ISA Server 2006速战速决实验指南实验环境的搭建
2008-12-11 14:42
253 查看
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。下面让我们来看看如何搭建ISA Server 2006的实验环境。
一、实验环境:
按如图1所示拓扑图构建域环境,域名为ittongluren.com。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。
二、查看域控制器和ISA防火墙的TCP/IP设置
1、ISA服务器网卡配置情况:
ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。
2、域控制器网卡配置情况:
使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。
本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装。
一、安装ISA Server 2006企业版
以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,放入光盘运行程序,出现如图1所示界面。
图1
单击【安装ISA Server 2006】,出现如图2所示对话框,开始安装ISA Server 206企业版。
图2
单击【下一步】按钮,出现【许可协议】对话框,选择【我接受许可协议中的条款】选项,如图3所示。
图3
单击【下一步】按钮,出现【客户信息】对话框,在【用户】、【单位】和【产品序列号中输入相应信息,如图4所示。
图4
单击【下一步】按钮,出现【安装方案】对话框,在该对话框中选择安装方案,在此选择【同时安装ISA Server服务和配置存储服务器】选项,如图5所示。
图5
单击【下一步】按钮,,出现【组件选择】对话框,在此安装【ISA服务器】、【ISA服务器管理】和【配置存储服务器】组件,如图6所示。
图6
单击【下一步】按钮,出现【企业安装选项】对话框,选择【创建新ISA服务器企业】选项,如图7所示。
图7
单击【下一步】按钮,出现【新建企业警告】对话框,显示将此计算机配置为配置存储服务器,如图8所示。
图8
单击【下一步】按钮,出现如图9所示的【内部网络】对话框,在该对话框中指定内部网络。
图9
单击【添加】按钮,出现【地址】对话框,如图10所示。
图10
单击【添加范围】按钮,出现【IP地址范围属性】对话框,在该对话框中输入公司内部网络的地址范围,如192.168.0.1~192.168.0.200,如图11所示
图11
单击【确定】按钮,返回【地址】对话框,如图12所示,可以看到已经添加了地址范围。
图12
单击【确定】按钮,返回【内部网络】对话框,如图13所示。
图13
单击【下一步】按钮,出现【防火墙客户端连接】对话框,在该对话框中指定ISA是否将接受来自不支持加密的防火墙客户端的连接,在此选择【允许不加密的防火墙客户端连接】选项,如图14所示。
图14
单击【下一步】按钮,出现【服务警告】对话框,表示在安装ISA Server 2006过程中将要重启和禁用的服务,如图15所示。
图15
单击【下一步】按钮,出现【可以安装程序了】对话框,如图16所示。
图16
单击【安装】按钮,开始安装ISA Server 2006,如图17所示。
图17
大概十几分钟以后,出现如图18所示对话框,单击【完成】按钮即可结束整个安装过程。
图18
二、验证ISA Server 2006安装效果
ISA Server 2006安装完毕,通过如下方法进行验证是否安装成功。
1、ISA控制台
在ISA服务器上,单击【开始】→【程序】→【Mcrosoft ISA Server】→【ISA服务器管理】,打开如图19所示ISA管理控制台。
图19
2、ISA Server 2006相关服务
在ISA服务器上,单击【开始】→【程序】→【管理工具】→【服务】,打开【服务】控制台,如图20所示,安装完ISA Server 2006以后,多了【Microsoft Firewall】、【Microsoft ISA Server Control】、【Microsoft ISA Server Job Scheduler】以及【Microsoft ISA Server Storage】服务。
图20
3、网络连通性测试
以域管理员身份登录域控制器上,打开命令提示符,输入命令【ping 192.168.0.1】,测试域控制器和ISA服务器内网卡的连通性,如图21所示,发现不能连通,说明ISA服务器已经起作用了。
图21
以域管理员身份登录ISA服务器上,在命令提示符中,输入命令【ping 192.168.0.2】和【ping 192.168.1.2】,测试ISA服务器和域控制器以及外网计算机的连通性,如图22所示,发现能连通。
图22
以本地管理员身份登录外网计算机,在命令提示符中,输入命令【ping 192.168.1.1】,测试外网计算机与ISA服务器的连通性,如图23所示,发现不能连通。
以域管理员身份登录到域控制器上,将该域控制器配置成ISA服务器的3种客户端:SNAT客户端、Web代理客户端以及防火墙客户端。SNAT客户端只要将域控制器网关IP地址设置为ISA服务器内网卡的IP地址就可以了。本处主要讲述另外两种客户端的安装和设置。
一、安装Microsoft Firewall Client 程序
运行ISA Server 2006企业版安装光盘中fpc目录下的setup.exe文件,出现如图1所示的【Microsoft Firewall Client-安装向导】对话框。
图1
单击【下一步】按钮,出现【许可协议】对话框,选择【我接受许可协议中的条款】选项,如图2所示。
图2
单击【下一步】按钮,出现【目标文件夹】对话框,在该对话框中指定该程序的安装路径,如图3所示。
图3
单击【下一步】按钮,出现【ISA服务器 计算机连接】对话框,选择【连接到此ISA服务器计算机】选项,并在【键入ISA服务器主机名或IP地址】文本框中输入ISA服务器的主机名【ISA_Server】,如图4所示,不建议在此处使用IP地址。
图4
单击【下一步】按钮,出现【可以安装程序了】对话框,如图5所示,向导准备就绪。
图5
单击【安装】按钮,Microsoft Firewall client程序开始安装,如图6所示。
图6
安装完毕,出现如图7所示对话框,单击【完成】按钮即可。
图7
安装完毕,在任务栏右下角处有如图8所示图标。
图8
二、设置ISA客户端
双击任务栏右下角的ISA Firewall Client图标,出现如图9所示的【Microsoft Firewall Client for ISA Server】对话框,选择【常规】选项卡,如果选择【连接到ISA服务器时隐藏此图标】选项卡,那么该程序图标不会出现在任务栏右下角。
图9
选择【设置】选项卡,如图10所示,可以看到已经启用了Microsoft Firewall Client for ISA Server程序了,并且指定了ISA服务器的主机名。
图10
单击【测试服务器】按钮,出现如图11所示对话框,可以看到防火墙客户端测试了服务器ISA_Server。
图11
选择【Web浏览器】选项卡,如图12所示。选择【启用Web浏览器自动配置】选项,并单击【立即配置】按钮,那么会自动配置该计算机的Web代理设置。
图12
打开IE浏览器的【Internet属性】对话框,选择【连接】选项卡,如图13所示。
图13
单击【局域网设置】按钮,出现【局域网(LAN)设置】对话框,如图14所示,可以看到已经自动配置Web代理设置了。
[align=left]
图14[/align]
[align=left] [/align]
如果需要限制某种文件,就要创建内容类型。如果需要限制某个时间段,就要创建计划。
一、内容类型
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【内容类型】,单击【新建】,如图1所示,将打开【新建内容类型组】对话框。
图1
在【内容类型组】对话框中,在【名称】文本框中输入内容类型名称为【BT下载文件】,在【可用的类型】文本框中输入【.torrent】,然后单击【添加】按钮,如图2所示。
图2
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【内容类型】中存在刚才创建的内容类型,如图3所示。
图3
二、计划
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【计划】,单击【新建】,如图4所示,将打开【新建计划】对话框。
图4
在【新建计划】对话框中,在【名称】文本框中输入计划名称为【星期一到星期五9:00-18:00的时间】,并且计划时间中选择时间激活,如图5所示。
图5
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【计划】中存在刚才创建的计划,如图6所示。
要限制某个用户或组连接到外网进行访问就需要创建用户元素。
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【用户】,单击【新建】,如图1所示,将打开【新建协议定义向导】对话框。
图1
在向导中出现【欢迎使用新建用户集向导】对话框,在【用户集名称】文本框中输入新建的用户的名称为【用户集】,如图2所示。
图2
单击【下一步】按钮,出现【用户】对话框,在该对话框中指定用户和组,单击【添加】按钮,选择【Windows用户和组】,如图3所示。
图3
选择【Windows用户和组】以后,出现【选择用户或组】对话框,将【查找位置】指定为【ittongluren.com】,这样指定的用户是域用户,如图4所示。
图4
在【输入对象名称来选择】文本框中输入用户和组名称,图5所示,其中it(it@ittongluren.com)是域用户,tong是域组。
图5
单击【确定】按钮返回【用户】对话框,如图6所示,可以看到已经添加用户和组了。
图6
单击【下一步】按钮,出现【正在完成新建用户集向导】对话框,如图7所示,单击【完成】按钮即可结束用户元素的创建。
图7
返回ISA控制台,在【工具箱】区域的【用户】中存在刚才创建的用户,如图所示。
图8
[align=left]在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】,如图1所示,将创建网络对象元素。[/align]
图1
网络对象元素有如下几种:
Ø 网络
Ø 网络集
Ø 计算机
Ø 计算机集
Ø 子网
Ø 地址范围
Ø URL集
Ø 域名集
Ø Web侦听器
Ø 服务器场
接下来开始讲解如何创建网络对象元素。
一、创建URL集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【URL集】,将打开【新建URL集规则元素】对话框。
在【新建URL集规则元素】对话框中,在【名称】文本框中输入URL集的名称为【新浪网URL集】,如图2所示。
图2
在该对话框中单击【添加】按钮,在【此集包含的URL】区域中出现新的URL路径,将其路径改为【http://*.sina.com/*】,如图3所示。这表示新浪网站的URL路径。
图3
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的URL集,如图4所示。
图4
二、域名集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【域名集】,如图5所示,将打开【新建域名集策略元素】对话框。
图5
在【新建域名集策略元素】对话框中,在【名称】文本框中输入域名集名称为【sohu.com域名集】,如图6所示。
图6
在该对话框中单击【添加】按钮,在【在此集中包含的域】区域中出现新的域名,将其改名为【*.sohu.com】,如图7所示。这表示sohu.com域名。
图7
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的域名集,如图8所示。
图8
三、计算机集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【计算机集】,将打开【新建计算机集规则元素】对话框。
在【新建计算机集规则元素】对话框中,在【名称】文本框中输入计算机集的名称为【DC_server】,如图9所示。
图9
在【新建计算机集规则元素】对话框中,可以添加计算机集中包含的计算机、地址范围或是子网,在此单击【添加】按钮→【计算机】,如图10所示,在计算机集中添加计算机。
图10
接着出现【新建计算机规则元素】对话框,在【名称】文本框中输入计算机名称为【DC_Server】,在【计算机IP地址】文本框中输入该计算机的IP地址为【192.168.0.2】,如图11所示。
图11
单击【确定】按钮,返回【新建计算机集规则元素】对话框,如图12所示,可以看到新创建的计算机集中包含的计算机。
图12
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的计算机集,如图13所示。
图13
四、子网
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【子网】,将打开【新建子集规则元素】对话框。
在【新建子集规则元素】对话框中,在【名称】文本框中输入子网的名称为【192.168.0.0子网】,将网络地址设置为【192.168.0.0】,将子网掩码设置为【255.255.255.0】,如图14所示。
图14
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的子网,如图15所示。
图15
五、地址范围
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【地址范围】,将打开【新建地址范围规则元素】对话框。
在【新建地址范围规则元素】对话框中,在【名称】文本框中输入地址范围的名称为【192.168.0.1-192.168.0.3地址范围】,在【起始地址】和【结束地址】处分别输入【192.168.0.2】和【192.168.0.3】,如图16所示。
图16
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的地址范围,如图17所示。
图17
六、计算机
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【计算机】,将打开【新建计算机规则元素】对话框。
在【新建计算机规则元素】对话框中,在【名称】文本框中输入计算机的名称为【ISA_Server】,在【计算机IP地址】处输入【192.168.0.1】,如图18所示。
图18
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的计算机,如图19所示。
[align=left]ISA Server 2006速战速决实验指南之创建访问规则-允许所有用户从内网ping外网主机[/align]
学完了5种元素的创建以后,就要开始学习如何创建访问规则,所谓访问规则的创建无非就是将元素有机的结合在一起。
本文以创建一个允许所有用户从内网计算机上ping通外网主机的案例进行讲解访问规则的创建方法。
一、创建规则-允许所有用户从内网ping外网主机
以域管理员身份登录到ISA防火墙计算机上,打开ISA控制台,依次展开【阵列】和【ISA_Server】节点,单击【防火墙策略(ISA_Server)】,在控制台右侧界面的【任务】区域中单击【创建访问规则】,如图1所示,将打开【新建访问规则向导】。
图1
在【新建访问规则向导】中首先出现的是【欢迎使用新建访问规则向导】对话框,在该对话框中指定访问规则的名称,在【访问规则名称】文本框中指定一个容易记忆的规则名,在此输入【允许所有用户从内网ping外网主机】,如图2所示。
图2
单击【下一步】按钮,出现【规则操作】对话框,在该对话框中指定是允许访问还是拒绝访问,在此选择【允许】选项,如图3所示。
图3
单击【下一步】按钮,出现【协议】对话框,在该对话框指定应用的协议,可以将规则应用到【所选的协议】、【所有出站通讯】以及【除选择以外的所有出站通讯】,在此选择【所选协议】,如图4所示。
图4
单击【添加】按钮,出现【添加协议】对话框,选择并双击【PING】协议,如图5所示,然后单击【关闭】按钮。
图5
返回【协议】对话框,可以从图6所示看到已经添加了PING协议。
图6
单击【下一步】按钮,出现【访问规则源】对话框,在该对话框指定规则应用的源通讯,如图7所示。
图7
单击【添加】按钮,出现【添加网络实体】对话框,选择并双击【内部】,如图8所示,然后单击【关闭】按钮。
在ISA Server 2006中将网络主要分为如下几种:
Ø 内部:一般是指你公司的局域网。本案例指192.168.0.1~192.168.0.200。
Ø 外部:一般是指互联网。本案例指除了192.168.1.1这个IP地址之外的所有192.168.1.0网络内的主机。
Ø 本地主机:一般是指ISA防火墙,本案例是指192.168.0.1和192.168.1.1。
图8
返回【访问规则源】对话框,从图9所示可以看到已经添加了源通讯。
图9
单击【下一步】按钮,出现【访问规则目标】对话框,在该对话框中指定规则应用的目标通讯,如图10所示。
图10
单击【添加】按钮,出现【添加网络实体】对话框,选择并双击【外部】,如图11所示。
图11
返回【访问规则目标】对话框,从图12可以看到已经添加了访问规则的目标通讯。
图12
单击【下一步】按钮,出现【用户集】对话框,在该对话框中指定规则应用于哪些用户,在此默认为【所有用户】,如图13所示。
图13
单击【下一步】按钮,出现【正在完成新建访问规则向导】对话框,在该对话框中显示了之前步骤所设置的信息,如图14所示。
图14
单击【完成】按钮,访问规则创建完成。但是如果不应用规则的话,该规则是不生效的,单击【应用】按钮使其生效,如图15、16所示。
图15
图16
最后规则创建并生效后的效果如图17所示。
图17
二、测试访问规则
以域管理员登录到内部计算机上,比如域控制器DC_Server上,在命令行提示界面下输入命令【ping 192.168.1.2】,如图所示,可以ping通外网主机,说明访问规则已经生效,而使用命令【ping 192.168.1.1】则ping不通,因为192.168.1.1不是外部网络的范围,如图18所示。
[align=left]
[/align]
一、实验环境:
按如图1所示拓扑图构建域环境,域名为ittongluren.com。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。
二、查看域控制器和ISA防火墙的TCP/IP设置
1、ISA服务器网卡配置情况:
ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。
2、域控制器网卡配置情况:
使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。
本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装。
一、安装ISA Server 2006企业版
以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,放入光盘运行程序,出现如图1所示界面。
图1
单击【安装ISA Server 2006】,出现如图2所示对话框,开始安装ISA Server 206企业版。
图2
单击【下一步】按钮,出现【许可协议】对话框,选择【我接受许可协议中的条款】选项,如图3所示。
图3
单击【下一步】按钮,出现【客户信息】对话框,在【用户】、【单位】和【产品序列号中输入相应信息,如图4所示。
图4
单击【下一步】按钮,出现【安装方案】对话框,在该对话框中选择安装方案,在此选择【同时安装ISA Server服务和配置存储服务器】选项,如图5所示。
图5
单击【下一步】按钮,,出现【组件选择】对话框,在此安装【ISA服务器】、【ISA服务器管理】和【配置存储服务器】组件,如图6所示。
图6
单击【下一步】按钮,出现【企业安装选项】对话框,选择【创建新ISA服务器企业】选项,如图7所示。
图7
单击【下一步】按钮,出现【新建企业警告】对话框,显示将此计算机配置为配置存储服务器,如图8所示。
图8
单击【下一步】按钮,出现如图9所示的【内部网络】对话框,在该对话框中指定内部网络。
图9
单击【添加】按钮,出现【地址】对话框,如图10所示。
图10
单击【添加范围】按钮,出现【IP地址范围属性】对话框,在该对话框中输入公司内部网络的地址范围,如192.168.0.1~192.168.0.200,如图11所示
图11
单击【确定】按钮,返回【地址】对话框,如图12所示,可以看到已经添加了地址范围。
图12
单击【确定】按钮,返回【内部网络】对话框,如图13所示。
图13
单击【下一步】按钮,出现【防火墙客户端连接】对话框,在该对话框中指定ISA是否将接受来自不支持加密的防火墙客户端的连接,在此选择【允许不加密的防火墙客户端连接】选项,如图14所示。
图14
单击【下一步】按钮,出现【服务警告】对话框,表示在安装ISA Server 2006过程中将要重启和禁用的服务,如图15所示。
图15
单击【下一步】按钮,出现【可以安装程序了】对话框,如图16所示。
图16
单击【安装】按钮,开始安装ISA Server 2006,如图17所示。
图17
大概十几分钟以后,出现如图18所示对话框,单击【完成】按钮即可结束整个安装过程。
图18
二、验证ISA Server 2006安装效果
ISA Server 2006安装完毕,通过如下方法进行验证是否安装成功。
1、ISA控制台
在ISA服务器上,单击【开始】→【程序】→【Mcrosoft ISA Server】→【ISA服务器管理】,打开如图19所示ISA管理控制台。
图19
2、ISA Server 2006相关服务
在ISA服务器上,单击【开始】→【程序】→【管理工具】→【服务】,打开【服务】控制台,如图20所示,安装完ISA Server 2006以后,多了【Microsoft Firewall】、【Microsoft ISA Server Control】、【Microsoft ISA Server Job Scheduler】以及【Microsoft ISA Server Storage】服务。
图20
3、网络连通性测试
以域管理员身份登录域控制器上,打开命令提示符,输入命令【ping 192.168.0.1】,测试域控制器和ISA服务器内网卡的连通性,如图21所示,发现不能连通,说明ISA服务器已经起作用了。
图21
以域管理员身份登录ISA服务器上,在命令提示符中,输入命令【ping 192.168.0.2】和【ping 192.168.1.2】,测试ISA服务器和域控制器以及外网计算机的连通性,如图22所示,发现能连通。
图22
以本地管理员身份登录外网计算机,在命令提示符中,输入命令【ping 192.168.1.1】,测试外网计算机与ISA服务器的连通性,如图23所示,发现不能连通。
以域管理员身份登录到域控制器上,将该域控制器配置成ISA服务器的3种客户端:SNAT客户端、Web代理客户端以及防火墙客户端。SNAT客户端只要将域控制器网关IP地址设置为ISA服务器内网卡的IP地址就可以了。本处主要讲述另外两种客户端的安装和设置。
一、安装Microsoft Firewall Client 程序
运行ISA Server 2006企业版安装光盘中fpc目录下的setup.exe文件,出现如图1所示的【Microsoft Firewall Client-安装向导】对话框。
图1
单击【下一步】按钮,出现【许可协议】对话框,选择【我接受许可协议中的条款】选项,如图2所示。
图2
单击【下一步】按钮,出现【目标文件夹】对话框,在该对话框中指定该程序的安装路径,如图3所示。
图3
单击【下一步】按钮,出现【ISA服务器 计算机连接】对话框,选择【连接到此ISA服务器计算机】选项,并在【键入ISA服务器主机名或IP地址】文本框中输入ISA服务器的主机名【ISA_Server】,如图4所示,不建议在此处使用IP地址。
图4
单击【下一步】按钮,出现【可以安装程序了】对话框,如图5所示,向导准备就绪。
图5
单击【安装】按钮,Microsoft Firewall client程序开始安装,如图6所示。
图6
安装完毕,出现如图7所示对话框,单击【完成】按钮即可。
图7
安装完毕,在任务栏右下角处有如图8所示图标。
图8
二、设置ISA客户端
双击任务栏右下角的ISA Firewall Client图标,出现如图9所示的【Microsoft Firewall Client for ISA Server】对话框,选择【常规】选项卡,如果选择【连接到ISA服务器时隐藏此图标】选项卡,那么该程序图标不会出现在任务栏右下角。
图9
选择【设置】选项卡,如图10所示,可以看到已经启用了Microsoft Firewall Client for ISA Server程序了,并且指定了ISA服务器的主机名。
图10
单击【测试服务器】按钮,出现如图11所示对话框,可以看到防火墙客户端测试了服务器ISA_Server。
图11
选择【Web浏览器】选项卡,如图12所示。选择【启用Web浏览器自动配置】选项,并单击【立即配置】按钮,那么会自动配置该计算机的Web代理设置。
图12
打开IE浏览器的【Internet属性】对话框,选择【连接】选项卡,如图13所示。
图13
单击【局域网设置】按钮,出现【局域网(LAN)设置】对话框,如图14所示,可以看到已经自动配置Web代理设置了。
[align=left]
图14[/align]
[align=left] [/align]
如果需要限制某种文件,就要创建内容类型。如果需要限制某个时间段,就要创建计划。
一、内容类型
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【内容类型】,单击【新建】,如图1所示,将打开【新建内容类型组】对话框。
图1
在【内容类型组】对话框中,在【名称】文本框中输入内容类型名称为【BT下载文件】,在【可用的类型】文本框中输入【.torrent】,然后单击【添加】按钮,如图2所示。
图2
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【内容类型】中存在刚才创建的内容类型,如图3所示。
图3
二、计划
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【计划】,单击【新建】,如图4所示,将打开【新建计划】对话框。
图4
在【新建计划】对话框中,在【名称】文本框中输入计划名称为【星期一到星期五9:00-18:00的时间】,并且计划时间中选择时间激活,如图5所示。
图5
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【计划】中存在刚才创建的计划,如图6所示。
要限制某个用户或组连接到外网进行访问就需要创建用户元素。
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【用户】,单击【新建】,如图1所示,将打开【新建协议定义向导】对话框。
图1
在向导中出现【欢迎使用新建用户集向导】对话框,在【用户集名称】文本框中输入新建的用户的名称为【用户集】,如图2所示。
图2
单击【下一步】按钮,出现【用户】对话框,在该对话框中指定用户和组,单击【添加】按钮,选择【Windows用户和组】,如图3所示。
图3
选择【Windows用户和组】以后,出现【选择用户或组】对话框,将【查找位置】指定为【ittongluren.com】,这样指定的用户是域用户,如图4所示。
图4
在【输入对象名称来选择】文本框中输入用户和组名称,图5所示,其中it(it@ittongluren.com)是域用户,tong是域组。
图5
单击【确定】按钮返回【用户】对话框,如图6所示,可以看到已经添加用户和组了。
图6
单击【下一步】按钮,出现【正在完成新建用户集向导】对话框,如图7所示,单击【完成】按钮即可结束用户元素的创建。
图7
返回ISA控制台,在【工具箱】区域的【用户】中存在刚才创建的用户,如图所示。
图8
[align=left]在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】,如图1所示,将创建网络对象元素。[/align]
图1
网络对象元素有如下几种:
Ø 网络
Ø 网络集
Ø 计算机
Ø 计算机集
Ø 子网
Ø 地址范围
Ø URL集
Ø 域名集
Ø Web侦听器
Ø 服务器场
接下来开始讲解如何创建网络对象元素。
一、创建URL集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【URL集】,将打开【新建URL集规则元素】对话框。
在【新建URL集规则元素】对话框中,在【名称】文本框中输入URL集的名称为【新浪网URL集】,如图2所示。
图2
在该对话框中单击【添加】按钮,在【此集包含的URL】区域中出现新的URL路径,将其路径改为【http://*.sina.com/*】,如图3所示。这表示新浪网站的URL路径。
图3
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的URL集,如图4所示。
图4
二、域名集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【域名集】,如图5所示,将打开【新建域名集策略元素】对话框。
图5
在【新建域名集策略元素】对话框中,在【名称】文本框中输入域名集名称为【sohu.com域名集】,如图6所示。
图6
在该对话框中单击【添加】按钮,在【在此集中包含的域】区域中出现新的域名,将其改名为【*.sohu.com】,如图7所示。这表示sohu.com域名。
图7
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的域名集,如图8所示。
图8
三、计算机集
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【计算机集】,将打开【新建计算机集规则元素】对话框。
在【新建计算机集规则元素】对话框中,在【名称】文本框中输入计算机集的名称为【DC_server】,如图9所示。
图9
在【新建计算机集规则元素】对话框中,可以添加计算机集中包含的计算机、地址范围或是子网,在此单击【添加】按钮→【计算机】,如图10所示,在计算机集中添加计算机。
图10
接着出现【新建计算机规则元素】对话框,在【名称】文本框中输入计算机名称为【DC_Server】,在【计算机IP地址】文本框中输入该计算机的IP地址为【192.168.0.2】,如图11所示。
图11
单击【确定】按钮,返回【新建计算机集规则元素】对话框,如图12所示,可以看到新创建的计算机集中包含的计算机。
图12
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的计算机集,如图13所示。
图13
四、子网
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【子网】,将打开【新建子集规则元素】对话框。
在【新建子集规则元素】对话框中,在【名称】文本框中输入子网的名称为【192.168.0.0子网】,将网络地址设置为【192.168.0.0】,将子网掩码设置为【255.255.255.0】,如图14所示。
图14
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的子网,如图15所示。
图15
五、地址范围
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【地址范围】,将打开【新建地址范围规则元素】对话框。
在【新建地址范围规则元素】对话框中,在【名称】文本框中输入地址范围的名称为【192.168.0.1-192.168.0.3地址范围】,在【起始地址】和【结束地址】处分别输入【192.168.0.2】和【192.168.0.3】,如图16所示。
图16
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的地址范围,如图17所示。
图17
六、计算机
在ISA控制台中,依次展开【阵列】→【ISA_Server】,单击【防火墙策略(ISA_Server)】,在控制台右侧界面中的【工具箱】区域中,展开【网络对象】,单击【新建】→【计算机】,将打开【新建计算机规则元素】对话框。
在【新建计算机规则元素】对话框中,在【名称】文本框中输入计算机的名称为【ISA_Server】,在【计算机IP地址】处输入【192.168.0.1】,如图18所示。
图18
单击【确定】按钮返回ISA控制台,在【工具箱】区域的【网络对象】中存在刚才创建的计算机,如图19所示。
[align=left]ISA Server 2006速战速决实验指南之创建访问规则-允许所有用户从内网ping外网主机[/align]
学完了5种元素的创建以后,就要开始学习如何创建访问规则,所谓访问规则的创建无非就是将元素有机的结合在一起。
本文以创建一个允许所有用户从内网计算机上ping通外网主机的案例进行讲解访问规则的创建方法。
一、创建规则-允许所有用户从内网ping外网主机
以域管理员身份登录到ISA防火墙计算机上,打开ISA控制台,依次展开【阵列】和【ISA_Server】节点,单击【防火墙策略(ISA_Server)】,在控制台右侧界面的【任务】区域中单击【创建访问规则】,如图1所示,将打开【新建访问规则向导】。
图1
在【新建访问规则向导】中首先出现的是【欢迎使用新建访问规则向导】对话框,在该对话框中指定访问规则的名称,在【访问规则名称】文本框中指定一个容易记忆的规则名,在此输入【允许所有用户从内网ping外网主机】,如图2所示。
图2
单击【下一步】按钮,出现【规则操作】对话框,在该对话框中指定是允许访问还是拒绝访问,在此选择【允许】选项,如图3所示。
图3
单击【下一步】按钮,出现【协议】对话框,在该对话框指定应用的协议,可以将规则应用到【所选的协议】、【所有出站通讯】以及【除选择以外的所有出站通讯】,在此选择【所选协议】,如图4所示。
图4
单击【添加】按钮,出现【添加协议】对话框,选择并双击【PING】协议,如图5所示,然后单击【关闭】按钮。
图5
返回【协议】对话框,可以从图6所示看到已经添加了PING协议。
图6
单击【下一步】按钮,出现【访问规则源】对话框,在该对话框指定规则应用的源通讯,如图7所示。
图7
单击【添加】按钮,出现【添加网络实体】对话框,选择并双击【内部】,如图8所示,然后单击【关闭】按钮。
在ISA Server 2006中将网络主要分为如下几种:
Ø 内部:一般是指你公司的局域网。本案例指192.168.0.1~192.168.0.200。
Ø 外部:一般是指互联网。本案例指除了192.168.1.1这个IP地址之外的所有192.168.1.0网络内的主机。
Ø 本地主机:一般是指ISA防火墙,本案例是指192.168.0.1和192.168.1.1。
图8
返回【访问规则源】对话框,从图9所示可以看到已经添加了源通讯。
图9
单击【下一步】按钮,出现【访问规则目标】对话框,在该对话框中指定规则应用的目标通讯,如图10所示。
图10
单击【添加】按钮,出现【添加网络实体】对话框,选择并双击【外部】,如图11所示。
图11
返回【访问规则目标】对话框,从图12可以看到已经添加了访问规则的目标通讯。
图12
单击【下一步】按钮,出现【用户集】对话框,在该对话框中指定规则应用于哪些用户,在此默认为【所有用户】,如图13所示。
图13
单击【下一步】按钮,出现【正在完成新建访问规则向导】对话框,在该对话框中显示了之前步骤所设置的信息,如图14所示。
图14
单击【完成】按钮,访问规则创建完成。但是如果不应用规则的话,该规则是不生效的,单击【应用】按钮使其生效,如图15、16所示。
图15
图16
最后规则创建并生效后的效果如图17所示。
图17
二、测试访问规则
以域管理员登录到内部计算机上,比如域控制器DC_Server上,在命令行提示界面下输入命令【ping 192.168.1.2】,如图所示,可以ping通外网主机,说明访问规则已经生效,而使用命令【ping 192.168.1.1】则ping不通,因为192.168.1.1不是外部网络的范围,如图18所示。
[align=left]
[/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ISA Server 2006速战速决实验指南(1)实验环境的搭建
- ISA Server 2006速战速决实验指南(2)在域环境中安装ISA Server 2006
- ISA Server 2006速战速决实验指南(7) 创建元素-网络对象
- ISA Server 2006速战速决实验指南(8)创建访问规则-允许所有用户从内网ping外网主机
- ISA Server 2006速战速决实验指南(1)
- ISA Server 2006速战速决实验指南(3)安装和配置ISA客户端
- ISA Server 2006速战速决实验指南(4)创建元素-内容类型、计划
- ISA Server 2006速战速决实验指南(5)创建元素-用户
- ISA Server 2006速战速决实验指南(6)--创建元素-协议
- ISA Server 2006 实验指南(二)、阵列 NLB
- Windows域环境下部署ISA Server 2006防火墙(二)
- ISA 2006 实验指南(六)发布服务器场
- Windows域环境下部署ISA Server 2006防火墙(二)
- ISA Server 2006实验之:分配管理角色