ISA安裝設置全集

隨著因特網的使用繼續擴展，安全和性能也同樣面臨挑戰。在以前僅僅給我們提供了代理服務的軟件漸漸的在我們的要求面前越來越顯得蒼白無力了。怎么辦？我們選擇了尋找新的軟件以及企業上網的解決方案。從長遠來考慮，我們需要的不僅僅是一個代理軟件，讓企業職工能夠通過這個代理訪問到外面的世界，讓他們感知外面的世界并且盡快的了解瞬息萬變的市場。我們不但需要主動的去了解世界，而且還需要世界來了解我們。當然，這個時候那么安全和性能就越來越得到企業和用戶的重視了。當然更加一個迫使企業的網管們去尋找更好的代理軟件的原因就是隨著用戶和訪問量的增加代理軟件的穩定性幾乎成幾何數積的方式遞減。我所試過的代理服務器不算少，每個代理服務器均使用了一個月以上了，但是都不是非常滿意。

大致歸納起來

l         SYSGATE：功能太簡單，效率不是很高，穩定性還可以；

l         WINGATE：功能適中，速度效率都還不錯，穩定性不好；

l         WINROUTE：功能適中，速度效率基本上來說還可以，穩定性也還是不錯；

l         CCPROXY：速度不錯，但是總的來說總有一些或多或少的毛??；

l         INTERNET連接共享：功能太簡單，效率非常一般，穩定性還可以；

還是說說我們單位的大致情況吧。8M專線ADSL接入INTERNET，兩臺HP服務器，網絡中心為100M到桌面，整個企業網絡為全交換式網絡。企業內部所以科室機器全部需要連接到INTERNET，科室機器大約為200臺。機房有4個，機器大約總共為200臺左右。我們需要能夠隨時控制哪些科室在什么時間段能夠上網，并且能夠對這些科室的上網帶寬進行控制。能夠隨時靈活的控制機房是否能夠上網。能夠在企業內部建立若干個WEB和FTP站點，并且通過這個代理服務器發布到INTERNET上，讓INTERNET上的朋友對這些個資源進行訪問……在使用了這些代理之后，我漸漸的開始失望，難道真的沒有讓我滿意的代理服務器嗎？最后，在朋友的介紹下我們使用了這款微軟發布的代理服務器—— Internet Security and Aclearcase/" target="_blank" >cceleration Server。

首先澄清一點，我絕對不是微軟的槍手，而且微軟也絕對不會找我這種蹩腳的槍手的?；蛘吣銈兛戳宋液筮叺氖褂靡约癐SA的功能之后就不會覺得我在吹噓什么了。

Internet Security and Acceleration（ISA） Server可以說是原來基于Windows NT 4.0的MS PROXY的一個升級版本吧。它在前一版的基礎上修補了許多安全性及緩存上的缺陷，提供了更快速、更安全、更直觀易于管理的系統。并整合了企業級的防火墻系統及高性能的緩存機制——也就是說，這款軟件不僅僅再是一個代理軟件了，它還充當了一個“防火墻”的功效。

ISA Server允許被安裝成Cache mode（緩存模式）、Firewall mode（防火墻模式）、Integrate mode（集成模式）三種模式當中的一種。當網絡系統需要通過ISA直接連入Internet的同時，也要對公司內部的主機進行相應的保護的話，那么Firewall或Integrate模式正是您所需要的。但在很多企業沒有任何相關的Internet主機或外部已經有防火墻，而他們知識希望能加快網絡間流量傳遞速度，則采用Cache模式是最理想的一種方案了。

那么ISA能夠提供給大家一些什么服務呢？

多層防火墻安全

防火墻可以通過各種方法增強安全性，包括數據包篩選、電路層篩選和應用程序篩選。高級的企業防火墻，如 ISA Server 所提供的那一種，綜合了所有這三種方法，在多個網絡層提供保護，為企業提供最低的投入的基礎上最高的回報。

狀態檢測

狀態檢查檢查通過防火墻的協議環境中的數據以及連接的狀態。在數據包層，ISA Server 檢查在 IP 消息頭中指明的通信來源和目標，以及在標識所采用的網絡服務或應用程序的 TCP 或 UDP 消息頭中的端口。

動態數據包篩選器能夠使窗口的打開只響應用戶的請求，并且打開端口的持續時間恰好滿足該請求的需要，從而減少與打開端口相關的攻擊。ISA Server 可以動態地確定，哪些數據包可以傳送到內部網絡的電路層和應用程序層服務。管理員可以配置訪問策略規則，以便只在允許的情況下自動打開端口，然后當通信結束時關閉端口。這一過程稱為動態數據包篩選，它使兩個方向上暴露的端口數量減到最少，并為網絡提供更高的安全性，使問題較少發生。

集成的入侵檢測

ISA Server利用一家名為 Internet Security Systems 的公司所提供的技術，提供幫助管理員識別諸如端口掃描、WinNuke 和 Ping of Death 之類的常見網絡攻擊的這種服務。并且ISA能夠自動對其作出響應。這項技術給 ISA Server 提供了能識別此類攻擊的集成入侵檢測機制。當識別出這種攻擊時，警報還能同時指出 ISA Server 應采取什么行動，這些行動可包括向系統管理員發送電子郵件或尋呼，停止 Firewall 服務，寫入到系統事件日志，或運行任何程序或腳本。

高性能 Web 緩存

ISA Server 對 Web 緩存進行了徹底的重新設計，使它可以將緩存放入 RAM 中——我知道現在很多的使用WINGATE的用戶都希望能夠得到這種緩存解決方案。這種高性能的 Web 緩存可提供更強的后端可伸縮性，并提供了更快的 Web 客戶機總體響應時間。這對于企業內部來說尤其重要，因為員工需要快速訪問 Web 內容，而企業也需要適當的節省網絡帶寬。這種高速的Web緩存正能夠滿足您的這種需要。

緩存陣列路由協議

ISA Server 使用了緩存陣列路由協議（Cache Array Routing Protocol，CARP）。因此您可以通過多臺 ISA Server 計算機組成的陣列來提供無縫縮放和更高的效率。

活動緩存

通過一個叫做活動緩存的功能，可配置 ISA Server 使其自動更新緩存中的對象。使用這種功能，ISA Server 可通過主動刷新內容來優化帶寬的使用。通過活動緩存，經常被訪問的對象在它們到期之前，在低網絡流量時段自動更新。

統一管理

ISA Server 利用基于 Windows 2000 的安全性，Active Directory 服務、VPN 和 Microsoft 管理控制臺（MMC，Microsoft Management Console）。所有這些功能，特別是 MMC，會使得管理更容易，因為操作人員熟悉它，并可從一個控制臺同時管理防火墻和 Web 緩存。

企業策略和訪問控制

ISA Server 還支持創建企業級和本地陣列策略，用于集中實施或本地實施。ISA Server 可作為獨立服務器安裝或作為陣列成員安裝。為便于管理，各個陣列成員都使用相同的配置。對陣列配置進行修改時，陣列中的所有 ISA Server 計算機也都將得到修改，包括所有訪問和緩存策略。

好了，說了這么多了，也許大家都還不是很明白或者正在懷疑是否這個ISA Server能夠做到這些吧？那么我們以我們企業為例詳細講解一下ISA的安裝以及調試還有配置過程吧。

ISA安裝入門篇

在實驗中，我們使用的是企業版的ISA2000 Server，而開始當然是要進行安裝ISA了哦！在這里我們選擇“Install ISA Server”。

在這里，會要求你輸入10位的數字“CD Key”，請大家輸入了之后點擊“OK”確認。然后進入下一步。

         面對M$的授權信息你除了點擊“I Agree”之外還能做些其他什么嗎？至于內容嘛還是那些老一套，看不看我覺得都無所謂了。

         在這里，程序會提示請你選擇安裝的路徑以及安裝的方式，在這里，我選擇的是“Full Installation”，因為即使是完全安裝也只需要花費24.5M的空間，而且安裝速度也是非常的快。所以我還是推薦大家使用完全安裝吧。

         如果您的計算機沒有成為域控制器而是一個獨立的服務器的話，那么ISA到這里會向您發出一個警告。如果您不想配置ISA Server陣列的話，那么您可以不用理會這個警告，直接“Yes”過去就可以了。

         我們前邊說過的ISA的三種工作模式在這里就要做一個選擇了！我選擇的是集成模式“Integrated mode”。

         在這里，如果您已經安裝IIS的話，那么ISA到這里會提醒你，它會馬上關閉掉IIS所使用的80端口。因為ISA會對80端口進行獨占使用，而這也是基于安全考慮。大家都知道，一個成功的黑客只需要一個80端口就可以對您的硬盤完成格式化的操作——這絕對不是駭人聽聞了，是真的哦。當然，如果您非要在這臺機器做WEB服務的話，那么就只要委屈你使用其他的端口了，但是必須注意的是不能占用80和8080端口。因為80和8080端口都讓ISA強行占用了。

         在這里還是OK吧，不要老是念叨你的WEB服務了，后邊我們有幾乎完美的解決方案的。

         在這里選擇CACHE存放的磁盤以及CACHE的容量?，F在已經都是寬帶網絡時代了，所以我建議不要把CACHE設得太了，根據實際使用的情況，在合理分配帶寬的前提下，盡量的使用網絡資源不是很好嗎？我們這里設置的為100M。

         到了這里，ISA會請您設置一個本地的IP范圍。我們這里是劃分的一個B類的子網，所以，在這里我們的IP范圍為192.168.0.1~192.168.5.255。如果是一般的中小型網絡，采用255.255.255.0做掩碼，用192.168.0.X作為IP地址的話，那么這里請你按照您本地網絡的情況加上這個IP段就可以了。然后“OK”進行下一步。

         等待系統復制必要的程序文件。

         到了這里，您的ISA就基本已經安裝完了，剩下的就是配置方面的事情了。在這里，系統會提示您是否需要進行“向導化配置”。建議大家不要使用這個向導，因為實際上我們根本就用不到其中的一些功能。這里取消掉“Start ISA Sserver Getting Started Wizard”前邊的小勾，然后電擊“OK”。

         恭喜您，您的ISA  Server已經安裝成功了。

         我們現在打開“開始”à“程序”à“Microsoft ISA Server”à“ISA Management”。

大家在管理窗口中選中“服務器名稱（BLUEWOLF）”標簽下的“Monitoring”標簽，然后選中“Services”這個標簽，在右邊會出現三個服務內容，由于我安裝的是“集成模式”所以在這里有三個服務，他們三個服務最好都能夠正常的啟動起來，這樣你才能使用ISA的所有功能。如果其中有功能不能正常啟動的話，那么就說明這次的ISA需要重新安裝了。如果出現了上述問題，請卸載掉ISA，然后檢查是否有一些服務占用了系統某些ISA必須要使用的資源，還有停掉一些不會用到的服務，然后再安裝ISA吧。這種不能啟動服務的原因你可以查看日志或者是通過經驗來進行判斷。一般都是因為軟件沖突才會發生這些情況的。

好了，如果服務都啟動了的話，現在我們就來對這個ISA進行最基礎的設置吧。首先保證客戶端能夠正常的上網，然后我們再進行其他的限制之類的工作吧。

默認的，ISA是一個軟件防火墻，不允許任何的數據通過它。那么我們現在先要使ISA允許內部的所有申請都能夠通過它，這樣內部才能訪問到INTERNET上的資源嘛。

         請大家展開“Access Policy”標簽，然后選中里邊的“Protocol Rules”點擊鼠標右鍵，然后選擇“新建”à“Rule…”。接著就跟我一步一步進行設置吧。

這里填寫的是這個協議規則的名稱，用戶可以根據自己的需要和喜好自行設置。我這里設置的為“Alow To Internet”。

這里是請你選擇這個協議規則的處理方法，這里有兩個選擇項目“Allow”和“Deny”，也就是允許通過以及禁止通過。在這里我們是希望LAN內的機器允許通過這里訪問外部，所以這里我們選擇“Allow”。

在這里是讓你選擇這條規則對那些IP生效，在這里，我們先不進行限制，等以后了再進行修改也可以。這里我們選擇“All IP traffic”——允許所有IP通過。

這里是選擇協議規則生效的時間段的。在這里您可以根據您的需要對協議生效的日期和時間段進行設置。比如說，你想周1至周5的上班時間允許這個規則生效而周末是全天開放，這些都可以在這里進行設置，非常的靈活。但是這里一個下拉只有讓您暫時選擇一下，然后等后邊了我們再進行詳細的修改吧。這里我們選擇了“Always”。

這里是對允許通過的客戶端進行授權的，您在這里可以設置允許哪些客戶端通過這里，我們這里先不做限制，等后邊定義了組之后再進行設置修改吧。

         OK！這個協議規則已經都配置完成了。點擊“完成”吧。

         好了，這個規則配置完成了也就意味著這個時候我們可以通過這個ISA代理上網了。我們現在找一個客戶端，打開IE，然后在IE的“工具”à“Internet選項”à“連接”標簽à“局域網設置”按鈕à“代理服務器”里邊把這臺ISA的內部LAN IP地址填寫進去，然后端口填寫8080，然后確認，保存設置。這個時候，客戶端就可以對INTERNET進行訪問了——當然ISA要已經連在了INTERNET上了哦！

         至于其他的服務，我建議大家安裝一個ISA的客戶端軟件。這個客戶端在你安裝完了ISA Server之后，就可以在你安裝的目錄中找到一個共享出來了的目錄，你可以把這個目錄復制下來，然后到其他機器上安裝上，你就可以享受所有的服務了。

         但是還有一個問題，那就是QQ上不了線??！對這個問題必須說清楚。因為QQ是正宗的“中國造”所以，ISA不會專門為QQ打開一個協議規則。這個協議規則還需要我們自己來添加。經過我們3天時間的研究，終于把QQ的發送和接受端口搞清楚了。下邊請大家跟著我們做就可以了。

現在我們來定義一個端口號，以便讓QQ的數據能夠順利的出去和進來。我們先展開“Policy Elements”這個標簽，然后選中“Protocol Definitions”標簽，并且在上邊單擊鼠標右鍵，然后選擇“新建”à“Definition”。

         在這里選擇這個定義名稱，我在這里取的名稱叫做“Tencent QQ”。

下一步了之后就是定義端口號和使用協議了！在這里，QQ相對于ISA來說需要發送一個數據到服務器的8000端口，而且QQ使用的是UDP協議，所以我們在這里就按照圖示進行設置。然后下一步。

         在這里的設置稍微復雜一點。我們知道，QQ默認客戶端是使用的4000端口，而增加一個QQ端口就加1。而相對于QQ的客戶端來說就是接受消息了，當然還是使用的是UDP協議。設定好了之后，請點擊“OK”并且“下一步”確定。

OK了，QQ的定義這里也完成了?，F在快去試試吧，保證QQ可以上線了哦，而且你根本就感覺不到有什么延遲，和本機撥號幾乎一模一樣，絕對能夠體現速度?。?！

ISA安裝配置進階篇

通過IP限制上網客戶端

我們前邊的“Protocol Rul”里邊設置的是允許所有的客戶端通過這個ISA連接到外部的INTERNET上去。但是現在我想要對這個客戶端進行分類，然后在不同時間內進行控制哪些IP可以上網，哪些IP不能上網。這樣的話，需要怎么做呢？大家還是跟我一步一步的來吧。

         首先我們要定義組。我們展開“Policy Elements”這個標簽，然后選中“Client Address Sets”這個標簽，在上邊單擊鼠標右鍵，選擇“新建”à“Set…”。

然后在“Name”一欄中填寫進一個組名的標識。下邊的描述可以不用寫。然后下邊的IP地址范圍你就可以按照實際需要進行添加了。我這里舉例是用的我們307機房作為例子。我這里的IP地址范圍為192.168.3.2~192.168.3.80。添加好了之后，確認無誤了，點擊“OK”確定保存。

按照相同的辦法，你就可以添加其他的一些組?？吹搅藛?？這里就是我添加好了的幾個組。好了，現在讓我們來設置只允許這些組通過ISA對INTERNET進行訪問。

現在我們回到“Access Policy”這個標簽下的“Protocol Rules”，選中右邊的我們最開始建立好的“Allow To Internet”協議規則，然后鼠標右鍵選擇“屬性”。

我們切換到“Applies To”這個標簽。然后，選中中間的那個“Client address sets specified below”。然后我們在下邊的“Client Sets”框的右邊點擊“Add”按鈕。

選中我剛才設定的那些組，然后點擊“Add”，將這些組全部添加到右邊的框中，然后點擊OK確定保存。

這里就已經已經把選中的組添加進去了，這里我們點擊“確定”就OK了！這下只要不是這些組里的IP地址的話就不能上網了。

控制上網的時間段

為了合理的利用帶寬，和提高工作效率，我們可以在ISA上對這些組上網的時間段進行控制。想知道怎么做嗎？跟我一起做吧?；氐健癆ccess Policy”這個標簽下的“Protocol Rules”，選中右邊的我們最開始建立好的“Allow To Internet”協議規則，然后鼠標右鍵選擇“屬性”。

在彈出的窗口中選擇“Schedule”日程標簽。然后點擊上邊的“New…”按鈕。

最上邊的是一個名稱，大家可以根據自己的喜好輸入。下邊我設置的為星期一到星期五全體人員都可以在上班時間上網，而星期六和星期天是全天開放的。具體設置很簡單，大家可以靈活的控制。完成了之后核實無誤就點擊“OK”確認保存。

原文轉自：http://www.kjueaiud.com