ISAserver的配置应用.ppt

ISA Server配置应用,网络安全与管理 课件制作：邹延平 2007年4月,安装ISA Server 2004 设置ISA Server客户端 配置访问策略实现Internet安全访问 在ISA Server服务器上发布内网服务器 管理ISA Server服务器,实验内容,1、用虚拟机A机windows 2003,配置双网卡： 外网IP:172.16.x.A/24 内网IP:192.168.1.A/24 配置A机外网网关、DNS等， 可以连入internet;2、B机仅设置IP: 192.168.1.B/24，可以连接A机，但不能上internet; 3、在A机上安装ISA Server，使A机成为应用代理网关+防火墙; 解压isa sever 2004安装,安装完成后不要重启动，查看相关服务项4、配置A机的ISA Server服务器： 1)设置内网地址:192.168.1.1-192.168.1.254 2)设置访问规则，使客户端B机可以通过A机的ISA Server连入internet; 5、在B机设置Web Proxy客户端: IEinternet 选项连接局域网设置代理服务器(地址:192.168.1.A 端口:8080),尝试通过A机接入internet;6、在B机用secure nat客户端方式连上A机,在A机上查看与上一种连接有何区别；7、在A机上设置如下访问策略：1)工作日的每天23.007.00断网 2)所有内网客户可以在非工作时间上网3)限制内网客户不能访问指定的网站：等4)限制内网客户的192.168.1.50至192.168.1.80网段不能在线看电影（禁用mms 、rtsp协议等）8、到B机上一一验证，看以上策略是否起作用,实验内容(续),9、配置内网WEB服务器（IP:192.168.1.C/24）-C机 10 、配置内网FTP服务器（IP:192.168.1.D/24）-D机 11 、在ISA server (A机)上创建发布规则，分别发布内网的WEB服务器和FTP服务器 12 、在其他外网计算机上访问发布的服务器（用ip:172.16.x.A),看看内网服务器是否发布成功 13 、在A机ISA server上修改或查看A机ISA server代理端口号、缓存大小、监视、警报、日志等, 尝试远程管理ISA server 所有实验请参考辅导材料两个小时成为ISA2004专家,思考问题,1、简述ISA Server的主要功能和应用场合；与硬件防火墙比有什么优缺点？2、说明ISA Server访问策略的类型及其作用；3、举例说明ISA Server有哪些策略元素?4、如何发布内网web和ftp服务器？5、如果外网用adsl接入，在 ISA Server服务器上，应该安装那些硬件？IP如何配置？内网PC如何接入？设计规划网络，画网络拓扑图说明。,思考问题(续）,6、 填空：(防火墙策略访问规则选项）-在ISA中配置实验 内网客户172.16.20.x/24172.16.100.x/24网段在工作日的每天23.007.00时间段断网 所有内网客户可以在非工作时间上网 内网客户不能访问网站： 内网客户172.16.19.x/24不能在线看电影（禁用mms 、rtsp协议等）,安装ISA2004,企业内网 192.168.1.x/24,Internet,ISA Server 本地主机 单网卡双ip 或双网卡： 172.16.20.x (外网） 192.168.1.a（内网）,外网(172.16.20.y等）,安装ISA2004,系统需求 CPU：P550，最多支持四个CPU RAM：至少256M DISK：150M，不包括缓存空间。 OS：Windows2000 server+SP4+IE6+kb821887 Windows 2003 server 网卡：至少二块。 DNS：要求内网DNS或外网DNS服务器，如果使用WEB代理和防火墙客户端，建议使用稳定的内部DNS，如果是NAT客户可使用外部DNS。 网络：正常工作的外网接入和内部局域网,安装ISA Server 2004,安装双网卡或单网卡设置双ip,安装界面 点击“安装 ISA Server 2004” 开始安装 这是免费的ISA2004 简体中文 120天 评估版 没有正式版稳定但功能依然强大,安装ISA2004,安装ISA2004,安装ISA2004,安装类型: 让我们看一下自定义 中的选项: (更改:是改变安装的路径),安装ISA2004,总共4项: 1:防火墙服务器 2:ISA服务器管理 3.客户端安装共享 4.消息筛选器 典型安装: 就是只安装1和2 完全安装: 就是1234都安 自定义就由你选啦!,安装ISA2004,定义内部网络地址: 我们点添加 加入地址范围(192.168.1.1-192.168.1.254),安装ISA2004,注意 :在添加内部网段的时候 计算机的网卡地址至少要有一个地址包含在你所添加的内部网段内否则 就会出现下面的警告!,安装ISA2004,添加完成 点击 “下一步” 到第二个界面就开始正式安装,安装ISA2004,进入了ISA2004 的管理页面了 安装就完成了,管理ISA Server 2004,管理ISA Server 2004,管理ISA Server 2004,设置ISA Server客户端,Internet,ISA Server,SecureNAT客户机 无需安装客户端软件和配置客户,Firewall客户机 只允许认证用户访问Internet,Web Proxy客户机 提高内网客户机Web请求的性能,设置Web Proxy客户端,安装Firewall客户端,安装Firewall客户端,设置SecureNAT客户端,ISA2004访问规则,策略元素 网络规则 系统策略 访问规则,策略元素,网络对象 协议 用户 内容类型 计划,策略元素,网络规则,系统策略,点击如图的显示系统策略 会显示出来；或是点击,系统策略,显示如图 总共30条 几乎含盖所有需求；全部针对本地生效,系统策略,如我们所遇见的 安装完ISA2004 后，就不能上非微软网的 问题 在理解本地规则后就不用添加 所有到所有的 允许访问规则了, 只要启用本地策略第第18条（默认停止）还有本地第七条 DNS 访问 （默认开启）即可,系统策略,如何启用本地规则；选择“编辑系统策略”,系统策略,访问规则,处理内网客户机访问外部资源,制定出站的访问规则 基本的访问规则： 默认：规则 方式 源地址 目的地址 拒绝 所有通讯 所有（含本地） 所有（含本地）,访问规则,访问规则设定： 1)新建规则 2)规则命名,访问规则,规则 ： 允许 协议方法 ： 全部通讯,访问规则,来源地址：内网,访问规则,目标地址：外网,访问规则,访问规则,这是允许所有通讯,访问规则,如果要设定 更为详细的 访问规则 在 通讯类型中添加 如： 只想让用户进行网页浏览 就添加HTTP和安全的HTTPS协议,访问规则,访问规则的选项,常规 操作 用户 协议 内容类型 从(源) 到(目标) 计划,访问规则的选项-操作,访问规则的选项-用户,访问规则的选项-协议,访问规则的选项-内容类型,访问规则的选项-从(源),访问规则的选项-到(目标),访问规则的选项-计划,ISA2004中的规则：,1)网络规则：路由、还是NAT 2)系统策略：30多条策略控制本地主机到目标的通讯；你可以启用或者禁用这些规则。 3)防火墙策略：自定义的所有规则，包括访问规则和发布规则，最后有条缺省规则不能修改或删除。 要点一：源主机和目标主机必须位于不同的网络。 要点二：严格按照顺序评估防火墙策略，如果一条访问规则匹配某个请求参数，此规则将被应用，防火墙将不再与其它任何规则进行匹配。 要点三：系统策略优先于防火墙策略。 4)最佳建议，按以下顺序排列防火墙策略： 首先，将WEB和服务器发布规则放在列表的顶部。 然后，按照下面的顺序放置匿名访问规则，先拒绝，再允许部分；这些规则不需要验证。 最后，按照下面的顺序放置需要验证的访问规则：先拒绝，再允许；这些规则需要验证。,