54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

ISA安装设置全集之ISA安装入门篇(上)

时间:2010-10-28 21:30来源:网络 编辑:Jenny

  随着因特网的使用继续扩展,安全和性能也同样面临挑战。在以前仅仅给我们提供了代理服务的软件渐渐的在我们的要求面前越来越显得苍白无力了。怎么办?我们选择了寻找新的软件以及企业上网的解决方案。从长远来考虑,我们需要的不仅仅是一个代理软件,让企业职工能够通过这个代理访问到外面的世界,让他们感知外面的世界并且尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界,而且还需要世界来了解我们。当然,这个时候那么安全和性能就越来越得到企业和用户的重视了。当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理服务器不算少,每个代理服务器均使用了一个月以上了,但是都不是非常满意。
  
  大致归纳起来
  
  l     SYSGATE:功能太简单,效率不是很高,稳定性还可以;
  
  l     WINGATE:功能适中,速度效率都还不错,稳定性不好;
  
  l     WINROUTE:功能适中,速度效率基本上来说还可以,稳定性也还是不错;
  
  l     CCPROXY:速度不错,但是总的来说总有一些或多或少的毛病;
  
  l     INTERNET连接共享:功能太简单,效率非常一般,稳定性还可以;
  
  还是说说我们单位的大致情况吧。8M专线ADSL接入INTERNET,两台HP服务器,网络中心为100M到桌面,整个企业网络为全交换式网络。企业内部所以科室机器全部需要连接到INTERNET,科室机器大约为200台。机房有4个,机器大约总共为200台左右。我们需要能够随时控制哪些科室在什么时间段能够上网,并且能够对这些科室的上网带宽进行控制。能够随时灵活的控制机房是否能够上网。能够在企业内部建立若干个WEB和FTP站点,并且通过这个代理服务器发布到INTERNET上,让INTERNET上的朋友对这些个资源进行访问……在使用了这些代理之后,我渐渐的开始失望,难道真的没有让我满意的代理服务器吗?最后,在朋友的介绍下我们使用了这款微软发布的代理服务器—— Internet Security and Acceleration Server。
  
  首先澄清一点,我绝对不是微软的枪手,而且微软也绝对不会找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。
  
  Internet Security and Acceleration(ISA) Server可以说是原来基于Windows NT 4.0的MS PROXY的一个升级版本吧。它在前一版的基础上修补了许多安全性及缓存上的缺陷,提供了更快速、更安全、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说,这款软件不仅仅再是一个代理软件了,它还充当了一个“防火墙”的功效。
  
  ISA Server允许被安装成Cache mode(缓存模式)、Firewall mode(防火墙模式)、Integrate mode(集成模式)三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时,也要对公司内部的主机进行相应的保护的话,那么Firewall或Integrate模式正是您所需要的。但在很多企业没有任何相关的Internet主机或外部已经有防火墙,而他们知识希望能加快网络间流量传递速度,则采用Cache模式是最理想的一种方案了。
  
  那么ISA能够提供给大家一些什么服务呢?
  
  多层防火墙安全
  
  防火墙可以通过各种方法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙,如 ISA Server 所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。
  
  状态检测
  
  状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层,ISA Server 检查在 IP 消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。
  
  动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。ISA Server 可以动态地确定,哪些数据包可以传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。
  
  集成的入侵检测
  
  ISA Server利用一家名为 Internet Security Systems 的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。并且ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时,警报还能同时指出 ISA Server 应采取什么行动,这些行动可包括向系统管理员发送电子邮件或寻呼,停止 Firewall 服务,写入到系统事件日志,或运行任何程序或脚本。
  
  高性能 Web 缓存
  
  ISA Server 对 Web 缓存进行了彻底的重新设计,使它可以将缓存放入 RAM 中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性,并提供了更快的 Web 客户机总体响应时间。这对于企业内部来说尤其重要,因为员工需要快速访问 Web 内容,而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。
  
  缓存阵列路由协议
  
  ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol,CARP)。因此您可以通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。
  
  活动缓存
  
  通过一个叫做活动缓存的功能,可配置 ISA Server 使其自动更新缓存中的对象。使用这种功能,ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存,经常被访问的对象在它们到期之前,在低网络流量时段自动更新。
  
  统一管理
  
  ISA Server 利用基于 Windows 2000 的安全性,Active Directory 服务、VPN 和 Microsoft 管理控制台(MMC,Microsoft Management Console)。所有这些功能,特别是 MMC,会使得管理更容易,因为操作人员熟悉它,并可从一个控制台同时管理防火墙和 Web 缓存。
  
  企业策略和访问控制
  
  ISA Server 还支持创建企业级和本地阵列策略,用于集中实施或本地实施。ISA Server 可作为独立服务器安装或作为阵列成员安装。为便于管理,各个阵列成员都使用相同的配置。对阵列配置进行修改时,阵列中的所有 ISA Server 计算机也都将得到修改,包括所有访问和缓存策略。
  
  好了,说了这么多了,也许大家都还不是很明白或者正在怀疑是否这个ISA Server能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安装以及调试还有配置过程吧。
  
  ISA安装入门篇
   
  在实验中,我们使用的是企业版的ISA2000 Server,而开始当然是要进行安装ISA了哦!在这里我们选择“Install ISA Server”。
   
  在这里,会要求你输入10位的数字“CD Key”,请大家输入了之后点击“OK”确认。然后进入下一步。
   
   面对M$的授权信息你除了点击“I Agree”之外还能做些其他什么吗?至于内容嘛还是那些老一套,看不看我觉得都无所谓了。
   
  在这里,程序会提示请你选择安装的路径以及安装的方式,在这里,我选择的是“Full Installation”,因为即使是完全安装也只需要花费24.5M的空间,而且安装速度也是非常的快。所以我还是推荐大家使用完全安装吧。
   
  如果您的计算机没有成为域控制器而是一个独立的服务器的话,那么ISA到这里会向您发出一个警告。如果您不想配置ISA Server阵列的话,那么您可以不用理会这个警告,直接“Yes”过去就可以了。
   
  我们前边说过的ISA的三种工作模式在这里就要做一个选择了!我选择的是集成模式“Integrated mode”。
   
  在这里,如果您已经安装IIS的话,那么ISA到这里会提醒你,它会马上关闭掉IIS所使用的80端口。因为ISA会对80端口进行独占使用,而这也是基于安全考虑。大家都知道,一个成功的黑客只需要一个80端口就可以对您的硬盘完成格式化的操作——这绝对不是骇人听闻了,是真的哦。当然,如果您非要在这台机器做WEB服务的话,那么就只要委屈你使用其他的端口了,但是必须注意的是不能占用80和8080端口。因为80和8080端口都让ISA强行占用了。
  
   在这里还是OK吧,不要老是念叨你的WEB服务了,后边我们有几乎完美的解决方案的。
   
  在这里选择CACHE存放的磁盘以及CACHE的容量。现在已经都是宽带网络时代了,所以我建议不要把CACHE设得太了,根据实际使用的情况,在合理分配带宽的前提下,尽量的使用网络资源不是很好吗?我们这里设置的为100M。
   
  到了这里,ISA会请您设置一个本地的IP范围。我们这里是划分的一个B类的子网,所以,在这里我们的IP范围为192.168.0.1~192.168.5.255。如果是一般的中小型网络,采用255.255.255.0做掩码,用192.168.0.X作为IP地址的话,那么这里请你按照您本地网络的情况加上这个IP段就可

[责任编辑:Lavy]

------分隔线----------------------------