ISA 防火牆部署與設置一、ISA Server介紹二、ISA Server的優點三、ISA Server安裝四、ISA的配置一、ISA Server介紹隨著互聯網應用的不斷發展，絕大多數企業都接入了互聯網或建立了自己的內部局域網，但企業在享受互聯網所帶來的方便、快捷的同時，也帶來了企業上網管理的煩惱：1、如何禁止員工上班時間在網上看電影，用QQ聊天，玩遊戲？2、如何查看員工上班時間訪問了什麼網站？3、如何應對日益猖獗的病毒及駭客攻擊，保證企業內部資訊的安全？4、如何加快網路訪問速度？5、公司有眾多分支機搆，如何讓他們能夠通過 Internet 與總部安全地通信？等等ISA Server的出現為了解決企業對網路管理和網路安全的需求，實現可管理的互聯網，微軟公司推出了企業級防火牆ISA Server 2004。作為最優秀的微軟平臺防火牆和最高效的緩存伺服器，ISA Server 2004能有效的幫助企業組織管理內部的互聯網訪問行為，為企業網路搭建了快速、安全、可管理的的上網通道，保護企業網路資源免受病毒、駭客及未授權訪問侵襲。ISA 是什麼Internet Security and Accleration Server防火牆技術緩存技術國際領先的防火牆，安全的Internet連接通過資料包級別、電路級別和應用程式級別的通訊篩選、狀態篩選和檢查、廣泛的網路應用程式支援、緊密地集成虛擬專用網路 (VPN)、系統堅固、集成的入侵檢測、智慧的第 7 層應用程式篩選器、對所有用戶端的防火牆透明性、高級身份驗證、安全的伺服器發佈等等增強安全性。ISA 伺服器保護網路免受未經授權的訪問、執行狀態篩選和檢查，並在防火牆或受保護的網路受到攻擊時向管理員發出警報。二、ISA Server的優點基於應用層的高級防護目前互聯網上70%的WEB攻擊發生在應用層，而傳統防火牆只對資料包的包頭進行檢查，因此往往對成熟的應用層攻擊（如“緩衝區溢出”）無能為力。而ISA Server 2004是工作在應用層的，正是由於這個設計原理，它能檢查資料包裏面的資訊，有效防範基於應用層的攻擊。傳統防火牆無法防範成熟的應用層攻擊ISA 防火牆的防護ISA Server 2004 包含一個功能完善的應用程式層感知防火牆，它會對 Internet 協定 （如超文本傳輸協定 (HTTP)）執行深入檢查，這使它能檢測到許多傳統防火牆檢測 不到的威脅。集成代理伺服器和緩存功能，實現快速 訪問ISA Server 2004不僅僅是防火牆，而是集防火牆、代理伺服器、緩存伺服器 三大功能於一體。ISA Server 2004 使用高性能的緩存來加快內部用戶的 WEB訪問速度。如果用戶有對外的WEB伺服器，那麼在利用ISA進行對外 WEB發佈時，ISA的緩存功能也將提高外部 Internet 用戶的 Web 訪問性能。三、ISA Server安裝網路環境的配置:ISA Server作為一個路由級的軟體防火牆，要求管理員要熟悉網路中的路由設置、TCP/IP設置、代理設置等等，它並不像其他單機防火牆一樣，只需安裝一下就可以很好的使用。在安裝ISA Server時，你需要對你內部網路中的路由及TCP/IP設置進行預先的規劃和配置，這樣才能做到安裝ISA Server後即可很容易的使用，而不會出現客戶不能訪問外部網路的問題。ISA Server 2004上的內部網路適配器作為內部客戶的默認閘道，根據慣例，它的IP 位址要麼設置為子網最前的IP（如192.168.0.1），或者設置為最末的IP（192.168.0.254），在此例中設置為192.168.0.1；對於DNS伺服器，在此例中，我們假設外部網卡上已設置了DNS伺服器，所以我們在此不設置DNS伺服器的IP位址；還有默認閘道，內部網卡上切忌不要設置默認閘道，因為Windows主機同時只能使用一個默認閘道，如果在外部和內部網路適配器上都設置了默認閘道，那麼ISA Serve?$SNAT 客戶的TCP/IP配置要求：必須和ISA Server的內部介面在同個子網；在此，我可以使用192.168.0.2/24192.168.0.254/24;配置ISA Server的內部介面為默認閘道；此時默認閘道是192.168.0.1;DNS根據你的網路環境來設置，可以使用ISP的DNS伺服器或者你自己在內部建立一台DNS伺服器；但是DNS伺服器是必需的Web代理客戶必須和ISA Server的內部介面在同個子網；在此，我可以使用192.168.0.2/24192.168.0.254/24;默認閘道和DNS伺服器位址都可以不配置；必須在IE的代理屬性中配置ISA Server的代理，默認是內部介面的8080埠，在此是192.168.0.1:8080；對於其他需要訪問網路的程式，必須設置HTTP代理（ISA SERVER），否則是不能訪問網路；在內網中還有其他子網的內部客戶。此時，首先得將這些子網的位址包含在ISA Server的內部網路中， 然後在ISA Server上配置到這些子網的路由，其他的就和單內部網路的配置一致了。2. 多網路模型中的邊緣防火牆3. 單網路適配器的環境ISA系統安裝的基本需求安裝ISA Server 2004四、ISA的配置ISA 安裝時，會創建下列默認規則：本地主機訪問：此規則定義了在本地主機網路與其他所有網路之間存在的路由關係。VPN用戶端到內部網路：此規則指定在兩個VPN用戶端網路（“VPN用戶端”和“被隔離的VPN用戶端”）與內部網路之間存在著路由關係。Internet訪問：此規則定義了在內部網路與外部網路之間存在的NAT關係。(2) 訪問策略新建一條允許內部客戶訪問外部網路的所有服務的訪問規則：在防火牆策略上點右鍵，指向“新建”， 然後點擊“訪問規則”。在“新建訪問規則嚮導”的訪問規則名稱文本框中，輸入“Allow all outbound traffic”，然 後點擊“下一步”。然後在“規則操作”而，選擇“允許”，點擊“下一步”部屬防火牆策略的十六條守則1. 電腦沒有大腦。所以，當ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨 ISA。2. 只允許你想要允許的客戶、源位址、目的地和協議。仔細的檢查你的每一條規則，看規則的元素是否和你所需要的一致。3. 針對相同用戶或含有相同用戶子集的訪問規則，拒絕的規則一定要放在允許的規則前面。4. 當需要使用拒絕時，顯示拒絕是首要考慮的方式。5. 在不影響防火牆策略執行效果的情況下，請將匹配度更高的規則放在前面。6. 在不影響防火牆策略執行效果的情況下，請將針對所有用戶的規則放在前面。7. 儘量簡化你的規則，執行一條規則的效率永遠比執行兩條規則的效率高。8. 永遠不要在商業網絡中使用Allow 4 All 規則（Allow all users use all protocols from all networks to all networks), 這樣只是讓你的ISA形同虛設。9. 如果可以通過配置系統策略來實現，就沒有必要再建立自定義規則。10.ISA的每條訪問規則都是獨立的，執行每條訪問規則時不會受到其他訪問規則的影響11.永遠也不要允許任何網路訪問ISA本機的所有協議。內部網路也是不可信的。12.SNAT客戶不能提交身份驗證資訊。所以，當你使用了身份驗證時，請配置客戶為Web代理客戶或防火牆客戶。13.無論作為訪問規則中的目的還是源，最好用IP位址。14.如果你一定要在訪問規則中使用功能變數名稱集或URL集，最好將客戶配置為Web代理客戶。15.請不要忘了，防火牆策略的最後還有一條DENY 4 ALL16.最後，請記住，防火牆策略的測試是必需的。THE END