这篇文章中的信息适用于:
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
--------------------------------------------------------------------------------
概要
本分步指南介绍了在现有的基于 Windows 的网络中拥有少于 255 台工作站的小型公司如何通过使用 Microsoft Internet Security Acceleration (ISA) 防火墙安全服务,将计算机连接到 Internet。
1. 安装 ISA Server
ISA 防火墙需要一台装有两个网络适配器的计算机。需要将其中的一个适配器连接到内部网络。将另外一个适配器连接到您的 Internet 服务供应商 (ISP)。ISP 能帮助您建立该连接。防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息,来充当企业 Intranet 与 Internet 之间的安全屏障。
规划安装
可以在独立的计算机上、在作为 Windows NT 域成员的计算机上或在作为 Windows 2000 Active Directory 域成员的计算机上运行 ISA Server Standard Edition。
为实现最高的安全性,应在一台独立计算机上运行 ISA Server。
网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口。
您的 ISP 应该提供静态 IP 地址、子网掩码、默认网关以及一台或多台 DNS 服务器。在连接到 ISP 的网卡的 TCP/IP 设置中,输入该信息。一些 ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息,这样很好。
配置服务器的网络适配器
右键单击桌面上的网上邻居,然后单击属性。
右键单击您的 Internet 连接,单击重命名,然后键入 Internet 连接。这将帮助您记住哪块网卡连接到了 Internet。
右键单击 Internet 连接,然后单击属性。
在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。在该接口传输数据时,任务栏上的小图标将闪烁。
清除 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框。ISA Server 通过清除这些复选框自动阻挡这些协议;从而使您可以节省内存。
双击 Internet 协议 (TCP/IP),然后执行以下步骤之一:
如果您的 ISP 使用 DHCP 分配 IP 地址,则在 Internet 协议 (TCP/IP) 属性对话框中,单击以选中自动获得 IP 地址和自动获得 DNS 服务器地址复选框。转到第 7 步。
如果需要手动输入 ISP 的 IP 地址信息,则在 Internet 协议 (TCP/IP) 属性对话框中,单击以选中使用下面的 IP 地址,然后键入您的 ISP 提供的地址、子网掩码和默认网关信息。单击以选中使用下面的 DNS 服务器地址,然后键入您的 ISP 提供的一个或多个 DNS 服务器的名称。
单击高级,然后单击 DNS 选项卡。单击以清除在 DNS 中注册此连接的地址复选框。
备注:您需要为内部适配器上的内部网络键入永久的地址和相应的子网掩码(不要在该接口上使用 DHCP)。将默认网关留为空白。ISA Server 计算机只需要一个默认网关:在外部接口上配置它。在内部适配器上配置默认网关会引起 ISA 故障。
配置连接到网络的内部接口
右键单击网上邻居,然后单击属性。右键单击本地连接 (LAN),单击重命名,然后键入局域网。
右键单击局域网,然后单击属性。
在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。
如果未选中,单击以选中 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框。
双击 Internet 协议 (TCP/IP),然后单击以选中使用下面的 IP 地址复选框。
在 IP 地址中,输入符合内部网络地址编排方案的内部 IP 地址和子网掩码。将默认网关留为空白。在首选 DNS 服务器中,键入网络的一台或多台 DNS 服务器的 IP 地址。
备注:对于少于 255 台计算机的小型网络,如果使用 Windows 2000 默认 TCP/IP 配置,并且网络中没有 DNS 服务器,则计算机依赖于自动专用 IP 地址分配 (APIPA)。应该从 APIPA 迁移出来,并开始在客户机工作站上使用静态地址。网络中的每台计算机需要一个唯一的 IP 地址。如果配置了 ISA Server 的内部接口,需要键入静态地址,所以使用地址 192.168.0.254,及子网掩码 255.255.255.0。将默认网关框留为空白。在 DNS 服务器字段中键入 ISP 的 DNS 服务器。
现在,在每台客户机上配置静态地址:
在第一台计算机上,使用地址 192.168.0.1,子网掩码为 255.255.255.0,默认网关为 192.168.0.254。对于 DNS,输入 ISP 的一台(或多台) DNS 服务器。
在第二台计算机上,使用地址 192.168.0.2,然后使用与上一步骤中使用的相同的值。除地址外,其他值都相同,只是为每台额外的计算机递增地址值。维护一个指示哪些计算机使用哪些地址的列表。
得到提示时,重新启动计算机。
2. 安装 Microsoft Internet Security and Acceleration Server 2000 Standard Edition
如果您没有安装 Windows 2000 Service Pack 1 (SP1) 和从 Microsoft ISA Server 2000 Standard Edition 光盘获得的修补程序,应立即安装。
安装 Service Pack
将 Windows 2000 SP1 光盘插到光驱中。
关闭打开的 Microsoft ISA Server 安装对话框(如果已经关闭了自动插入提示功能,则该对话框不会出现)。
在桌面上,双击我的电脑图标。
右键单击光驱,然后单击浏览。导航至 \Support\Windows2000_SP1 文件夹。
双击 Sp1network.exe 程序文件以安装 Service Pack。
安装完 Service Pack 后重新启动计算机。
安装修补程序
将 Microsoft Internet Security and Acceleration Server 2000 Standard Edition 光盘插到光驱中。
导航至 \Support\Hotfixes\Win2000 文件夹。
双击 Q275286_W2K_SP2_x86_en.exe 文件。
在您应用修补程序后,重新启动计算机。
现在可以安装 Microsoft ISA Server 2000 Standard Edition 了。该安装程序提出一系列问题。
使用 ISA Server Setup Wizard(ISA Server 安装向导)
在桌面上,双击我的电脑。双击以打开光驱。
备注:"ISA Server Setup Wizard(ISA Server 安装向导)"自动启动,除非自动插入通知功能关闭。如果向导无法自动启动,导航至 CD 根目录,然后双击 ISAAutorun.exe 文件以运行它。单击 Install ISA Server(安装 ISA Server)开始运行该过程。
在"Welcome(欢迎)"屏幕上,单击 Continue(继续)。在相应的框中键入产品的标识号。您可以在光盘盒的背面找到该号码。
请阅读许可协议,单击 I Agree(同意)。
单击 Typical installation(典型安装)作为安装类型。这将安装 ISA 服务和管理工具。
单击 Firewall mode(防火墙模式)。ISA 停止计算机上的相关服务。
为 ISA 配置本地地址表 (LAT)。配置 LAT 时需要仔细考虑。为您提供两种选择:构建 LAT 或者使用安装程序向导。根据以下条件作出选择:
如果知道内部网络使用的子网,请在这里输入。小心:不要单击 Construct Table(建立表)按钮!如果单击,所输入的 LAT 信息将会被覆盖。
如果不知道本地子网,请单击Construct Table(建立表)按钮。"ISA Setup Wizard(ISA 安装向导)"将根据计算机的路由表确定本地子网。
如果未选中,请单击以选中 Add the following private ranges(添加以下专用范围)复选框。
如果未选中,请单击
