ISA服务器的搭建、配置与管理.ppt

《ISA服务器的搭建、配置与管理.ppt》由会员分享，可在线阅读，更多相关《ISA服务器的搭建、配置与管理.ppt（85页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第19章 ISA服务器的搭建、配置与管理 本章重点本章重点ISA2004的功能及特点的功能及特点ISA2004的安装的安装配置防火墙策略配置防火墙策略服务器的发布服务器的发布 19.1 ISA Server 2004概述 ISA Server 2004ISA Server 2004是防火墙软件，能够提高网是防火墙软件，能够提高网是防火墙软件，能够提高网是防火墙软件，能够提高网络安全性和性能，可以防止外来网络的攻击。络安全性和性能，可以防止外来网络的攻击。络安全性和性能，可以防止外来网络的攻击。络安全性和性能，可以防止外来网络的攻击。ISA ServerISA Server同时具有防火墙、代理服

2、务器和缓存同时具有防火墙、代理服务器和缓存同时具有防火墙、代理服务器和缓存同时具有防火墙、代理服务器和缓存三大功能，三大功能，三大功能，三大功能，但不具备病毒查杀功能。但不具备病毒查杀功能。但不具备病毒查杀功能。但不具备病毒查杀功能。19.1 ISA Server 2004概述19.1.1 ISA Server 2004的特点的特点19.1.2 ISA Server 2004的功能的功能 19.1.1 ISA Server 2004的特点 ISA Server 2004ISA Server 2004主要具有以下优点：主要具有以下优点：主要具有以下优点：主要具有以下优点：降低带宽需求降低带宽需求

3、降低带宽需求降低带宽需求改善改善改善改善WebWeb浏览的体验浏览的体验浏览的体验浏览的体验 能确保存储内容是新的能确保存储内容是新的能确保存储内容是新的能确保存储内容是新的 分配带宽分配带宽分配带宽分配带宽 降低服务器工作负载降低服务器工作负载降低服务器工作负载降低服务器工作负载 19.1.2 ISA Server 2004的功能 ISA Server 2004ISA Server 2004通过提高网络安全性和性能，从而通过提高网络安全性和性能，从而通过提高网络安全性和性能，从而通过提高网络安全性和性能，从而使客户能够最大限度利用现有网络投资。它包含了许多使客户能够最大限度利用现有网络投资。

4、它包含了许多使客户能够最大限度利用现有网络投资。它包含了许多使客户能够最大限度利用现有网络投资。它包含了许多新功能和改进，尤其是运行在新功能和改进，尤其是运行在新功能和改进，尤其是运行在新功能和改进，尤其是运行在Windows Server 2003Windows Server 2003系系系系统上更能体现这些新功能。统上更能体现这些新功能。统上更能体现这些新功能。统上更能体现这些新功能。ISA Server 2004的功能的功能企业级防火墙的安全性企业级防火墙的安全性企业级防火墙的安全性企业级防火墙的安全性 状态检测和智能过滤状态检测和智能过滤状态检测和智能过滤状态检测和智能过滤 多层的防火

5、墙安全性多层的防火墙安全性多层的防火墙安全性多层的防火墙安全性 安全的服务器发布安全的服务器发布安全的服务器发布安全的服务器发布 入侵检测入侵检测入侵检测入侵检测 集成化的虚拟专用网集成化的虚拟专用网集成化的虚拟专用网集成化的虚拟专用网 透明的防火墙透明的防火墙透明的防火墙透明的防火墙 强有力的用户身份验证强有力的用户身份验证强有力的用户身份验证强有力的用户身份验证 SSLSSL到到到到SSLSSL的桥接的桥接的桥接的桥接 WebWeb缓存服务器缓存服务器缓存服务器缓存服务器 高性能高性能高性能高性能WebWeb缓存缓存缓存缓存 智能缓存智能缓存智能缓存智能缓存 有计划的缓存有计划的缓存有计划

6、的缓存有计划的缓存 直观的防火墙管理直观的防火墙管理直观的防火墙管理直观的防火墙管理 基于策略的访问控制基于策略的访问控制基于策略的访问控制基于策略的访问控制 简化的管理简化的管理简化的管理简化的管理 Active DirectoryActive Directory集成集成集成集成 图形任务板和配置向导图形任务板和配置向导图形任务板和配置向导图形任务板和配置向导 远程管理远程管理远程管理远程管理 日志记录、报告和警告日志记录、报告和警告日志记录、报告和警告日志记录、报告和警告 用户级管理用户级管理用户级管理用户级管理 可扩展的平台可扩展的平台可扩展的平台可扩展的平台 广泛的应用程序支持广泛的应

7、用程序支持广泛的应用程序支持广泛的应用程序支持 广泛的供应商支持广泛的供应商支持广泛的供应商支持广泛的供应商支持 丰富的丰富的丰富的丰富的SDKSDK19.2 安装ISA Server 2004 实施安装实施安装实施安装实施安装ISA Server 2004ISA Server 2004之前应注意其最低系之前应注意其最低系之前应注意其最低系之前应注意其最低系统配置需求，以免导致日后的不能正常使用。统配置需求，以免导致日后的不能正常使用。统配置需求，以免导致日后的不能正常使用。统配置需求，以免导致日后的不能正常使用。ISA Server 2004ISA Server 2004对服务器计算机的硬件

8、和软件配对服务器计算机的硬件和软件配对服务器计算机的硬件和软件配对服务器计算机的硬件和软件配置都比较高，但取于客户端连接数量等。置都比较高，但取于客户端连接数量等。置都比较高，但取于客户端连接数量等。置都比较高，但取于客户端连接数量等。19.2 安装ISA Server 200419.2.1 ISA Server 2004的安装需求的安装需求19.2.2 ISA Server 2004的安装的安装 19.2.1 ISA Server 2004的安装需求 如果仅仅是安装如果仅仅是安装如果仅仅是安装如果仅仅是安装ISA Server 2004ISA Server 2004，其最小需求仅，其最小需求

9、仅，其最小需求仅，其最小需求仅为为为为Pentium II 300 MHzPentium II 300 MHz或更高的或更高的或更高的或更高的CPUCPU、256MB256MB的内存、的内存、的内存、的内存、ISAISA缓存至少有缓存至少有缓存至少有缓存至少有150MB150MB的的的的NTFSNTFS磁盘空间及与内部网络磁盘空间及与内部网络磁盘空间及与内部网络磁盘空间及与内部网络和外部网络连接的网络配器即可。和外部网络连接的网络配器即可。和外部网络连接的网络配器即可。和外部网络连接的网络配器即可。然而，然而，然而，然而，为为为为了改善性了改善性了改善性了改善性能，就需要能，就需要能，就需要能

10、，就需要规规规规划划划划ISA Server 2004ISA Server 2004的硬件和的硬件和的硬件和的硬件和InternetInternet连连连连接接接接，以，以，以，以满满满满足足足足预预预预期的期的期的期的负载负载负载负载要求。要求。要求。要求。ISA Server 2004的安装需求的安装需求不同带宽对硬件的需求 19.2.2 ISA Server 2004的安装 将将将将ISA Server 2004ISA Server 2004安装光盘放入光驱，光盘会自动安装光盘放入光驱，光盘会自动安装光盘放入光驱，光盘会自动安装光盘放入光驱，光盘会自动运行开始安装。如果光盘没有自动运行，

11、双击光盘根目运行开始安装。如果光盘没有自动运行，双击光盘根目运行开始安装。如果光盘没有自动运行，双击光盘根目运行开始安装。如果光盘没有自动运行，双击光盘根目录下的录下的录下的录下的“ISAAutorun.exeISAAutorun.exe”文件，也可以启动安装向导。文件，也可以启动安装向导。文件，也可以启动安装向导。文件，也可以启动安装向导。ISA Server 2004的安装的安装ISA Server 2004主界面ISA Server 2004的安装的安装接受许可协议ISA Server 2004的安装的安装输入客户信息ISA Server 2004的安装的安装选择安装类型ISA Serv

12、er 2004的安装的安装选择内部网络ISA Server 2004的安装的安装设置要关联的IP地址ISA Server 2004的安装的安装选择相关联的IP地址ISA Server 2004的安装的安装防火墙客户端连接设置ISA Server 2004的安装的安装“服务”对话框ISA Server 2004的安装的安装导出现有的路由和远程访问VPN配置ISA Server 2004的安装的安装SQL Server服务管理器ISA Server 2004的安装的安装ISA服务管理器ISA Server 2004的安装的安装默认规则19.3 防火墙策略 借助对防火墙策略的设置，不仅可以有效地保护

13、借助对防火墙策略的设置，不仅可以有效地保护借助对防火墙策略的设置，不仅可以有效地保护借助对防火墙策略的设置，不仅可以有效地保护网络内的计算机，而且还可以禁止网络内部用户使用网络内的计算机，而且还可以禁止网络内部用户使用网络内的计算机，而且还可以禁止网络内部用户使用网络内的计算机，而且还可以禁止网络内部用户使用的网络服务，从而避免的网络服务，从而避免的网络服务，从而避免的网络服务，从而避免InternetInternet被滥用。被滥用。被滥用。被滥用。19.3 防火墙策略19.3.1 允许内网用户访问网站允许内网用户访问网站19.3.2 访问规则设置访问规则设置19.3.3 阻止应用程序访问阻止

14、应用程序访问Internet 19.3.1 允许内网用户访问网站 在刚刚安装了在刚刚安装了在刚刚安装了在刚刚安装了ISA ServerISA Server以后，内部网络将不能以后，内部网络将不能以后，内部网络将不能以后，内部网络将不能访问访问访问访问InternetInternet上的任何网站。这里，我们以允许局域上的任何网站。这里，我们以允许局域上的任何网站。这里，我们以允许局域上的任何网站。这里，我们以允许局域网中的用户访问搜狐（网中的用户访问搜狐（网中的用户访问搜狐（网中的用户访问搜狐（）网为例，介）网为例，介）网为例，介）网为例，介绍一下新规则的添加。绍一下新规则的添加。绍一下新规则的

15、添加。绍一下新规则的添加。允许内网用户访问网站允许内网用户访问网站 欢迎使用新建访问规则向导允许内网用户访问网站允许内网用户访问网站 规则操作允许内网用户访问网站允许内网用户访问网站“协议”对话框允许内网用户访问网站允许内网用户访问网站“添加协议”对话框允许内网用户访问网站允许内网用户访问网站 添加网络实体允许内网用户访问网站允许内网用户访问网站 添加访问规则目标允许内网用户访问网站允许内网用户访问网站 新建URL集规则元素允许内网用户访问网站允许内网用户访问网站 添加用户允许内网用户访问网站允许内网用户访问网站 完成新建访问规则向导允许内网用户访问网站允许内网用户访问网站 新创建的规则允许内

16、网用户访问网站允许内网用户访问网站 应用新配置19.3.2 访问规则设置 新规则创建完成以后，也可以修改或删除。在新规则创建完成以后，也可以修改或删除。在新规则创建完成以后，也可以修改或删除。在新规则创建完成以后，也可以修改或删除。在ISAISA服务管理器中右击该规则，选择快捷菜单中的服务管理器中右击该规则，选择快捷菜单中的服务管理器中右击该规则，选择快捷菜单中的服务管理器中右击该规则，选择快捷菜单中的“属性属性属性属性”选项，在打开的规则属性对话框中即可操选项，在打开的规则属性对话框中即可操选项，在打开的规则属性对话框中即可操选项，在打开的规则属性对话框中即可操作。作。作。作。访问规则设置访

17、问规则设置“常规”选项卡访问规则设置访问规则设置“操作”选项卡访问规则设置访问规则设置“计划”选项卡访问规则设置访问规则设置 新建计划访问规则设置访问规则设置 选择内容类型访问规则设置访问规则设置 内容类型19.3.3 阻止应用程序访问Internet ISA ServerISA Server可以允许或阻止内部网络的应用程序可以允许或阻止内部网络的应用程序可以允许或阻止内部网络的应用程序可以允许或阻止内部网络的应用程序访问访问访问访问InternetInternet，例如，许多公司都禁止员工使用，例如，许多公司都禁止员工使用，例如，许多公司都禁止员工使用，例如，许多公司都禁止员工使用QQQQ聊

18、聊聊聊天，这时就可在天，这时就可在天，这时就可在天，这时就可在ISAISA服务器上添加一条新规则，拒绝服务器上添加一条新规则，拒绝服务器上添加一条新规则，拒绝服务器上添加一条新规则，拒绝QQQQ程序访问程序访问程序访问程序访问InternetInternet。阻止应用程序访问阻止应用程序访问Internet“新建/编辑协议连接”对话框 阻止应用程序访问阻止应用程序访问Internet“添加协议”对话框阻止应用程序访问阻止应用程序访问Internet“签名”选项卡阻止应用程序访问阻止应用程序访问Internet 设置QQ签名19.4 查看日志 当安装当安装当安装当安装ISA Server 200

19、4ISA Server 2004时，会对所有组件启用日志时，会对所有组件启用日志时，会对所有组件启用日志时，会对所有组件启用日志记录功能。默认情况下，记录功能。默认情况下，记录功能。默认情况下，记录功能。默认情况下，WebWeb代理日志和防火墙服务日志代理日志和防火墙服务日志代理日志和防火墙服务日志代理日志和防火墙服务日志的日志信息保存到的日志信息保存到的日志信息保存到的日志信息保存到MicrosoftMicrosoft数据引擎（数据引擎（数据引擎（数据引擎（MSDEMSDE）数据库）数据库）数据库）数据库中，这些信息都可以通过日志查看器来查看。中，这些信息都可以通过日志查看器来查看。中，这些

20、信息都可以通过日志查看器来查看。中，这些信息都可以通过日志查看器来查看。查看日志查看日志 监视窗口查看日志查看日志“日志”选项卡查看日志查看日志设置日志的存储格式查看日志查看日志选择日志记录的字段查看日志查看日志“警报”选项卡查看日志查看日志“警报 属性”对话框19.5 服务器发布 如果在公司内部网络中搭建了如果在公司内部网络中搭建了如果在公司内部网络中搭建了如果在公司内部网络中搭建了WebWeb服务器、邮件服务器、邮件服务器、邮件服务器、邮件服务器等，并且要向服务器等，并且要向服务器等，并且要向服务器等，并且要向InternetInternet提供服务，就需要在提供服务，就需要在提供服务，就

21、需要在提供服务，就需要在ISAISA服务器上将这些服务器发布到服务器上将这些服务器发布到服务器上将这些服务器发布到服务器上将这些服务器发布到InternetInternet。而。而。而。而InternetInternet上上上上的用户在访问所发布的服务器时，表面看来是访问的的用户在访问所发布的服务器时，表面看来是访问的的用户在访问所发布的服务器时，表面看来是访问的的用户在访问所发布的服务器时，表面看来是访问的WebWeb或邮件服务器，而实际上访问是或邮件服务器，而实际上访问是或邮件服务器，而实际上访问是或邮件服务器，而实际上访问是ISAISA服务器，这服务器，这服务器，这服务器，这样有利于提高

22、服务器的安全性。样有利于提高服务器的安全性。样有利于提高服务器的安全性。样有利于提高服务器的安全性。19.5 服务器发布19.5.1 发布发布Web服务器服务器19.5.2 发布发布SSL Web服务器服务器19.5.3 发布邮件服务器发布邮件服务器 19.5.1 发布Web服务器 如果公司有自己的合法域名，并制作了如果公司有自己的合法域名，并制作了如果公司有自己的合法域名，并制作了如果公司有自己的合法域名，并制作了WebWeb网站，网站，网站，网站，想将它发布到想将它发布到想将它发布到想将它发布到InternetInternet上。但该上。但该上。但该上。但该WebWeb服务器处于防火墙服务

23、器处于防火墙服务器处于防火墙服务器处于防火墙内部，虽然内网的用户可以访问，但外网用户要想访内部，虽然内网的用户可以访问，但外网用户要想访内部，虽然内网的用户可以访问，但外网用户要想访内部，虽然内网的用户可以访问，但外网用户要想访问该问该问该问该WebWeb服务器，就必须穿过防火墙，这就需要在服务器，就必须穿过防火墙，这就需要在服务器，就必须穿过防火墙，这就需要在服务器，就必须穿过防火墙，这就需要在ISAISA服务器上进行一定的设置。服务器上进行一定的设置。服务器上进行一定的设置。服务器上进行一定的设置。19.5.1 发布Web服务器1.Web服务发布概述服务发布概述2.发布发布Web站点站点3

24、.链接转换链接转换2.发布发布Web站点站点欢迎使用新建Web发布规则向导2.发布发布Web站点站点选择规则操作2.发布发布Web站点站点定义要发布的网站2.发布发布Web站点站点设置公共名称2.发布发布Web站点站点选择Web侦听器2.发布发布Web站点站点欢迎使用新建Web侦听器向导2.发布发布Web站点站点选择要侦听的IP地址2.发布发布Web站点站点指定要侦听的端口2.发布发布Web站点站点创建的Web侦听器2.发布发布Web站点站点选择用户2.发布发布Web站点站点完成新建Web发布规则向导3.链接转换链接转换“链接转换”选项卡3.链接转换链接转换“添加/编辑词典项目”对话框19.5

25、.2 发布SSL Web服务器 ISA Server 2004ISA Server 2004的另一个特点，就是可以与的另一个特点，就是可以与的另一个特点，就是可以与的另一个特点，就是可以与SSLSSL相结相结相结相结合。合。合。合。SSLSSL数据为加密数据，一般情况下，当数据为加密数据，一般情况下，当数据为加密数据，一般情况下，当数据为加密数据，一般情况下，当SSLSSL数据经过数据经过数据经过数据经过防火墙时，防火墙不会检查防火墙时，防火墙不会检查防火墙时，防火墙不会检查防火墙时，防火墙不会检查SSLSSL数据中的内容，该数据中的内容，该数据中的内容，该数据中的内容，该SSLSSL数数数数

26、据仍可安然通过。据仍可安然通过。据仍可安然通过。据仍可安然通过。为了拦截来自外部的加密数据对为了拦截来自外部的加密数据对为了拦截来自外部的加密数据对为了拦截来自外部的加密数据对WebWeb服务器的攻击，可以启用服务器的攻击，可以启用服务器的攻击，可以启用服务器的攻击，可以启用ISA ServerISA Server的桥接功能的桥接功能的桥接功能的桥接功能发布发布SSL Web服务器服务器 选择发布模式发布发布SSL Web服务器服务器 选择桥接模式发布发布SSL Web服务器服务器 指定SSL端口发布发布SSL Web服务器服务器 选择Web侦听器19.5.3 发布邮件服务器 在在在在ISA

27、Server 2004ISA Server 2004中，不仅可以发布中，不仅可以发布中，不仅可以发布中，不仅可以发布WebWeb、SSL SSL WebWeb服务器，还可以发布邮件服务器。不过，在发布邮服务器，还可以发布邮件服务器。不过，在发布邮服务器，还可以发布邮件服务器。不过，在发布邮服务器，还可以发布邮件服务器。不过，在发布邮件服务器时，建议将邮件服务器的件服务器时，建议将邮件服务器的件服务器时，建议将邮件服务器的件服务器时，建议将邮件服务器的FQDNFQDN名称配置为名称配置为名称配置为名称配置为ISAISA服务器计算机的外部服务器计算机的外部服务器计算机的外部服务器计算机的外部DNSDNS名称，这样，邮件服务器名称，这样，邮件服务器名称，这样，邮件服务器名称，这样，邮件服务器的内部名称将不会公开，因此不易受到攻击。的内部名称将不会公开，因此不易受到攻击。的内部名称将不会公开，因此不易受到攻击。的内部名称将不会公开，因此不易受到攻击。发布邮件服务器发布邮件服务器 选择访问类型发布邮件服务器发布邮件服务器 选择Web客户端服务发布邮件服务器发布邮件服务器 选择桥接模式发布邮件服务器发布邮件服务器 指定Web邮件服务器发布邮件服务器发布邮件服务器 设置公共名称