Windows域環境下部署ISA Server 2006防火牆（一）

安裝和配置ISA Server 2006服務器及客戶端

ISA Server 2006能夠部署在各類規模的網絡中，不一樣的部署方式能夠針對不一樣規模的企業。爲其提供一個安全的解決方案。

ISA Server 2006主要有三大功能，第一，將其部署成一臺專用防火牆，做爲內部用戶接入Internet的安全網關；第二，利用ISA Server 2006，企業內部用戶可以向Internet發佈服務器；第三，ISA Server 2006能夠像代理防火牆同樣，經過服務器的緩存實現網絡的加速。這三大功能我們都會說到。今天先來看一下如何在域環境下部署ISA Server 2006.

ISA Server 2006有兩個版本，標準版和企業版。我們今天用的是企業版，在安裝以前先說一些注意事項 以下：

1>    硬件配置是否支持（這個問題在這個年代，應該不是個問題，呵呵！）

2>    是否已存在ISA Server

3>    是否須要緩存功能

4>    是否進行安全服務器的發佈

5>    windows域環境是否已搭建好

6>    ISA Server的應用有多大規模

爲何要注意上面所說的幾個問題呢？主要仍是考慮到性價比的問題。若是要求不是很高，徹底用不着企業版，標準版足亦！還能節省成本，畢竟這玩藝兒還不是很便宜。

再說一下ISA Server 2006的組件，想有效地部署ISA Server 2006，必須瞭解 ISA Server 2006的各個組件及其功能。ISA Server 2006主要由下面的組件構成：

1>    陣列——陣列是對一組ISA Server 2006服務器的統一管理方式。而且它們能夠共享一樣的配置。

2>    配置存儲服務器——用於存儲企業中所有陣列的配置信息，是ISA中最重要的部分

3>    ISA服務器服務——運行防火牆、×××和緩存服務的ISA服務器

4>    ISA服務器管理——用於管理企業和陣列成員的管理終端

本次以及後面要說的ISA Server 2006部分都會依據下面這幅拓撲圖。之因此用這幅圖主要是它比較常見，是不少中型企業大概的拓撲結構。拓撲以下：

 

咱們能夠看到：

1>    這是一種三向外圍的網絡形式

2>    windows域環境，域名爲：zpp.com

3>    公司內部有WebServer主機名爲www.zpp.com及MailServer主機名爲mail.zpp.com須要發佈,它們處在DMZ區。

4>    ISA SERVER上有三塊網卡，1.LAN IP：192.168.1.1/24；2.DMZ IP:172.16.1.1；3.WAN IP：61.134.1.4/8

這次的部署咱們就從安裝提及， 安裝其實很簡單，設置比較少。基本都是NEXT就能夠了，但仍是須要注意一些問題，下面我截取了幾幅須要注意的圖。供參考，windows不像Linux哪樣抽象，仍是比較直觀的。如今我們開始安裝吧！

1.      首先確認windows域已經搭建好，我這裏已經搭好了的，域名爲zpp.com,DNS也OK，如拓撲上一致。搭域的步驟很簡單我這就不在多說。如圖確認一下：

 

2.      確認ISA Server 三塊網卡已經鏈接好，並配置了正確的TCP/IP參數。如圖：

 

3.      打開ISA Server 2006的安裝光盤，找到「ISAAutorun.exe」文件，雙擊啓動ISA Server 2006的安裝界面，以下圖：

 

4.      單擊安裝ISA server 2006，再單擊下一步。選擇我贊成後輸入用戶名、單位名及產品序列號，單擊下一步，如圖：

 

5.      下面這幅圖我解釋一下。它是讓咱們選擇安裝方案，若是域中已經配置了存儲服務器，咱們就選第一項就能夠了；若是尚未就選第三項；要是隻想安裝配置存儲服務器，選擇第二項就能夠了；第四項用於僅安裝ISA服務器管理；如今我們的網絡中尚未配置存儲服務器，因此就選第三項。如圖：

 

下面幾步很簡單我就以筆帶過，不截圖了哈，省得你們說個人博客沒有一點技術含量，呵呵！

6.      選擇全部安裝組件，單擊下一步

7.      選擇新ISA服務器企業，單擊下一步

8.      這時會彈出一個警告，我們不用理會，直接單擊下一步便可。

9.      設置配置存儲服務器所使用的用戶賬號，注意此賬號必須屬於Domain Admin組，我們就用administrator吧！

10.  接下來設置企業內部網絡，單擊添加，而後單擊添加適配器，將LAN網卡加入便可，下圖是我肯定以後的畫面。

 

11.  此時須要清除「容許不加密的防火牆客戶端鏈接」，單擊下一步。爲何要清除此項呢？這一項的做用仍是爲了兼容像98、me這樣的老版操做系統，我想這樣的操做系統也只能在博物館裏找到了，呵呵！因此我們用不着這一項。

12.  在服務警告頁中單擊下一步，再單擊安裝，咱們就開始安裝了哈！

 

注意：核心組件裝完後，系統還會自動安裝附加組建並進行系統初始化。初始化完畢後就行了。

裝好以後ISA Server 2006的配置管理界面就長這樣的，如圖：

 

就這樣咱們的ISA Server 2006服務端就裝好了。接下來我們來看一下客戶端的安裝，裝了客戶端後咱們才能使用到後面會說到的衆多功能。客戶端的安裝比服務器更簡單，步驟以下：

1.      打開ISA Server 2006安裝光盤中的Client文件夾，雙擊「setup.exe」文件，開始安裝防火牆客戶端。如圖：

 

2.      單擊下一步，選擇贊成，單擊下一步；選擇「我接受許可協議中的條款」，肯定以後，單擊下一步，選擇鏈接到此ISA服務器計算機，輸入ISA服務器內網卡的地址。單擊下一步，如圖：

 

3.      如今單擊安裝按鈕，咱們就開始安裝ISA防火牆。如圖：

 

安裝完成以後，確認一下計算任務欄的右側出現一個小圖標。表示防火牆客戶端啓動。如圖：

好了！如今咱們已經將ISA Server 2006 服務器端和客戶端都配置好了.咱們如今要作的事就是先來熟悉一下ISA 2006 管理器的控制檯。

先從管理控制檯中的模板提及吧，ISA Server 2006共給咱們提供了四種模板分別是：邊緣防火牆、3向外圍網絡、前端防火牆、後端防火牆和單網卡適配器。下面咱們來具體看看這幾種防火牆模板。瞭解了這幾種模板對咱們瞭解ISA Server乃至安全解決方案都是有幫助的。

1.      邊緣防火牆

邊緣防火牆配置起來很方便。下圖就是邊緣放火牆的模板，能夠看到防火牆將Internet與內網鏈接起來了，造成了一個屏障。有效的避免了來自Internet的網絡***行爲。另外邊緣也是目前windows安全解決方案中使用最普遍的之一。大多數企業能夠考慮這種方案的部署。

 

說明：前端防火牆只須要一臺ISA Server就能夠了，但須要有兩塊網卡。一塊用來鏈接內網，一塊用來鏈接Internet。

2.      前端防火牆

下圖就是前端防火牆的典型應用，利用ISA Server鏈接外部網絡的網絡拓撲，其做爲前端防火牆，內部還有一個防火牆，配置在後端來保護內部網絡。

 

說明：前端防火牆至少須要兩臺ISA Server，且每臺都要有兩塊網卡。一臺用來隔離內部網絡，另外一臺用來隔離內網及放置服務器的DMZ區。

3.      後端防火牆

看到下圖，感受和上面差很少，其實不同。在前端防火牆的後面，用於鏈接外圍（DMZ）網絡和內部網絡的防火牆配置，用以保護內部網絡的爲後端防火牆。

 

說明：和前端防火牆同樣，後端防火牆的設備要求和拓撲結構是同樣的。只是先後角色有些不一樣而已。

4.      單網卡型適配器

 

說明：單網卡型適配器就沒什麼好說的了，它幾乎是被當成了代理服務器在使用。對安全要求不過高的小型企業若是隻有訪問Internet的需求，能夠考慮部署這種結構。

5.      3向外圍網絡

第五種就是我們特別要去說的一種類型，在接下來的配置中都是採用的這種模板，那就是3向外圍網絡。3向外圍也是一個比較熱門的部署方案，從下圖中咱們能夠看到，部署這種方案的投資並非太大。

 

說明：這種部署方案在ISA Server上須要有三塊網卡，一塊用來鏈接內部網絡，另外一塊用來鏈接服務器所在的外圍網絡，也就是DMZ區，還有一塊固然就是用來鏈接Internet.

好了，相信如今你們對windows的安全解決方案產品ISA Server 2006有了一個大概的瞭解，因爲篇幅的限制此次就只能說到這裏，在後面將會看到經常使用防火牆策略的應用，及各類服務器的發佈。