Windows域環境下部署ISA Server 2006防火牆（二）

利用ISA防火牆實現安全快速上網

本次接上回，上次我們在windows域環境中部署了ISA Server 2006,安全性確實提升了，但也有點「過高了」，由於如今用戶只能在局域網裏活動，連最基本的上網服務都沒法使用。
    此次就來解決這個問題，利用ISA防火牆策略及緩存實現用戶安全快速上網。咱們分兩部分來講，第一部分先使用防火牆策略，把內網用戶上網的問題解決了。第二部分再來優化部署加快訪問速度，提升效率。下面是拓撲圖：

 

能夠看到基本上仍是上次的圖，DMZ區我們先不看。後面說服務器發佈時纔會說到的。在外網上多了一臺web服務器，主機名爲：www.IT.com  IP爲61.134.1.10/8，（注意公網DNS我也作到這上面了）如今咱們要作的就是能讓內網用戶經過域名的方式成功的訪問web主機，並經過配置緩存加快其訪問外網的速度。

下面開使實施：

第一部分：配置放火牆策略使內網用戶可以訪問Internet

1.在ISA服務器管理的控制檯中，選中防火牆，如今能夠看到是空的，咱們將要在這裏添加訪問策略。如圖：

 

２．右擊防火牆策略，選擇新建而後選擇訪問規則。如圖：

 

３．在彈出的新建訪問規則嚮導中，鍵入訪問規則的名稱。咱們這裏由於是給內網用戶訪問Internet用的，因此咱們鍵入一個名稱「內網用戶到Internet」來作一個標識。

 

4.這裏選擇容許，就是說咱們容許符合這個規則的對象去作什麼。若是要拒絕某個對象，好比咱們不讓財務部的小財訪問Internet。咱們就可建一條拒絕的策略。

 

5.如今是讓咱們選擇協議。由於咱們只有上網的需求，因此只須選擇DNS、HTTP、HTTPS就能夠了。若是要收發郵件或使用FTP啊其它什麼的，就能夠都添加進來就是了。有不少協議能夠選。

 

6.如今讓咱們選擇訪問規則源，也就是說從什麼地方來的。咱們這裏就選擇內部。由於咱們如今是一個從內網到外網的訪問過程。

 

7.剛纔是打哪兒來，如今是到哪兒去，固然是選擇外部嘍！如圖：

 

8. 如今是讓咱們選擇這個規則將會應用到哪些用戶集，這裏能夠選擇「全部經過身份驗證的用戶」、「系統和網絡服務」、「全部用戶」，咱這裏選擇全部用戶，由於咱們目的是讓全部內網用戶訪問Internet.

 

9.好了如今這條策略就設置好了，應用一下點擊肯定就能夠了。如圖：

 

如今咱們到客戶機上來看看可否訪問。咱們用這臺IP爲192.168.1.11/24的內網用戶測試一下。

 

看到下圖，說明策略生效了，內網用戶可使用域名成功的訪問Web主機。

 

注意：我這裏用了一臺Linux服務器模擬web服務器，而且安裝了DNS。爲了內網用戶可以使用域名訪問Web主機，還得在內網的DNS服務器（我這是和DC集成到一塊兒的）上作轉發器轉到外網的DNS上。

如今上網的問題解決了，可能過不了多久就會有員工像你抱怨。上網速度太慢了，可否加快一點。這時咱們能夠經過啓用ISA Server的緩存功能來實現這個需求。

第二部分：加快內網用戶訪問Internet的速度

1.      在「ISA服務器管理」的控制檯樹中，單擊「緩存」。而後在詳細信息窗格中，選擇「緩存驅動器」選項卡，位置如圖所示：

 

2.      而後在緩存驅動器選項卡里選擇要設置的驅動器，咱這裏C盤是系統，那就用D盤吧，

把緩存大小設置爲2000MB，單擊設置，再肯定就行了。

 

注意：緩存的大小要根據實際狀況來設置

3.      如今可能會彈出一個警告對話框，咱們選擇第二項「保存更改，並從新啓動服務」。點擊肯定以後，應用策略。

 

4．如今到緩存規則選項卡中，點擊任務欄中的「配置緩存設置」。如圖：

 

5.      選擇高級選項卡中的「在內存中緩存的URL的最大大小（字節）」的文本框，設置信息如圖所示，仍是比較好理解的，就不囉嗦了啊！

 

設置完畢後咱們到D盤下，會看到系統自動生成了一個用於存放緩存內容的數據庫文件（注意這個文件是沒法打開的）。

 

好了，通過這樣一設置以後。內網用戶訪問Internet時速度會由於緩存而大大提升。內網用戶會訪問到實時的信息，由於緩存是動態更新的。

本次就說到這裏吧！但願你們能活學活用，ISA Server策略很是的多，並且運用起來變幻無窮，但原理都是同樣。只要始終記得從哪裏來，到哪裏去，使用什麼協議、端口是拒絕仍是容許就以爲很簡單了。

下次將會看到利用ISA Server 2006發佈DMZ區中的Web服務器及郵件服務器。