16.1实训目的
ISA服务器提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击及未经授权的访问。ISA服务器提供了有助于简化安全和访问管理的统一管理控制台。
实训目标:通过学习ISA,掌握其丰富的功能和配置管理方法。
16.2实训要求
每4~6人一组,组成若干组,每个小组组成一个ISA安全网络。
16.3实训任务
(1)ISA SerVer的安装;
(2)创建访问规则——允许内网计算机访问Internet;
(3)创建访问规则——限制内网指定计算机访问Internet;
(4)创建访问规则——限制内网计算机对QQ聊天和游戏的访问。
16.4实训内容
16.4.1实训准备
1.规划ISA Server安装
安装ISA SerVer时,要求提供预先收集好的信息,需要设计网络拓扑结构,准备安装之前首先确定网络需要。
2.ISA目标
(1)确定将ISA SerVer安装成独立的服务器还是阵列,哪一个更适合网络需要;
(2)确定ISA SerVer配置需要什么硬件支持;
(3)设计一个适合ISA SerVer配置的网络拓扑结构。
3.系统配置要求
(1)硬件环境:服务器要求1GHZ以上主频的CPU,1GB 以上内存,20GB可用磁盘空间,一个格式化成NTFS格式的本地硬盘分区;
(2)软件平台:Microsoft WindoWs2000SerVer或更高版本的网络操作系统。
(3)网络环境:内部网络和外部网络两个网络。需要用于内部网络通信和用于外部网络通信的两个网络适配器。
(4)系统服务:为了实现阵列和企业策略,网络上还需要WindoWs2000SerVer ActiVeDirectory目录服务。
4.远程管理要求
(1)ISA Management
对于远程ISA SerVer管理,最佳选择是ISA Management。它可以在WindoWs2000Profes-sional或者WindoWs2000SerVer的任何版本下运行,但是为了连接ISA SerVer计算机,运行ISA Management进行远程管理的客户机必须是WindoWs2000SerVer域的成员。
(2)终端服务
在ISA SerVer计算机上运行Microsoft Terminal SerVer,并且用Terminal Client来实现对ISA SerVer的远程连接和管理。
5.防火墙要求
ISA SerVer可以安装成一个专用防火墙,作为内部客户端连接到Internet的安全网关。要求充分考虑内部客户访问Internet需要的网络吞吐量。
6.阵列考虑事项
如果确定需要多台计算机来处理网络负载,那就要考虑安装ISA SerVer计算机阵列。阵列允许将一组ISA SerVer当作单一的逻辑实体来处理和管理。
阵列中所有的服务器共享相同的配置。阵列只需配置一次,并把配置应用于阵列中所有的服务器,这样就节省了管理开销。
企业的各个阵列可以应用唯一的阵列策略。这样可以将组织划分为部门。例如,可能希望允许某一阵列保护的客户端可以无限制地访问Internet,而对另一个阵列中的客户端实施更多的限制。
阵列安装还意味着用较少的硬件而获得改善的性能。阵列允许将客户的请求分布到几台ISA SerVer计算机,从而加快了客户响应时间。因为负载分配到阵列内所有的服务器上,所以甚至用中等的硬件也能实现良好的性能。
为了将ISA SerVer安装成阵列成员,安装ISA SerVer的计算机必须是某个 WindoWs2000SerVer域中的成员。
如果选择不将ISA SerVer安装成阵列成员,可以将ISA SerVer安装成独立的服务器。如果执行独立服务器安装,该计算机就不必属于某一 WindoWs2000SerVer域。
16.4.2安装ISA Server
为了在服务器上完成ISA SerVer的安装,首先必须安装网络适配器并且根据网络拓扑结构配置连接。如果采用阵列或企业策略,还必须初始化企业,将阵列架构信息安装到ActiVeDirectory存储器中。在ISA SerVer的实际安装过程中,需要构造本地地址表(LAT),列出内部网络地址的范围。
1.实训目标
(1)为安装ISA SerVer准备服务器;
(2)初始化企业并描述其用途;
(3)构造LAT并描述其功能;
(4)完成ISA SerVer的安装;
(5)排除ISA SerVer安装中的故障。
2.安装ISA Server之前的配置
安装ISA SerVer之前,必须安装硬件并配置将要运行ISA SerVer计算机的软件。
(1)安装网络适配器
内部网络安装10M/100M/1000M自适应网络适配器。
Internet接入目前流行的方式有四种:ADSL拨号、专线、无线和局域网。这里选择专线接入方式。外部网络也安装10M/100M/1000M自适应网络适配器。
为外部网络适配器配置TCP/IP属性时,按照 ISP(Internet SerVice ProVider,Internet服务提供商)给定 IP地址范围进行正确设置。子网掩码、默认网关和DNS服务器等都需要与ISP核对。
ISA SerVer只有一个默认网关。应在外部网络适配器上配置默认网关,内部网络适配器不配置。内部网卡的默认网卡设置为空。
(2)TCP/IP设置
既然ISA SerVer计算机指定作为内部网络客户的默认网关,就需要给定一个固定的IP地址。WindoWs2000SerVer根据适配器MAC地址的唯一性来识别加载到系统上的各个适配器。其方法是进入命令行运行方式,运行ipconfig/all命令,以得到ISA SerVer计算机的两个网络适配器的MAC地址,并确定各个网卡属性是否正确配置。
配置完适配器的各项属性后,应该使用Ping程序来测试与其他计算机的连通性。如果可以成功地从ISA SerVer计算机ping到内部网络客户,内部网络适配器配置就是正确的。如果可以从ISA SerVer计算机ping到Internet网关、ISP的DNS服务器或任何Internet地址,外部网络适配器的配置就是正确的。检验网络连通性后,可以通过nslookup实用程序查找与网络地址相关的IP地址来检验域名解析。
(3)WindoWs2000SerVer路由表设置
安装ISA SerVer之前,先配置ISA SerVer计算机的路由表,其中包括内部网络中的所有IP地址范围。可以用WindoWs2000SerVer路由程序来浏览并配置路由表,还可以使用Win-doWs2000SerVer Routing and Remote Access控制台。然而,必须首先配置并启动Routing andRemote Access SerVice。接下来,在安装过程中 ISA 可以根据WindoWs2000SerVer 路由表构建本地地址表。如果上述操作有误,可以随时手工改正本地地址表。
正确配置本地地址表保证了ISA SerVer知道使用哪个网络适配器来访问内部网络的不同部分。如果未能正确配置路由表,就可能无法正确构建ISA SerVer本地地址表。这可能导致客户对内部 IP地址的请求被错误地路由到Internet上,或者通过防火墙服务被重定向。
如果需要,应该手工编辑本地地址表使其涵盖所有其他的网络,包括那些通过内部路由器的网络。这样,ISA SerVer和防火墙客户端就能正确地判断什么时候使用ISA SerVer、什么时候直接访问其他资源。
3.安装ISA Server
(1)将ISA SerVer光盘插入驱动器时,就会自动运行ISA SerVer Setup程序,打开其安装程序窗口,选择安装ISA SerVer链接项。
(2)安装ISA SerVer时,要求提供以下信息。
安装序列号:这是位于ISA SerVer安装光盘盒背面的25个字符。
安装选项:可以选择典型(Typical)安装、完全(Full)安装,或自定义(Custom)安装。
要点:安装ISA SerVer之前必须安装 WindoWs2000SerVer SerVice Pack3或更高版本。
(3)构建本地地址表
ISA SerVer安装过程中,要求指定本地地址表(LAT)。本地地址表列出了ISA SerVer计算机内部网络使用的所有内部IP地址范围。ISA SerVer利用本地地址表来控制内部网络的机器如何与外部网络通信。
默认的本地地址表包含通常所说的专用IP地址。这些地址列在本地路由表中,由于ISA SerVer通过读取WindoWs2000SerVer路由表的方式,获得本地地址表,所以默认的本地地址表可能不包括组织的所有地址,可以手工添加这些地址,还可以将不属于网络的地址添加为本地地址。
