配置

4.2 情境 2：从内部网络访问 Internet 4.3 情境 3：创建并配置受限计算机集

4.4 情境 4：利用“网络模板向导”创建外围网络 4.5 情境 5：基于外围网络发布 Web 服务器 4.6 情境 6：基于内部网络发布 Web 服务器 4.7 情境 7：配置虚拟专用网络 4.8 情境 8：修改系统策略 4.9 情境 9：导入配置

ISA Server 可支持具备高度灵活性的多网络环境，允许您将使用不同访问权限的众多网络连接起来。下列章节描述了用于展现多网络环境和功能的一些示范情境。请注意，这些示范情境并未展现该发布版本所包含的全部新增特性。相反，它们展示了某些较为常见的防火墙应用情境，可由您借助 ISA Server 加以部署。通过在实验环境下执行简单的体验步骤，您可望熟悉并习惯 ISA Server 2004 配备的某些功能特性和用户界面。 我们建议您先在实验环境下创建将 ISA Server 配置，然后，将其应用于生产环境。

这些情境都建立在一个将内部网络连接到 Internet 的实验配置假设基础之上。外围网络（又称隔离区[DMZ]或屏蔽子网）承载着各种各样的服务器。而虚拟专用网络 (VPN) 客户端则可访问基于内部网络的资源。我们建议在将解决方案部署到生产环境之前，先基于实验环境搭建三个彼此独立的网络。这次特性体验所运用的实验环境包括：

? CorpNet，用来模拟企业网络。在此演练中， CorpNet 的地址范围是：

从 10.0.0.0 到 10.255.255.255。 ? MockInternet，用来模拟 Internet。在此演练中，MockInternet 的地址

范围是：从 192.168.0.0 到 192.168.255.255。 ? PerimeterNet，用来充当外围网络。在此演练中， PerimeterNet 的地

址范围是：从 172.16.0.0 到 172.31.255.255。 下图描绘了用于此演练的模拟环境。

图中所示计算机包括：

? nternalClient1 和 InternalClient2 ，两台装有 Windows XP 的客户端

计算机。这两台计算机属于 CorpNet 域。 ? InternalWebServer ，一台装有 Windows Server 2003 和 Internet

Information Services(IIS) 的服务器。该计算机属于 CorpNet 域。 ? 一台假定位于 CorpNet 的域控制器，主要用于客户端身份验证。 ? Perimeter_IIS ，一台装有 Windows Server 2003 的计算机。这台计算

机还装有 IIS。它属于 PerimeterNet 域。 ? External1 ，一台装有 Windows Server 2003 和 IIS 的计算机。这台

计算机属于 MockInternet。 ? ExternalWebServer，一台 Web 服务器。这台计算机属于

MockInternet。 ? ISA_1，一台装有 Windows Server 2003 和 ISA Server 2004 的计算

机。它配备了三块网络适配器：

? 连接至 CorpNet 的适配器的 IP 地址为 10.0.0.1。 ? 连接至 PerimeterNet 的适配器的 IP 地址为 172.16.0.1。 ? 连接至 MockInternet 的适配器的 IP 地址为 192.168.0.1。

注意：配置中并未提到 DNS 服务器。这个功能演练情境假设 DNS 服务器已被安装至基于 CorpNet 的域控制器。这个情境还假设名称解析服务存在于每个网络范围内，而非各网络之间。

生产环境下的配置大同小异。所不同的是，生产环境配置使用由 ISA Server 定义的外部网络（代表Internet）——而非 MockInternet，并针对内部和外围网络使用真实的 IP 地址段。

为测试各种实验情境，需要配备不同的计算机。下表列示了每种情境所需使用的计算机。 情境 所需计算机 4.1 导出配置 ISA_1 4.2 从内部网络访问 ISA_1，InternalClient1，Internet ExternalWebServer 4.3 创建并配置受限计算机集 ISA_1，InternalClient2，External1 4.4 利用“网络模板向导”创ISA_1 建外围网络 4.5 基于外围网络发布 Web ISA_1，External1，Perimeter_IIS 服务器 4.6 基于内部网络发布 Web ISA_1，InternalWebServer，External1 服务器 4.7 配置虚拟专用网络 ISA_1，External1，InternalClient1 4.8 修改系统策略 ISA_1 4.9 导入配置 ISA_1 在开始配置下列情境之前，应首先确保计算机上的路由表已得到正确配置。在每个网络上，默认网关的 IP 地址均须被设定为与之相对应的 ISA Server 计算机适配器的 IP 地址。例如，当设定 Perimeter_IIS 默认网关时，应在 Perimeter_IIS 计算机的命令提示符中输入： route add 0.0.0.0 MASK 0.0.0.0 172.16.0.1 4.1 情境 1：导出配置

这个情境主要用于展示 ISA Server 的导出功能。您可将 ISA Server 计算机的全部或部分配置导出至一个 .xml 文件。该功能允许您将配置方案从一台 ISA Server 计算机复制到另一台计算机，或者在进行实质性修改之前保存当前配置，以便随心所欲地切换到先前配置状态。

您可通过这个情境尝试在进行与后续情境相关的配置调整之前将 ISA Server 计算机配置导出至一个 .xml 文件。如需导出计算机配置，请依次执行下列步骤：

1. 打开 Microsoft ISA Server 管理，单击 ISA_1。

2. 在任务窗格内的任务选项卡上，单击将 ISA Server 配置导出至文件.

这会严格按照 ISA_1 在导出时所处状态执行配置导出。 3. 在导出配置的保存在栏目中，选择希望保存导出文件的位置。在文件

名栏内，输入即将作为配置导出目标的 .xml 文件名（如

MyDefaultConfig.xml），并单击导出。

注意：您可通过选取“导出用户权限设置”将用户权限设置导出。用户权限设置包含着 ISA Server 用户安全角色，例如，具备管理权限的人员。

您可通过选取“导出用户权限设置”将用户权限设置导出。用户权限设置包含着 ISA Server 用户安全角色，例如，具备管理权限的人员。 如果您需要导出机密信息，则应选择“导出机密信息”。这样一来，机密信息便可在导出过程中接受加密处理。如果您正在导出机密信息，系统将在导出处理过程中提示您输入密码。当您导入防火墙策略配置时，将需要使用这个密码。

4. 当导出操作完成时，请单击确定关闭状态对话框。 4.2 情境 2：从内部网络访问 Internet

在这个情境中，内部客户端需要通住 Internet 的安全连接。为此，需要配备下列计算机：

? ISA_1，至少配备两块网络适配器

? InternalClient1，基于 CorpNet，情境测试专用

? ExternalWebServer，基于 MockInternet ，情境测试专用

测试目标为，从 InternalClient1 通过 ISA_1 访问 ExternalWebServer。 基于 InternalClient1 的路由表会将所有外部地址请求路由到 ISA Server 计算机的内部 IP 地址（即连接至内部网络的网络适配器的IP地址）。ISA Server 计算机将为针对外部 IP 地址的所有内部网络请求充当默认网关。 以下章节阐述了解决方案配置方法： ? 配置内部网络 ? 创建网络规则 ? 创建策略规则 ? 测试情境 4.2.1 配置内部网络

作为设置过程的一个组成部分，您已在内部网络中指定了地址范围，并由此配置了内部网络。验证配置有效性，确保内部网络只包含基于 Corpnet 的地址。在 ISA_1 上执行下列步骤：

1. 打开 Microsoft ISA Server 管理，展开 ISA_1 ，接着，展开配置节点，

然后单击网络。 2. 详细信息窗格中的网络选项卡显示了每个网络包含的地址范围。 3. 确认内部网络仅包含基于企业网络的计算机IP地址。

注意：如有必要，您可在“网络”选项卡上双击“内部”打开“内部属性”对话框，并在该对话框内重新配置内部网络。选择“地址”选项卡，并使用“添加和删除”按钮在网络上添加或删除地址范围。您

还可利用“添加适配器”按钮添加与特定网络适配器相关的全部IP地址，或借助“添加专用”按钮添加专用地址范围。

4. 双击内部（在网络选项卡上）打开内部属性对话框。在Web代理选项

卡上，确认启用Web代理客户端和启用HTTP复选框均被选中，并已将 HTTP 端口设定为8080，然后，单击确定。 4.2.2 创建网络规则

作为安装过程的一个组成部分，默认 Internet 访问网络规则已创建完毕。这个规则定义了内部网络与外部网络之间的关系。如需确认网络配置状态，请依次执行下列步骤： 1. 展开配置节点，并单击网络。

2. 在网络规则选项卡上，通过双击 Internet 访问规则打开 Internet 访问

属性对话框。 3. 在源网络选项卡上，确认内部已被列示出来；否则，应执行以下步骤：

1) 单击添加。

2) 在添加网络实体中，依次点击网络、内部和添加，然后，单击关

闭。 4. 在目录网络选项卡上，确认“外部”已被列示出来；否则，应执行以

下步骤：

1) 单击添加。

2) 在添加网络实体中，依次点击网络、外部和添加，然后，单击关

闭。 5. 在网络关系选项卡上，选择网络地址转换 (NAT) 。 6. 单击“确定”。

7. 如果您进行过修改，则应在详细信息窗格中单击应用。 4.2.3 创建策略规则

如允许内部客户端访问 Internet，则必须创建允许内部客户端使用 HTTP 和 HTTPS 协议的访问规则。为此，应执行以下步骤：

1. 单击防火墙策略。在任务窗格内选择任务选项卡，通过单击新建访问

规则启动“新建访问规则向导”。 2. 在欢迎页面上，键入规则名称。例如，输入 Allow Internal clients HTTP and HTTPS access to the Internet 。然后，单击下一步。 3. 在规则操作页面上，选择允许，并单击下一步。

4. 在协议页面上的此规则应用于列表中，选择指定协议，并点击添加。 5. 在添加协议对话框内，展开常用协议。依次单击HTTP、添加、HTTPS

和添加，然后，点击关闭。然后，单击下一步。 6. 在访问规则源页面上，单击添加。

7. 在添加网络实体对话框内，先单击网络，再选择内部。依次单击添加

和关闭。然后，单击下一步。 8. 在访问规则目标页面上，单击添加。

9. 在添加网络实体对话框内，先单击网络，再选择外部。依次单击添加

和关闭。然后，单击下一步。 10. 在用户集页面上，确认已指定所有用户。然后，单击下一步。 11. 查对摘要页面，然后，单击完成。

12. 在详细信息窗格内，通过单击应用接受所做修改。请注意，所做修改

需要一段时间后方可生效。 4.2.4 测试情境

为确认情境有效，我们将使用 InternalClient1 访问基于外部网络 (MockInternet) 的 ExternalWebServer。 请在 InternalClient1 上执行下列步骤：

1. 在 InternalClient1 上，打开 Internet Explorer 6.0。

2. 在Internet Explorer中，单击工具菜单，并选择 Internet 选项。 3. 在连接选项卡上，单击局域网设置。

4. 在代理服务器下方，选中为 LAN 使用代理服务器复选框。 5. 在地址栏内输入计算机名称“ISA_1”，并在端口栏内输入8080。如果

实验配置中不存在 DNS 服务器，则应以 ISA_1 的 IP 地址替代计算机名称。 6. 确认自动检测设置已被选中。

7. 关闭 Internet Explorer 。然后，重新打开 Internet Explorer 。 8. 在 Internet Explorer 的地址栏内，输入 ExternalWebServer 的 IP 地

址。 请注意，如果 MockInternet 上存在可供用于名称解析的 DNS 服务器，您便可输入 ExternalWebServer 的完全合格域名 (FQDN) 。

如果您的浏览器需要显示基于 ExternalWebServer 发布的网页，则表明 InternalClient1 已访问过 ExternalWebServer，这个情境配置成功。 4.3 情境 3：创建并配置受限计算机集

您将通过这个情境在内部网络中创建一个计算机集，并禁止这个集合中的计算机访问 Internet 。为此，需要配备以下计算机： ? ISA_1，至少配置两块网络适配器。 ? InternalClient2 ，基于 CorpNet。

? ExternalWebServer ，基于 MockInternet，情境测试专用。 以下章节阐述了解决方案配置方法： ? 配置受限计算机集 ? 限制访问 Internet

? 测试情境

4.3.1 配置受限计算机集

下面这个例子将使用内部网络的实验部署相关的 IP 地址范围：从 10.0.0.0 到 10.255.255.255 。在这个例子中，您将创建一个涵盖 IP 地址段 10.54.0.0–10.55.255.255 的计算机集，其中包括计算机 InternalClient2 。为此，请依次执行以下步骤：

1. 打开 Microsoft ISA Server 管理，展开ISA_1，并单击防火墙。 2. 在任务窗格内，单击工具箱选项卡，并选择网络对象，接着，单击新

建，然后，选择计算机集。 3. 在名称栏内，输入新计算机集的 名称，例如Restricted Computer Set。 4. 单击添加并选择地址范围。

5. 在新地址范围规则元素对话框内，输入地址范围名称，例如 Range for

Restricted Computer Set 。指定一个包含 InternalClient2 地址的IP地址范围，如 10.54.0.0–10.55.255.255 ，然后，点击确定。 6. 单击确定关闭新计算机集规则元素对话框。 7. 在详细信息窗格中，单击应用使所做修改生效。

8. 将网络配置保存到一个.xml文件，以便在配置接受修改或网络对象遭

到破坏时进行恢复。在任务窗格内的工具箱选项卡上，选择网络对象，展开计算机集，右键单击新近定义的计算机集，并导出选定对象。选择一个用于保存含有配置信息文件的位置，并指定一个足以概括该文件内容的名称，例如 Restricted computer set export file 。单击导出完成配置导出操作。 9. 当导出操作完成时，单击确定关闭状态对话框。 4.3.2 限制访问Internet

现在，您可着手创建用于禁止这个计算机集访问 Internet 的访问规则。请注意，访问规则的顺序将直接影响到计算机组合能否访问 Internet。ISA Server 将按顺序读取访问规则；如果服务器在读出“受限计算机集”拒绝访问规则之前读到内部网络允许访问规则，将允许计算机集访问 Internet。

如需创建禁止从“受限计算机集”访问外部网络的访问规则，请依次执行下列步骤：

1. 单击防火墙策略。在任务窗格中，选择任务选项卡，并通过单击新建

访问规则启动“新建访问规则向导”。 2. 在欢迎页面上，键入规则名称。例如，输入 Deny Restricted Computer Set HTTP and HTTPS access to the Internet 。然后，单击下一步。 3. 在规则操作页面上，先选择拒绝，再单击下一步。

4. 在协议页面上的此规则应用于列表中，选择指定协议，然后，单击添

加。

5. 在添加协议对话框内，单击常用协议。依次单击HTTP、添加、

HTTPS 、添加和关闭，然后，单击下一步。 6. 在添加网络实体对话框内，先单击计算机集，再选择受限计算机集。

然后，依次单击添加、关闭和下一步。 7. 在访问规则目标页面上，单击添加。

8. 在添加网络实体对话框内，单击网络，并选择外部。然后，依次单击

添加、关闭和下一步。 9. 在用户集页面上，确认已设定为所有用户。然后，单击下一步。 10. 查对摘要页面后单击完成。

11. 在详细信息窗格中，单击应用使所做修改生效。

12. 应将规则保存至一个.xml文件，以便在进行基础性修改（如运行“网

络模板向导”）时导入原有规则。在详细信息窗格内。右键单击新近定义的规则，并选择导出选定对象。选择一个用于保存含有规则信息文件的位置，并指定一个足以概括该文件内容的名称，例如 Restricted Computer Set Internet Deny Rule.xml 。单击导出完成规则导出操作。 13. 导出操作完成时，单击确定关闭状态对话框。 4.3.3 测试情境

为确认情境有效，我们将使用“受限计算机集”中的 InternalClient2 访问基于外部网络 (MockInternet) 的 ExternalWebServer。 为此，应基于 InternalClient2 执行下列步骤： 1. 在 InternalClient2 上打开 Internet Explorer 6.0。

2. 在 Internet Explorer 中，先单击工具菜单，再选择 Internet 选项。 3. 在连接选项卡上，单击局域网设置。

4. 在代理服务器下方，选中为局域网使用代理服务器复选框。 5. 在地址栏内输入 ISA_1 的计算机名称（如果您尚未配置 DNS 服务

器，则应输入 IP 地址），并在端口栏内输入 8080 。 6. 确认自动检测设置处于选中状态。

7. 先关闭 Internet Explorer ，再重新打开 Internet Explorer。

8. 在 Internet Explorer 的地址栏内，输入 ExternalWebServer 的 IP 地址。 注意：如果 MockInternet 上存在可供用于名称解析的 DNS 服务器，您便可输入 ExternalWebServer 的完全合格名称 (FQDN )。

如果您的浏览器显示出一个拒绝访问页面，则表明您已成功配置了计算机集与禁止访问规则。

在“防火墙策略”详细信息窗格中，您所创建的拒绝访问规则将被排列在访问规则列表的顶部。如果您将拒绝访问规则的优先次序移至（上个情境中创建的）名为 Allow Internal clients HTTP and HTTPS access to the

Internet 的允许访问规则下方，ISA Server 就会首先评估允许访问规则，而“受限计算机集”中的计算机便有权访问 Internet 。如需调整拒绝访问规则的顺序，则应右键单击规则，并在随后弹出的快捷菜单上选择下移。当您将拒绝访问规则移到允许访问规则下方并通过应用按钮令其生效后，应再次测试 Internet 访问效果。现在， InternalClient2 应已具备 Internet 访问权限。

如果您的浏览器显示出基于 ExternalWebServer 的网页，则表明 InternalClient2 能够访问 ExternalWebServer，您已成功配置了实验情境。 4.4 情境 4：利用“网络模板向导”创建外围网络 您将在这个情境中利用“网络模板向导”创建外围网络。 如需配置这个情境，应依次执行下列步骤： ? 4.4.1 创建外围网络

? 4.4.2 恢复受限计算机集访问规则 4.4.1 创建外围网络

您将利用“网络模板向导”创建外围网络，并从内部网络访问 Internet。 如需创建外围网络，请依次执行下列步骤：

1. 在 Microsoft ISA Server 管理中，展开ISA_1，并依次单击配置和网络。 2. 在任务窗格的模板选项卡上，选择3足式外围网络。这个操作将启动

网络模板向导。 3. 在欢迎页面上，单击下一步。

4. 如需保存当前配置，则应在导出 ISA Server 配置页面上单击导出。

这样一来，您便可通过导出已存文件的方式将 ISA Server 计算机恢复到原有配置状态。如果您已单击导出，则应指定文件存储位置和描述性文件名（如 Configuration prior to configuring 3-leg Perimeter ），然后单击导出。 5. 在导出 ISA Server 配置页面上，单击下一步。

6. 在内部网络 IP 地址页面上，使用添加和删除按钮将显示内容调整为

仅包含内部网络 IP 地址。调整后的IP地址包括 InternalClient1 的 IP 地址和已连接至内部网络的 ISA_1 计算机的网卡 IP 地址。单击下一步。 7. 在外围网络IP地址页面上，使用添加和删除按钮将显示内容调整为仅

包含外围网络 IP 地址。调整后的 IP 地址包括 Perimeter_IIS 的IP地址和已连接至外围网络的 ISA_1 计算机的网络适配器的 IP 地址。单击下一步。 8. 在选择防火墙策略页面上，通过选择允许有限 Web 访问（在向导程

序完成时）创建允许从内部网络访问外部网络的访问规则，然后，单击下一步。 9. 在摘要页面上查对网络配置，然后，单击完成。

10. 在详细信息窗格内，单击应用，以便令使用向导程序进行的修改生效。 注意：“网络模板向导”可创建两个网络规则：一个用于在外围网络与外部网络之间创建路由关系（即外围访问规则），另一个用于在内部网络和外围网络之间创建 NAT 关系（即外围配置规则）。如需确认规则是否成功创建，可在“网络”详细信息窗格内查看“网络规则”选项卡。 路由关系具有双向性，既包括从源到目标的路由，也包括从目标到源的路由。而NAT关系则表现为单向性，仅限从源到目标。 4.4.2 恢复受限计算机集访问规则

当您运行“网络模板向导”并应用所做修改时，已将受限计算机集连同禁止受限计算机集访问 Internet 的访问规则一并删除。您既可再次创建这些计算机集及其访问规则，又可从已在创建受限计算机集及其访问规则时保存的 .xml 文件中导出相关配置。

如需导入已经保存的配置，请依次执行下列步骤：

1. 在 Microsoft ISA Server 管理中，先展开 ISA_1 ，再右键单击防火墙

策略，并在随后弹出的快捷菜单上选择导入。 2. 输入在情境 3 中创建的导出访问规则保存位置和文件名（如

Restricted Computer Set Internet Deny Rule.xml ），并单击导入。当导入操作完成时，单击确定。 3. 在详细信息窗格中，单击应用使所做修改生效。

注意：当您导入某一访问规则时，还导入了其所引用的规则元素，因此，不必单独导入计算机集。您可通过在任务窗格内右键单击元素类型并在“工具箱”选项卡上选择“导入全部”的方式单独导入规则元素。 4.5 情境 5：基于外围网络发布 Web 服务器

在这个情境中，基于外围网络的 Web 服务器将被提供给 Internet 用户访问。

您将使用Web发布规则发布 Web 服务器。Web 发布规则需要负责侦听 Web 请求的 Web 侦听器。 为此，需要配备下列计算机：

? ISA_1，至少配备三块网络适配器。

? Perimeter_IIS ，基于 PerimeterNet ，情境测试专用。 ? External1，基于 MockInternet ，情境测试专用。 为配置这个情境，您将执行以下步骤： ? 4.5.1 创建 Web 发布规则 ? 4.5.2 测试情境 4.5.1 创建 Web 发布规则

如需创建允许 Internet 客户端计算机 (External1) 访问外围网络 Web 服务器 (Perimeter_IIS) 的 Web 发布规则，请依次执行下列步骤：

1. 在 Microsoft ISA Server 管理中，先展开 ISA_1 ，再单击防火墙策略。 2. 在任务窗格的任务选项卡上，单击发布 Web 服务器启动“新建 Web

发布规则向导”。 3. 在欢迎页面上的Web 发布规则名称栏内，输入规则名称： Allow External to Perimeter_IIS 。单击下一步。 4. 在选择规则操作页面上，先选择允许，再单击下一步。

5. 在定义发布网站页面上的计算机名称或 IP 地址栏内，输入用于发布

的 Web 服务器 IP 地址或计算机名称，然后，单击下一步。

注意：您可在“定义发布网站”页面上的“文件夹”栏内指定专用发布文件夹。 6. 在发布名称详情页面上，确认这个域名已被选中。在这个域名下方的

文本框内，输入已发布站点的公用域名或 IP 地址。这就是用户为访问您的网站而需要输入浏览器地址栏的信息。在没有可供解析名称的实验设置中，应使用 ISA Server 计算机外部网站的 IP 地址。您可指定一个文件夹，这个文件夹将被加入名称并显示在站点栏内。单击下一步。 7. 在选择 Web 侦听器页面上，单击新建启动“新建 Web 侦听器向导”。 8. 在“新建 Web 侦听器向导”欢迎页面上的 Web 侦听器名称栏内，

输入 Web 侦听器名称： Listen on Port 80 of External Network 。然后，单击下一步。 9. 在 IP 地址页面上，先选择外部，再单击下一步。这个侦听器将负责

接收来自外部网络的请求。 10. 在端口指定页面的HTTP 端口栏内，输入 80 。如果您需要基于

HTTPS 发布，则可选择启用 SSL ，并指定一个 SSL 端口。这会要求您使用选择按钮在页面上选取一个证书。单击下一步。 11. 查对摘要页面，然后，单击完成关闭“新建 Web 侦听器向导”。 12. 在选择 Web 侦听器页面上，单击下一步。

13. 在用户集页面上，确认所有用户已被列入此规则应用于来自下列用户

集的请求。单击下一步。 14. 查对摘要页面，然后，单击完成。

15. 在详细信息窗格中，单击应用使所做修改生效。

注意：您可独立于 Web 发布规则创建并修改 Web 侦听器。针对当前 Web 侦听器的访问主要通过“防火墙策略”任务窗格“工具箱”选项卡上的“Web 侦听器”文件夹实现。如需新建 Web 侦听器，则应在“防火墙策略”任务窗格的“工具箱”选项卡上单击“新建”，并选择“ Web 侦听器”。 4.5.2 测试情境

为确认情境配置已经生效，我们将使用外部客户端 External1 访问基于外围网络 (PerimeterNet) 的 HTTP 服务器 Perimeter_IIS 。为此，应

External1 上依次执行下列步骤： 1. 打开 Internet Explorer 。

2. 确认不存在已经过配置的代理客户端。为此，应在工具菜单上选择

Internet 选项。在连接选项卡上，单击局域网设置。确认以下复选框均未被选中：自动检测设置、使用自动配置脚本和为 LAN 使用代理服务器。单击确定关闭 Internet 选项。 3. 在地址栏内，输入 ISA Server 计算机外部网络适配器的IP地址。 如果客户端访问到基于 Perimeter_IIS 的默认站点，则表明您已成功实现情境配置。

4.6 情境 6：基于内部网络发布 Web 服务器

您可通过这个情境将基于内部网络的 Web 服务器提供给基于 Internet 的外部用户。为此，需要配备以下计算机： ? ISA_1，至少配备两块网络适配器。

? InternalWebServer，充当 Web 服务器，情境测试专用。 ? External1，基于 MockInternet 的外部客户端，情境测试专用。 为了配置这个情境，应依次执行下列步骤： ? 4.6.1 创建网络规则 ? 4.6.2 发布 Web 服务器 ? 4.6.3 测试情境 4.6.1 创建网络规则

在对定义内部网络与外部网络之间关系的网络规则进行确认之前，应按4.2.1提供的操作说明对内部网络配置有效性加以验证。

安装过程曾创建过一个默认网络规则，它定义了从内部网络到外部网络的 NAT 关系。如需确认这个规则是否得到正确配置，应在 ISA_1 上执行下列步骤：

1. 在Microsoft ISA Server 管理上，先展开 ISA_1 ，再展开配置节点，

然后，单击网络查看“网络”详细信息窗格。 2. 在详细信息窗格内，单击网络规则选项卡。您既可在详细信息窗格内

核实规则配置状态，又可执行下列步骤打开规则属性。 3. 双击Internet访问规则，打开Internet 访问属性。 4. 在常规选项卡上，确认规则已得到启用。

5. 在源网络选项卡上，确认内部网络已被列示出来。 6. 在目标网络选项卡上，确认外部网络已被列示出来。 7. 在网络关系选项卡上，确认网络地址转换已被选中。 4.6.2 发布 Web 服务器

运用 Web 发布规则允许外部客户端访问基于内部网络的 Web 服务器。

Web 服务器的发布依赖于 Web 发布规则的创建。您还将在规则创建过程中，生成一个 Web 侦听器，以便为 ISA Server 指定接收内部网站访问请求的 IP 地址。如果您仍拥有一个专为外围 Web 发布情境创建的侦听器，则应在这个情境中继续使用它，而不必新建侦听器。

注意：您可创建并修改独立于 Web 发布规则的 Web 侦听器。针对现有 Web 侦听器的访问主要通过“防火墙策略”任务窗格中“工具箱”上的 Web 侦听器文件夹实现。如需新建 Web 侦听器，则应在“防火墙策略”任务窗格的“工具箱”选项卡上单击“新建”，并选择“Web 侦听器”。 如需创建 Web 发布规则，以允许基于 Internet(External1) 的客户端计算机访问基于内部网络 (InternalWebServer) 的 Web 服务器，则应依次执行下列步骤：

1. 在 Microsoft ISA Server 管理中，先展开 ISA_1 ，再单击防火墙策略。 2. 在任务窗格的任务选项卡上，单击发布 Web 服务器启动“新建 Web

发布规则向导”。 3. 在欢迎页面上的Web 发布规则名称栏内，输入以下规则名称： Allow External to InternalWebServer 。然后，单击下一步。 4. 在选择规则操作页面上，先选择允许，再单击下一步。

5. 在定义将要发布的网站页面上的计算机名称或 IP 地址栏内，输入所

需发布 Web 服务器的 IP 地址或计算机名称。您应在不具备可供解析名称的实验设置中，使用 ISA Server 计算机的外部网卡 IP 地址。接着，单击下一步。

注意：您可在“定义将要发布的网站”页面上的“文件夹”栏内，指定需要发布的特定文件夹。在不具备 DNS 服务器的实验设置环境下，您将运用同一 IP 地址识别基于外围和内部网络的 Web 服务器，所以，每次只有一个服务器可供访问——究竟哪个服务器可供访问主要取决于规则的排列顺序。在生产部署环境或具备 DNS 服务器的实验部署环境下，DNS 服务器将承担名称解析任务，从而消除这个问题。

6. 在公用名称详情页面上，确认这个域名已被选中。在这个域名下方的

文本框内，输入已发布站点的公用域名或 IP 地址。这就是用户为访问您的网站而需要输入浏览器地址栏的信息。您可指定一个文件夹，这个文件夹将被加入名称并显示在站点栏内。单击下一步。 7. 在选择 Web 侦听器页面上，单击新建启动“新建 Web 侦听器向导”。 8. 在“新建 Web 侦听器向导”的欢迎页面上，将以下 Web 侦听器名

称输入 Web 侦听器名称栏内： Listen on Port 80 of External Network ，然后，单击下一步。 9. 在 IP 地址页面上，先选择外部，再单击下一步。这个侦听器将从此

接收来自外部网络的请求。 10. 在端口规格页面上的HTTP 端口栏内，输入 80 。如果您需要基于

HTTPS发布，则可选择启用 SSL ，并指定一个 SSL 端口。这会要

求您使用选择按钮在页面上选取一个证书。 单击下一步。 11. 查对摘要页面，然后，单击完成。 12. 在选择 Web 侦听器页面上，单击下一步。

13. 在用户集页面上，确认所有用户已被列入此规则应用于来自下列用户

集的请求。单击下一步。 14. 查对摘要页面，然后，单击完成。

15. 在详细信息窗格中，单击应用使所做修改生效。 4.6.3 测试情境

为确认情境配置成功，您将使用外部客户端 External1 访问位于内部网络 (CorpNet) 的 HTTP 服务器 InternalWebServer。ISA_1 将侦听以 InternalWebServer 名义发出的请求，并根据 Web 发布规则将它们转换至 InternalWebServer。

为此，应在 External1 上执行下列步骤： 1. 打开 Internet Explorer 。

2. 在地址栏内，输入基于 ISA_1 的外部适配器的IP地址。

如果客户端访问到基于 InternalWebServer 发布的网站，则表明这个情境配置成功。

4.7 情境 7：配置虚拟专用网络

ISA Server 将在这个情境中为连接至企业（内部）网络的远程客户端充当 VPN 服务器。为此，需要配备以下计算机： ? ISA_1 ，至少配备两块网络适配器。

? External1，基于 MockInternet 的 VPN 客户端，情境测试专用。 ? InternalClient1，基于 Corpnet ，情境测试专用。 以下章节描述了这个情境的配置方法： ? 4.7.1 启用 VPN 客户端访问 ? 4.7.2 创建访问规则

? 4.7.3 创建具备拨号权限的 Windows 用户 ? 4.7.4 创建网络拨号连接 ? 4.7.5 测试情境

4.7.1 启用 VPN 客户端访问

您将在这个步骤中启用 VPN 客户端访问。您必须为启用 VPN 连接而激活虚拟专用网络特性。其它全部 VPN 客户端属性均假定为默认设置。这当中包括从内部网络动态指派的 IP 地址池默认设置——可供连接至 ISA Server 的客户端使用。这个解决方案还假设内部网络上存在可供 VPN 客户端用于解析名称的动态指派名称解析服务器。 如需配置 VPN 属性，请依次执行下列步骤：

1. 在Microsoft ISA Server 管理中，先展开 ISA_1 ，再单击虚拟专用网

络（VPN）。 2. 在任务窗格的任务选项卡上，单击启用 VPN 客户端访问。 3. 在详细信息窗格中，单击应用使所做修改生效。

注意：ISA Server 已在安装过程中生成了用于在 VPN 客户端和内部网络之间创建路由关系的网络规则。如果您希望特定 VPN 客户端有权访问其它网络，则必须新建一个网络规则。由于我们的目的在于以透明方式将 VPN 客户端转变成内部网络组成部分，并使之有权查看基于内部网络的计算机，因此， VPN 客户端与内部网络之间的关系是一种路由关系。 如果您的实验配置不包括为 VPN 客户端指派 IP 地址的 DHCP 服务器，则应创建从中指派 IP 地址的静态地址池。为此，请依次执行下列步骤：

1. 在 Microsoft ISA Server 管理中，先展开ISA_1，再单击虚拟专用网络

（VPN）。 2. 在任务窗格内的任务选项卡上，单击位于常规 VPN 配置下方的定义地址分配。这个操作将打开虚拟专用网络（VPN）属性页面的地址分配选项卡。 3. 选择静态地址池。

4. 单击添加。在IP 地址范围属性对话框内，设定将被分配给 VPN 客户

端的 IP 地址范围。请注意，这些地址不可出自内部网络所涵盖的地址范围。 5. 单击“确定”。

6. 在详细信息窗格中，单击应用使所做修改生效。 4.7.2 创建访问规则

如果允许 VPN 客户端访问内部网络资源，则必须创建专用访问规则。为此，请依次执行下列步骤：

1. 在Microsoft ISA Server 管理中，先展开 ISA_1 ，再单击防火墙策略。 2. 在任务窗格内的任务选项卡上，单击新建访问规则启动“新建访问规

则向导”。 3. 在欢迎页面上，输入规则的名称。例如，输入 Allow VPN clients access to Internal 。然后，单击下一步。 4. 在规则操作页面上，先选择允许，再单击下一步。

5. 在协议页面上的此规则应用于列表中，选择所有出站协议，以允许

VPN 客户端访问基于任务协议的内部网络。单击下一步。 6. 在访问规则源页面上，单击添加。

7. 在添加网络实体页面上，先单击网络，再选择 VPN 客户端。然后，

依次单击添加和关闭。接着，在访问规则源页面上，单击下一步。 8. 在访问规则目标页面上，单击添加。

本文来源：https://www.bwwdw.com/article/tag7.html