ISA Server 2004 Standard Edition安装与部署

帖子地址:http://www.isacn.org/bbs/index.php?showtopic=22424

ISA Server 2004 Standard Edition安装与部署
文章作者:涂俊雄
文章性质:原创
说明:请勿转摘

本文向导：
本文主要介绍了Microsoft 公司的 ISA Server 2004 Standard Edition 的安装方法以及部署技巧。ISA完整的名称为Microsoft Internet Security and Acceleration Server 2004 。ISA不同于Windows XP中的Internet 连接防火墙 (ICF) ，ISA提供包括企业级别的安全策略，能够全面的保护您公司的网络。

本文分为两个部分，ISA Server 2004 的安装以及部署。

概述：
ISA Server 2004 是唯一兼具防火墙服务器和代理服务器功能的产品。Microsoft® Internet Security and Acceleration (ISA) Server 2004 引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型，以及经过改善的管理功能（包括配置导入和导出）。Microsoft Internet Security and Acceleration (ISA) Server 2004 支持 ISA Server 2000 用户的全面升级路径。大多数 ISA Server 2000 规则、网络设置、监视配置和缓存配置将升级到 ISA Server 2004。

安装ISA Server 2004 Standard Edition
本文所说明的ISA服务器所在的系统环境为：
Microsoft® Internet Security and Acceleration (ISA) Server 2004 Standard Edition
Windows Server 2003 企业版
安装了NDS 以及DHCP 服务


安装要求：
首先您应该确保您的服务器或计算机能够满足安装ISA的基本条件。该服务的核心程序不大，大概有28M左右。

◎首先您的服务器或计算机至少应具有 550 MHz 的CPU，现在一般的服务器的CPU处理速度都能满主该要求
◎您的系统必须为Microsoft Windows Server™ 2003 或 Windows® 2000 Server 操作系统。
◎注意：如果您在 Windows 2000 Server 的计算机上安装 ISA 服务器，那么请注意下列额外要求：必须安装 Windows 2000 Service Pack 4 或更高版本。必须安装 Internet Explorer 6 或更高版本。如果您使用的是 Windows 2000 SP4 整合安装，还必须安装 Microsoft 知识库文章 821887“Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime”中所指定的修补程序。有关 ISA Server 2004 的安装和系统要求的更新信息，请参阅 ISA Server Setup and System Requirements。（相关的文章请到微软知识库中搜索）

◎基本要求256 MB 内存，建议使用512M或更高的内存。
◎最少150 MB 可用硬盘空间。这不包括用于缓存的硬盘空间。
◎一个与计算机的操作系统兼容的网络适配器，以便与内部网络通讯。
◎为连接到 ISA 服务器计算机的每个网络单独准备一个网络适配器。
◎一个采用 NTFS 文件系统格式的本地硬盘分区。
◎注意 可以在只有一个网络适配器的计算机上使用 ISA 服务器。通常，当另一个防火墙位于网络边缘时，您可以执行此操作，以便将公司资源连接到 Internet。在这种单一适配器方案中，ISA 服务器的作用通常是为发布的服务器提供一层额外的应用程序筛选保护，或者缓存来自 Internet 的内容。有关详细信息，请参阅带有单一网络适配器的 ISA 服务器计算机。

警告： 不要在处理器超过四个的多处理器计算机上安装 ISA 服务器。

网络要求：
您的系统必须安装域名系统 (DNS) 服务器以及动态主机配置协议 (DHCP) 服务器。我们建议您在内部网络中的 Windows Server 2003 或 Windows 2000 Server 计算机上同时安装 DHCP 和 DNS 服务器。如有必要，可以在 ISA 服务器计算机上安装 DNS 和 DHCP 服务器。（具体安装步骤我不具体说明）


安装步骤：
请保证您的系统满足以上要求后按照以下安装方法进行安装ISA。
1，将您的ISA Server 2004 Standard Edition 光盘插入光驱。
2，光盘自动运行安装向导，如果不能自动运行，请手动运行SETUP。
3，选择“安装ISA Server 2004”进行安装。（如图一）
4，进入安装向导界面，请阅读安装信息。（如图二）
5，键入详细的客户信息，然后单击“下一步”。
6，单击“典型安装”、“完全安装”或“自定义安装”。
安装里有四个组件可以选择安装：
ISA 服务器服务。
ISA 服务器管理。
防火墙客户端安装共享。
消息筛选程序。
具体的组件信息请参考安装主向导的入门。
5，点击"下一步"，进行主安装界面。接受安装协议后，要求输入您的局域网络环境地址，例如：192.168.0.1--192.168.0.25 ,之后将配置内部网络。完成下列步骤：
单击“添加”。
单击“选择网络适配器”。
选择“基于 Windows 路由表添加地址范围”。
选择连接到内部网络的一个或多个适配器。这些地址将包括在默认情况下为 ISA 服务器定义的内部网络中。
清除“添加下列专用 IP 范围”，除非您要将这些范围添加到内部网络中。
单击“确定”。阅读“安装消息”，单击“确定”，再次单击“确定”完成内部网络的配置，然后单击“下一步”。

6，下一步后将进行ISA的核心组件的安装过程，这会花费您一段时间。
7，安装完毕后，安装向导将安装"附件组件"。
8，安装完毕将提示要求重新启动，如果您不重新启动将弹出安全以及升级向导。（如图三）
9，安装成功。

注意：如果您在安装过程中出现任何问题，请检测您的系统是否完全满足安装要求。或者请参考ISA入门安装指南。

图一


图二

图三


ISA的功能概述
ISA Server 2004有很多个新增和改进的功能，他们分别在模块：多网络，虚拟专用网络，安全和防火墙，缓存以及管理里面得到的新增以及强化。

多网络：该模块有5个新增的功能，它们都为网络提供良好配置以及管理。具体信息请参阅“入门向导”。

虚拟专用网络：该模块改进了VPN 管理功能，而且新增了几个VPN的管理方法，提供更为优秀的管理方案。

安全和防火墙：ISA的主要功能就在此。ISA Server 2004中对安全有相当大的改进。包括扩展的协议支持，身份验证以及发布功能。

缓存：改进了缓存规则。

管理：新增几项新的管理工具，包括导入导出，仪表板，日志查看器，改进了报告功能的应用。

ISA部署
在本章中，我会向大家介绍如何部署ISA SERVER 2004，通过几个实例来具体说明。

启动ISA SERVER 2004管理器：
点击开始－所有程序－MICROSFOT ISA SERVER-ISA服务器管理，如图四。


图四
进入主管理界面，如图五。

图五


1，ISA Server 2000配置文件迁移到ISA Server 2004
如果您使用的是ISA Server 2000，现在想迁移到ISA SERVER 2004的话，那么迁移向导将很轻松的完成迁移工作。

具体流程如下：
1，插入ISA SERVER 2004安装光盘，运行主向导后，选择“运行迁移向导”。
2，进入迁移向导，单击"下一步"。
3，输入XML的路径和文件名。
4，完成后“下一步”，选择“允许在内部的网络客户端访问ISA SERVER 2004计算机”。
5，“下一步”，点击“创建”，此时将创建XML迁移文件。
6，“下一步”，完成，此时将显示您的迁移文件的具体信息。
7，在图五中，在您的计算机名称下右键（我的是Microsof-C863JZ）,在下拉菜单中选择“导入”，将您保存好的迁移文件导入，然后点击“应用”。

迁移完毕，如果你在迁移的过程中出现任何问题，前参阅帮助文件。

定制出站的访问规则
本节将介绍如何部署网络的对外的访问策略，我们将通过对设置防火墙策略，以及网络策略来进行说明。
一，定制防火墙策略
进入ISA SERVER管理器。
1，在左边的管理清单中我们点击“防火墙策略”，在快速创建任务栏中点击“创建新的访问规则”，如图六。

图六

2，进入创建新的访问规则向导，输入您需要创建的规则名称。
3，我们假设创建"WEB"，我们输入WEB。
4，在规则操作里复选“允许”，单击“下一步”。
5，在“协议”框中选择“所选的协议”，然后点击“添加”以添加协议。如图七。

图七

6，在弹出的选择框中点击“WEB”，添加FTP、HTTP以及HTTPS，然后点击下一步。
7，在“访问规则源”选择“网络”“内部”。
8，下一步，在“访问规则目标”选择“网络”“外部”。
9，下一步，选择用户，最后，创建新的访问规则向导完成，如图八。

图八
最后，在主题框中点击“应用”，ISA 将采用该规则。

在主管理器的左边的菜单中选择“网络”，在最右边选择一个模板，启动网络模板向导，如图九。

图九
1，按照向导提示完成到“选择一个防火墙策略”，这个步骤将是您部署访问策略的一个关键部分。这里面提供的策略有5个，都有具体的描述。我们选择“允许使用有限地访问 Web 并允许访问 ISP 网络服务”，单击“下一步”。
2，完成向导。

同样，单击“应用”ISA即可应用该向导。

网络监视
ISA SERVER 2004里面有个重要功能，那就是监视工具。
在这个功能模块中，我们可以监视所有的连接到服务器上的连接，包括服务器上的应用服务器，AD，NDS，DHCP，WEB等服务的状态，以及服务器上所开启的服务，会话以及系统性能。如图十。

图十

在监视器中，我们还可以对会话，服务，日志等的检测和查看。

常规
在本功能中，可以使用此页中的选项来配置常规管理和高级安全任务。

使用“ISA 服务器管理”选项以应用全局配置设置：
向用户和组委派管理角色。
为防火墙链指定计算机。
为网络指定自动拨号连接。
选择 CRL 验证是否将应用于客户端和服务器证书。
指定防火墙客户端连接首选项和应用程序设置。
查看关于此 ISA 服务器计算机的详细信息。
选择链接转换的内容类型。
使用“附加安全策略”将另一安全级别添加到 ISA 服务器配置中：
为 RADIUS 身份验证指定 RADIUS 服务器。
启用对一般攻击的入侵检测，并指定 DNS 攻击检测和筛选。
指定如何处理 IP 数据包和带有 IP 片段的数据包。
定义连接限制，此限制指定了允许客户端的并发连接的数量。


ISA Server 2004的故障恢复
该部分节选于www.isacn.org的相关文章
当ISA Server 2004 出现问题的时候，比如服务停止，那么，我们可以使用命令行工具Eventtriggers，可以根据事件日志来触发动作。 （该工具在Windows Server 2003中）

Eventtriggers
语法
eventtriggers[.exe] /create [/s Computer [/u DomainUser [/p Password]]] /tr TriggerName [/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS Server"] [LOG] [DirectoryLogName] [*] ] {[/eid ID] | [/t {ERROR | INFORMATION | WARNING | SUCCESSAUDIT | FAILUREAUDIT}] | [/so Source]} [/d Description] /tk TaskName

参数
/s Computer
指定远程计算机名称或 IP 地址（不能使用反斜杠）。该默认值是本地计算机。
/u DomainUser
根据由 User 或 DomainUser 指定的用户所具有的帐户权限来运行脚本。默认值是当前登录发出命令的计算机的用户具有的权限。
/p Password
指出 /u 参数中指定的用户帐户的密码。
/tr TriggerName
指定要与事件触发器关联的友好名称。
/l [APPLICATION] [SYSTEM] [SECURITY] ["DNS Server"] [LOG] [DirectoryLogName] [*] ]
指定要监视的事件日志。有效类型包括：Application、System、Security、DNS server、Log 和 Directory 日志。可以使用通配符 (*)，并作为默认值。
/eid ID
指定事件触发器应监视的特定事件 ID。有效值为任意有效整数。
/t {ERROR | INFORMATION | WARNING | SUCCESSAUDIT | FAILUREAUDIT}
指定事件触发器应监视的事件类型。有效值包括：ERROR、INFORMATION、WARNING、SUCCESSAUDIT 和 FAILUREAUDIT。不能与 /id 参数或 /so 参数一起使用。
/so Source
指定事件触发器应监视的事件来源。有效值可为任何字符串。不能与 /id 参数或 /type 参数一起使用。
/d Description
指定事件触发器的详细说明。有效值可为任何字符串。
/tk TaskName
指定符合事件触发器条件时要执行的任务/命令/行。
/?
在命令提示符下显示帮助。
注释
同时使用参数 /eid、/t 和 /so 时，对于要创建的事件触发器，日志事件必须与这三个参数指定的条件相匹配。
示例
下列示例显示如何使用 eventtriggers /create 命令：

eventtriggers /create /tr "Disk Cleanup" /l system /t error /tk c:windowssystem32cleanmgr.exe
eventtriggers /create /s srvmain /u maindomhiropln /p p@ssW23 /tr "Low Disk Space" /eid 4133 /t warning /tk \serversharediskcleanup.cmd
eventtriggers /create /s srvmain /user maindomhiropln /p p@ssW23 /tr "Disk Backup" /eid 4133 /l system /t error /tk \serversharentbackup.exe
　

至此，我们不对该工具做更多的介绍，请参考WINDOWS帮助文件。


总结
ISA Server 2004 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行 Microsoft 应用程序（如 Microsoft Outlook Web Access (OWA)、Microsoft Internet 信息服务、Office SharePoint Portal Server、路由和远程访问服务、Active Directory 目录服务等）的网络。
本文开头说了一句话，“ISA Server 2004 是唯一兼具防火墙服务器和代理服务器功能的产品”，这句话是Adi Milner 说的，原话为:
“ISA Server 2004 是唯一兼具防火墙服务器和代理服务器功能的产品。我们很喜欢这个特点，现在我们每个大学只需使用一台服务器。”- Adi Milner of Mofet Institute
从此，我们可以看到Microsoft ISA Server 多么的强大，他可以使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。

有关更多的ISA SERVER信息，请参考：
MS ISA SERVER 站点：http://www.microsoft.com/china/isaserver/
ISA中文站:www.isacn.org

本文有4张图片没有帖出,超出了限制..
所以就帖在这了!

上传图片