安裝和配置ISA Server 2006服務器及客戶端
ISA Server 2006可以部署在各種規模的網絡中,不同的部署方式可以針對不同規模的企業。爲其提供一個安全的解決方案。
ISA Server 2006主要有三大功能,第一,將其部署成一臺專用防火牆,作爲內部用戶接入Internet的安全網關;第二,利用ISA Server 2006,企業內部用戶能夠向Internet發佈服務器;第三,ISA Server 2006可以像代理防火牆一樣,通過服務器的緩存實現網絡的加速。這三大功能咱們都會說到。今天先來看一下如何在域環境下部署ISA Server 2006.
ISA Server 2006有兩個版本,標準版和企業版。咱們今天用的是企業版,在安裝之前先說一些注意事項 如下:
1> 硬件配置是否支持(這個問題在這個年代,應該不是個問題,呵呵!)
2> 是否已存在ISA Server
3> 是否需要緩存功能
4> 是否進行安全服務器的發佈
5> windows域環境是否已搭建好
6> ISA Server的應用有多大規模
爲什麼要注意上面所說的幾個問題呢?主要還是考慮到性價比的問題。如果要求不是很高,完全用不着企業版,標準版足亦!還能節省成本,畢竟這玩藝兒還不是很便宜。
再說一下ISA Server 2006的組件,想有效地部署ISA Server 2006,必須瞭解 ISA Server 2006的各個組件及其功能。ISA Server 2006主要由下面的組件構成:
1> 陣列——陣列是對一組ISA Server 2006服務器的統一管理方式。並且它們可以共享同樣的配置。
2> 配置存儲服務器——用於存儲企業中全部陣列的配置信息,是ISA中最重要的部分
3> ISA服務器服務——運行防火牆、***和緩存服務的ISA服務器
4> ISA服務器管理——用於管理企業和陣列成員的管理終端
本次以及後面要說的ISA Server 2006部分都會依據下面這幅拓撲圖。之所以用這幅圖主要是它比較常見,是很多中型企業大概的拓撲結構。拓撲如下:
我們可以看到:
1> 這是一種三向外圍的網絡形式
2> windows域環境,域名爲:zpp.com
3> 公司內部有WebServer主機名爲www.zpp.com及MailServer主機名爲mail.zpp.com需要發佈,它們處在DMZ區。
4> ISA SERVER上有三塊網卡,1.LAN IP:192.168.1.1/24;2.DMZ IP:172.16.1.1;3.WAN IP:61.134.1.4/8
此次的部署我們就從安裝說起, 安裝其實很簡單,設置比較少。基本都是NEXT就可以了,但還是需要注意一些問題,下面我截取了幾幅需要注意的圖。供參考,windows不像Linux哪樣抽象,還是比較直觀的。現在咱們開始安裝吧!
1. 首先確認windows域已經搭建好,我這裏已經搭好了的,域名爲zpp.com,DNS也OK,如拓撲上一致。搭域的步驟很簡單我這就不在多說。如圖確認一下:
2. 確認ISA Server 三塊網卡已經連接好,並配置了正確的TCP/IP參數。如圖:
3. 打開ISA Server 2006的安裝光盤,找到“ISAAutorun.exe”文件,雙擊啓動ISA Server 2006的安裝界面,如下圖:
4. 單擊安裝ISA server 2006,再單擊下一步。選擇我同意後輸入用戶名、單位名及產品序列號,單擊下一步,如圖:
5. 下面這幅圖我解釋一下。它是讓我們選擇安裝方案,如果域中已經配置了存儲服務器,我們就選第一項就可以了;如果還沒有就選第三項;要是隻想安裝配置存儲服務器,選擇第二項就可以了;第四項用於僅安裝ISA服務器管理;現在咱們的網絡中還沒有配置存儲服務器,所以就選第三項。如圖:
下面幾步很簡單我就以筆帶過,不截圖了哈,免得大家說我的博客沒有一點技術含量,呵呵!
6. 選擇所有安裝組件,單擊下一步
7. 選擇新ISA服務器企業,單擊下一步
8. 這時會彈出一個警告,咱們不用理會,直接單擊下一步即可。
9. 設置配置存儲服務器所使用的用戶帳號,注意此帳號必須屬於Domain Admin組,咱們就用administrator吧!
10. 接下來設置企業內部網絡,單擊添加,然後單擊添加適配器,將LAN網卡加入即可,下圖是我確定之後的畫面。
11. 此時需要清除“允許不加密的防火牆客戶端連接”,單擊下一步。爲什麼要清除此項呢?這一項的作用還是爲了兼容像98、me這樣的老版操作系統,我想這樣的操作系統也只能在博物館裏找到了,呵呵!所以咱們用不着這一項。
12. 在服務警告頁中單擊下一步,再單擊安裝,我們就開始安裝了哈!
注意:核心組件裝完後,系統還會自動安裝附加組建並進行系統初始化。初始化完畢後就好了。
裝好之後ISA Server 2006的配置管理界面就長這樣的,如圖:
就這樣我們的ISA Server 2006服務端就裝好了。接下來咱們來看一下客戶端的安裝,裝了客戶端後我們才能使用到後面會說到的衆多功能。客戶端的安裝比服務器更簡單,步驟如下:
1. 打開ISA Server 2006安裝光盤中的Client文件夾,雙擊“setup.exe”文件,開始安裝防火牆客戶端。如圖:
2. 單擊下一步,選擇同意,單擊下一步;選擇“我接受許可協議中的條款”,確定之後,單擊下一步,選擇連接到此ISA服務器計算機,輸入ISA服務器內網卡的地址。單擊下一步,如圖:
3. 現在單擊安裝按鈕,我們就開始安裝ISA防火牆。如圖:
安裝完成之後,確認一下計算任務欄的右側出現一個小圖標。表示防火牆客戶端啓動。如圖:
好了!現在我們已經將ISA Server 2006 服務器端和客戶端都配置好了.我們現在要做的事就是先來熟悉一下ISA 2006 管理器的控制檯。
先從管理控制檯中的模板說起吧,ISA Server 2006共給我們提供了四種模板分別是:邊緣防火牆、3向外圍網絡、前端防火牆、後端防火牆和單網卡適配器。下面我們來具體看看這幾種防火牆模板。瞭解了這幾種模板對我們瞭解ISA Server乃至安全解決方案都是有幫助的。
1. 邊緣防火牆
邊緣防火牆配置起來很方便。下圖就是邊緣放火牆的模板,可以看到防火牆將Internet與內網連接起來了,形成了一個屏障。有效的避免了來自Internet的網絡***行爲。另外邊緣也是目前windows安全解決方案中使用最廣泛的之一。大多數企業可以考慮這種方案的部署。
說明:前端防火牆只需要一臺ISA Server就可以了,但需要有兩塊網卡。一塊用來連接內網,一塊用來連接Internet。
2. 前端防火牆
下圖就是前端防火牆的典型應用,利用ISA Server連接外部網絡的網絡拓撲,其作爲前端防火牆,內部還有一個防火牆,配置在後端來保護內部網絡。
說明:前端防火牆至少需要兩臺ISA Server,且每臺都要有兩塊網卡。一臺用來隔離內部網絡,另一臺用來隔離內網及放置服務器的DMZ區。
3. 後端防火牆
看到下圖,感覺和上面差不多,其實不一樣。在前端防火牆的後面,用於連接外圍(DMZ)網絡和內部網絡的防火牆配置,用以保護內部網絡的爲後端防火牆。
說明:和前端防火牆一樣,後端防火牆的設備要求和拓撲結構是一樣的。只是前後角色有些不同而已。
4. 單網卡型適配器
說明:單網卡型適配器就沒什麼好說的了,它幾乎是被當成了代理服務器在使用。對安全要求不太高的小型企業如果只有訪問Internet的需求,可以考慮部署這種結構。
5. 3向外圍網絡
第五種就是咱們特別要去說的一種類型,在接下來的配置中都是採用的這種模板,那就是3向外圍網絡。3向外圍也是一個比較熱門的部署方案,從下圖中我們可以看到,部署這種方案的投資並不是太大。
說明:這種部署方案在ISA Server上需要有三塊網卡,一塊用來連接內部網絡,另一塊用來連接服務器所在的外圍網絡,也就是DMZ區,還有一塊當然就是用來連接Internet.
好了,相信現在大家對windows的安全解決方案產品ISA Server 2006有了一個大概的瞭解,由於篇幅的限制這次就只能說到這裏,在後面將會看到常用防火牆策略的應用,及各種服務器的發佈。