ISA2004安装及发布多种服务器配置
利用三天的时间,终于把公司的ISA2004防火墙配置好了,其间反反复复,折腾了无数次,下面简单说说配置ISA的方法和一些心得。微软的ISA2004在用于小型单位或个人构建安全高效的网站时很方便适用(针对有独立的服务器而言)。
ISA2004比ISA2000的功能上改进了很多,ISA2004引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA2004提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题。安装ISA2004还是比较简单的,在这里我就不赘述了,安装过程中,会提示让你输入内部网络的地址范围,可以通过服务器的路由表学习,或从网卡学习,一般我们选用192.168.xxx.xxx网段,在这里手工输入即可。
安装好ISA2004后,我们开始来配置访问规则。ISA2004允许手工创建访问规则和策略,安装完ISA后,会有一条默认的访问规则“禁止任何网络到任何网络以各种形式的访问”,意思就是禁止内网访问外网,这条规则是删不掉的。在此基础上,我们可以逐条增加访问规则,使得内网可以访问外网,并可以在上面跑各种的应用和协议。下面我来介绍一下几种常见的应用。
一、内网访问Internet
这是最基本的应用,配置如下:先起个策略名,然后选择“协议”设置界面窗口,该界面主要设置该访问规则针对客户端提出请求时的哪一种协议。在下拉框中有“所有出站通讯”、“所选的协议”、“除选择以外的所有出站通讯”三种选择方式。这里设置的是“所有出站通讯”,主要是让单位内部网络的所有机器都能访问Internet不受任何阻挡。在这里还可以点击“端口”按钮进入设置源端口范围,规定允许来自该范围内的端口的客户端的通讯。点击下一步进入的“访问规则源”设置窗口,点击添加按钮添加网络实体,我这里选择的网络实体是网络集中“内网”。再点击下一步进入“访问规则目标”设置窗口,点击添加按钮添加网络实体,我这里选择的网络实体是计算机集中“任何地点”。点击下一步进入“用户集”设置窗口,点击添加按钮添加用户,我这里选择的用户集是“所有用户”。点击下一步点击完成按钮,这样就成功的完成了“访问外网”访问规则的设置,如图所示。最后还要点击“应用”按钮,保存并更新ISA的配置。
二、内网架设web服务器
我们公司有三个网站,分别对应三个不同的域名,它们都解析到同一个ip地址,三天中至少一大部分的痛苦来自于此,就不提了,主要思路就是:三个网站分别映射到不同的端口上,可以分配成80、8080、8070,然后配置不同的主机头,根据域名来匹配,然后转向不同的网站,我们主要来谈isa的配置,这部分就不说了。下面继续,如果要对外发布一个web服务器,isa提供了“web服务器配置向导”,可以按向导来配,配起来并不难,其间要注意:ip地址要配置web服务器的内网地址,“公共域名”填你要发布的域名,Web侦听器的目的是指定网络上的哪些 Internet 协议 (IP) 地址和端口将侦听 Web 请求,这里可以分别配80、8080、8070。向导配置完成后,还没完,还要添加两条协议。这是因为isa中,http协议默认开放的是80端口,要想发布其他端口的网站,就需要增加协议。在“创建新的服务器访问规则”中,有“新建协议定义向导”,这里我们加入8080,8070端口就可以了。
三、发布邮件服务器、ftp服务器
发布邮件服务器和ftp服务器都比较简单,放在一起来说。首先我们要建立好邮件服务器或ftp服务器,通常邮件服务器我们选用exchang或imail等,ftp服务器软件更多,像server-u、liteFTP等。isa发布邮件服务器有专门的向导,比较简单,我们只要选中常用的pop、pop3、smtp等协议,按照向导一步一步下去就可以了。发布ftp服务器没有专门的向导,但是我们可以用“创建新的服务器访问规则”来创建。类似的,我们还可以发布telnet服务器、DNS服务器等。总之isa提供了面向协议、端口,基于网络、计算机集、IP地址等的访问规则和策略。控制起来很灵活,有效地保证了内网及内网中的设备的安全,是一种不错的企业级软件防火墙。我之所以写这篇文章,希望今后有朋友要配置ISA时能对您有所帮助,少走些弯路。当然我对ISA的配置和理解还处在学习中,希望net130的朋友多多互相帮助,共同进步。
配置ISA花絮:第一次装上ISA后,发现系统总是每隔一段时间自动关机,cpu的利用率也很高,怀疑中毒了。赶紧装金山毒霸杀毒,果然杀出了7种病毒,包括臭名昭著、n年前流行的“冲击波”。病毒杀不干净,无奈重做系统。在这里要提醒各位,不要在服务器上安装来路不明的软件或汉化版,即使是某些知名的软件,尽量也不要用最新的版本,等许多人测试之后稳定了,再使用。有可能厂商在最新的版本中加入不安全的代码或后门,给我们带来不必要的麻烦。 谢谢。不错。 路过 能用么 haohaohao 你们都是高手,我会虚心向大家学习的 回去也装了ISA玩了一下,怎么上不了网? 顶,在详细些就更好了 呵呵,看了以后有些了解了,等回去以后测试下 在详细点就OK了 赚点威望,在顶一次:lol 咯过,不要错过 详细些就更好了 好东西啊,谢谢楼主分享喽 学习了啊 顶你!我现在在找这方面的资料!
页:
[1]
