ISA2004构建安全高效的网站

　　当今的网络安全已成为必须重视的一个问题。微软的ISA2004在用于小型单位或个人构建安全高效的网站时很方便适用（针对有独立的服务器而言）。

    　ISA2004比ISA2000的功能上改进了很多，ISA2004引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA2004提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题。本文介绍了一个用ISA2004构建的一个网站系统的方法。

一、构建网站的现有硬软件环境

    　我用来构建网站的硬件环境是：用一台安装有双网卡的机器作为网站服务器，同时还作为单位内部机器共享上网的代理服务器，其中一块网卡连接Internet，有固定IP的地址。安装的是Windows2000系统，Web、Ftp服务等正常运行。现需要安装ISA2004加强安全性。

二、安装ISA2004的前提

    　ISA2004的安装过程比较简单，但在安装前首先要了解安装ISA2004需要的最低要求：①具有300MHz或更高频率的兼容Pentium II的CPU的个人计算机；②Microsoft? Windows Server 2003 或 Windows 2000 Server操作系统。如果是Windows 2000的操作系统，还必须安装Windows 2000 Service Pack 4 (SP4) 或更高版本、安装Internet Explorer 6或更高版本；③256MB内存；④与计算机的操作系统兼容的网络适配器，对于连接到ISA服务器计算机的每个网络还都需要一个额外的网络适配器以便与内部网络通讯；⑤一个用NTFS文件系统格式化的本地硬盘分区，并且至少拥有150MB的可用硬盘空间。这是专门用于缓存的硬盘空间。

　　其次，要根据自己单位的需要，规划好网络安全部署方案。ISA2004自带了“Internet 边缘防火墙”、“Internet 边缘防火墙”、“分支办公室防火墙”、“安全服务器发布”、“安全 Exchange 服务器 SSL VPN”多种方案。

三、安装ISA2004的过程

　　首选将存储有微软ISA2004的光盘介质放入光驱中，会自动启动ISA2004的安装程序，如果不能自动启动安装程序可以点击光盘介质中的SETUP.EXE程序。

　　在安装程序主界面上，如果你的机器中原来安装得有ISA2000，可以通过点击“运行迁移向导”进行升级安装。我下面主要介绍怎样新安装ISA2004。

　　点击ISA2004安装程序主界面上的“安装ISA Server 2004”启动安装向导。根据安装向导的提示填写客户信息（用户名、单位）、产品序列号（必填内容）。安装类型，选择自定义安装。在下一个界面选择安装所有功能。

　　点击 “添加”按钮弹出如图所示的界面，输入内部网络的地址范围，我的内部地址范围是192.168.0.1～192.168.0.255。这里也可以通过点击“选择网卡”按钮来进行内部地址设置。当然也可以安装完ISA2004以后使用过程中再配置。

配置IP地址段

　　完成以上关键的配置后，安装程序自动完成其余的安装过程，最后点击完成重新启动计算机完成整个安装过程。

四、配置访问服务策略

　　ISA安装完成后，首要的是要让单位内部的所有机器能够访问Internet网络。配置ISA的访问服务策略后就可以解决这个问题。启动ISA服务器管理，进入ISA的管理主界面，并点击左边“ISA 服务器管理”的控制台树中的“防火墙策略”。ISA有一个默认访问规则拒绝出入网络的全部访问，因而内网中的所有机器不能访问Internet。注意该默认规则不能修改和删除。

　　点击图中右边的防火墙策略任务选项卡中的“创建新的访问规则”选项，启动新建访问规则向导。输入访问规则名称，我输入的是“访问外网”，点击下一步进入“设置访问规则”界面，该界面主要设置当客户端提出请求时，ISA是“允许”还是“拒绝”该请求，我这里选择“允许”。

设置防火墙策略

　　选择允许后，点击下一步，进入如图所示的“协议”设置界面窗口，该界面主要设置该访问规则针对客户端提出请求时的哪一种协议。在下拉框中有“所有出站通讯”、“所选的协议”、“除选择以外的所有出站通讯”三种选择方式。我这里设置的是“所有出站通讯”，主要是让单位内部网络的所有机器都能访问Internet不受任何阻挡。在这里还可以点击“端口”按钮进入设置源端口范围，规定允许来自该范围内的端口的客户端的通讯。

设置访问规则

　　点击下一步进入的“访问规则源”设置窗口，点击添加按钮添加网络实体，我这里选择的网络实体是网络集中“所有受保护的网络”。再点击下一步进入“访问规则目标”设置窗口，点击添加按钮添加网络实体，我这里选择的网络实体是计算机集中“任何地点”。

　　点击下一步进入“用户集”设置窗口，点击添加按钮添加用户，我这里选择的用户集是“所有用户”。点击下一步点击完成按钮，这样就成功的完成了“访问外网”访问规则的设置，如图所示。最后还要点击“应用”按钮，保存并更新ISA的配置。

规则设置完成

　　如果客户端是通过代理进行访问Internet的，那么还必须选择ISA配置主界面窗口左边的“ISA 服务器管理”的控制台树中，选择“配置”中的“网络”选项，右键单击“内部”选择“属性”菜单弹出“内部属性”窗口，在该窗口中选择Web代理选项，并在“启动Web代理客户端”、“启用HTTP”前打钩，另外在“HTTP端口”处输入与客户端浏览器中设置的连接代理服务的HTTP的端口一致。通过以上的配置后，我们就可以在单位的内部机器上正常访问Internet了。

设置代理

五、配置Web发布规则

　　在“ISA 服务器管理”的控制台树中，单击“防火墙策略”。 在“任务”选项卡上，单击“发布一个 Web 服务器”。启动“新建Web发布规则向导”设置窗口，在该窗口中“Web发布规则名称”之处输入一个名称，我这里输入的是“Web发布”。

　　点击下一步，同配置访问策略一样在“请选择规则操作”窗口中选择“允许”后点击下一步进入如图所示的“请定义要发布的网站”设置窗口。在“计算机名称或IP地址”处输入本台机器内部网卡的IP地址“192.168.0.1”。

定义要发布的站点

　　点击下一步，进入“公共名称细节”设置窗口。在公共名称处输入你所拥用的公共域名。点击下一步，进入如图所示的“选择Web侦听器”设置窗口。Web侦听器的目的是指定网络上的哪些 Internet 协议 (IP) 地址和端口将侦听 Web 请求，需要进行身份验证时，将使用哪个身份验证方法。 允许的连接数量。选择Web侦听器或点击新建按钮启动“新建Web侦听器定义向导”定义一个Web侦听器。我建立了一个名称为“Web侦听器”的Web侦听器，侦听HTTP的端口是80。这里要注意：如果没有一个侦听器，外部网络不能访问你的Web服务器。

设置侦听器

　　点击下一步，进入“用户集”设置窗口，我添加的是“所有用户”。点击下一步，最后点击完成按钮完成新建Web发布规则的建立。注意仍然要点击“应用”按钮保存并更新ISA的配置。

　　Web发布规则建立好后，我们一般还要对HTTP请求进行重定向，以便让我们的Web服务提供的内部端口不为默认端口80。右键单击刚建立好的“Web发布”，选择属性菜单弹出如图所示的Web发布属性窗口，选择桥接卡项，将“将请求重定向到HTTP端口”打钩，并输入3366，该端口号要与IIS中“Web站点属性”中的端口号一致。通过以上的配置后，我们成功的完成了Web服务的发布。FTP的发布基本一致，这里就不在讲述了。

设置重定向窗口