本指南介绍了在现有的基于 Windows 的网络中拥有少于 255 台工作站的小型公司如何通过使用 Microsoft Internet Security Acceleration (ISA) 防火墙安全服务,将计算机连接到 Internet。
1. 配置网络连接
ISA 防火墙需要一台装有两个网络适配器的计算机。需要将其中的一个适配器连接到内部网络。将另外一个适配器连接到您的 Internet 服务供应商 (ISP)。ISP 能帮助您建立该连接。防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息,来充当企业 Intranet 与 Internet 之间的安全屏障。
ISA可以安装在独立的计算机上、Windows NT 域成员计算机上或Windows 2000 Active Directory 域成员的计算机上。为实现最高的安全性,应在一台独立计算机上运行 ISA Server。
网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口。您的 ISP 应该提供静态 IP 地址、子网掩码、默认网关以及一台或多台 DNS 服务器。在连接到 ISP 的网卡的 TCP/IP 设置中,输入该信息。一些 ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息,这样也可以。
配置服务器的网络适配器
右键单击桌面上的网上邻居,然后单击属性。
右键单击您的 Internet 连接,单击重命名,然后键入 Internet 连接。这将帮助您记住哪块网卡连接到了 Internet。
右键单击 Internet 连接,然后单击属性。
在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。在该接口传输数据时,任务栏上的小图标将闪烁。
清除 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框。ISA Server 通过清除这些复选框自动阻挡这些协议;从而使您可以节省内存。
双击 Internet 协议 (TCP/IP),然后执行以下步骤之一:
如果您的 ISP 使用 DHCP 分配 IP 地址,则在 Internet 协议 (TCP/IP) 属性对话框中,单击以选中自动获得 IP 地址和自动获得 DNS 服务器地址复选框。
如果需要手动输入 ISP 的 IP 地址信息,则在 Internet 协议 (TCP/IP) 属性对话框中,单击以选中褂孟旅娴?IP 地址,然后键入您的 ISP 提供的地址、子网掩码和默认网关信息。单击以选中使用下面的 DNS 服务器地址,然后键入您的 ISP 提供的一个或多个 DNS 服务器的名称。
单击高级,然后单击 DNS 选项卡。单击以清除在 DNS 中注册此连接的地址复选框。
注意:您需要为内部适配器上的内部网络键入永久的地址和相应的子网掩码(不要在该接口上使用 DHCP)。将默认网关留为空白。ISA Server 计算机只需要一个默认网关:在外部接口上配置它。在内部适配器上配置默认网关会引起 ISA 故障。
配置连接到网络的内部接口
右键单击网上邻居,然后单击属性。右键单击本地连接 (LAN),单击重命名,然后键入局域网。
右键单击局域网,然后单击属性。
在常规选项卡上,单击以选中连接后在任务栏中显示图标复选框。
如果未选中,单击以选中 Microsoft 网络客户机和 Microsoft 网络的文件和打印机共享复选框。
双击 Internet 协议 (TCP/IP),然后单击以选中使用下面的 IP 地址复选框。
在 IP 地址中,输入符合内部网络地址编排方案的内部 IP 地址和子网掩码。将默认网关留为空白。在首选 DNS 服务器中,键入网络的一台或多台 DNS 服务器的 IP 地址。
备注:对于少于 255 台计算机的小型网络,如果使用 Windows 2000 默认 TCP/IP 配置,并且网络中没有 DNS 服务器,则计算机依赖于自动专用 IP 地址分配 (APIPA)。应该从 APIPA 迁移出来,并开始在客户机工作站上使用静态地址。网络中的每台计算机需要一个唯一的 IP 地址。如果配置了 ISA Server 的内部接口,需要键入静态地址,所以使用地址 192.168.0.254,及子网掩码 255.255.255.0。将默认网关框留为空白。在 DNS 服务器字段中键入 ISP 的 DNS 服务器。
现在,在每台客户机上配置静态地址:
在第一台计算机上,使用地址 192.168.0.1,子网掩码为 255.255.255.0,默认网关为 192.168.0.254。对于 DNS,输入 ISP 的一台(或多台) DNS 服务器。
在第二台计算机上,使用地址 192.168.0.2,然后使用与上一步骤中使用的相同的值。除地址外,其他值都相同,只是为每台额外的计算机递增地址值。维护一个指示哪些计算机使用哪些地址的列表。
得到提示时,重新启动计算机。
2. 安装 ISA Server 2000 Standard Edition
如果您没有安装 Windows 2000 Service Pack 1 (SP1) 和从 Microsoft ISA Server 2000 Standard Edition 光盘获得的修补程序,应立即安装。
ISA安装程序提出一系列问题。
使用 ISA Server Setup Wizard(ISA Server 安装向导),在"Welcome(欢迎)"屏幕上,单击 Continue(继续)。在相应的框中键入产品的标识号。您可以在光盘盒的背面找到该号码。
请阅读许可协议,单击 I Agree(同意)。
单击 Typical installation(典型安装)作为安装类型。这将安装 ISA 服务和管理工具。然后选择安装模式:防火墙、代理服务器、集成模式。ISA 停止计算机上的相关服务。
为 ISA 配置本地地址表 (LAT)。配置 LAT 时需要仔细考虑。为您提供两种选择:构建 LAT 或者使用安装程序向导。根据以下条件作出选择:
如果知道内部网络使用的子网,请在这里输入。小心:不要单击 Construct Table(建立表)按钮!如果单击,所输入的 LAT 信息将会被覆盖。
如果不知道本地子网,请单击Construct Table(建立表)按钮。"ISA Setup Wizard(ISA 安装向导)"将根据计算机的路由表确定本地子网。
如果未选中,请单击以选中 Add the following private ranges(添加以下专用范围)复选框。
如果未选中,请单击以选中 Add address ranges based on the Windows 2000 routing table(基于 Windows 2000 路由表增加地址范围)。
单击以清除包含与服务器的外部 (Internet) 接口相对应的子网的复选框。
单击以选中包含与服务器的内部 (LAN) 接口相对应的子网的复选框。
当安装程序完成时,启动"Administrator Getting Started(管理员入门向导)",然后在完成该向导之前阅读下一节。
3.配置ISA Server以允许客户访问Internet
ISA Server 安装后的状态将阻挡对 Internet 的来往访问。这是一件好事!请记住,您是在设置防火墙。防火墙的主要功能是在两个网络之间充当检查点。ISA Server 的行为是通过策略阻挡任何没有被明确允许的内容。
配置 ISA 安装后的状态
必须对访问策略的以下两个组件进行配置,以便客户机能够访问 Internet:
必须至少配置一个站点和内容规则,在其中指定用户可访问哪些站点以及可检索哪些类型的内容。
必须至少配置一个协议规则,以便指定哪些类型的通信允许通过 ISA Server。
安装完成后,ISA 创建一个默认站点和内容规则,允许所有客户机在所有时间访问所有站点上的所有内容。但是这对于要开始在 Internet 上冲浪的用户来说是不够的:现在还没有已定义的协议规则。没有它,将不允许通过 ISA 的通信。
入门向导
在"Getting Started Wizard(入门向导)"中,单击 Configure Protocol Rules(配置协议规则)。协议规则列表显示在 Microsoft 管理控制台(MMC) 中。
单击 Create a Protocol Rule(创建协议规则)。键入名称,如"所有协议"。
为规则的操作单击 Allow(允许)(这是默认值)。
单击 All IP traffic(所有 IP 通信)作为协议列表(这是默认值)。
单击 Always(始终)(这是默认值)作为计划。
单击 Any request(任何请求)(这是默认值)作为客户机类型。
单击Finish(完成)。
创建用户如何连接到 Internet 的策略
ISA Server 的作用远不止允许所有的客户机使用所有(已定义的)协议,在所有时间访问所有站点上的所有内容。在 ISA 中,可以创建用于准确定义用户如何访问 Internet 的访问策略。
ISA 访问策略由以下三个元素组成:
站点和内容规则
协议规则
IP 数据包筛选器
而这些规则又由以下策略元素组成:
计划
目标集合
客户机地址集合
协议的定义
内容组
在试图使用 ISA 策略定义复杂内容之前,应了解一些依存关系。下表描述哪些策略元素属于哪些策略规则:
站点和内容规则 协议规则
目标集合 协议的定义
内容组 计划
计划 客户机地址集合
客户机地址集合
从 ISA 计算机访问 Internet
从 ISA 计算机本身访问 Internet 会怎样?已创建的协议规则、站点和内容规则仅应用于 ISA 服务器后面的客户机,当客户机希望访问 Internet 时,只要规则允许该请求,ISA 就为该连接请求创建一个动态数据包筛选器。但是,如果想在 ISA 计算机上访问 Internet,则必须按照将产生的通信的种类创建静态数据包筛选器。例如,若要访问一个 Web 站点,