让ISA Server 2006做为企业中的代理服务器.docVIP

安全连接Internet-让ISA Server 2006做为企业中的代理服务器 ISA Server 2006不仅功能强大，而且配置与运用也很方便，入门也很容易。如果读者有配置其他防火墙的体会，在做过一些实际操作后，可以很容易的掌握ISA Server 2006的运用。　　ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例，如果选择三向外围网络模板，则分为内网、外网、本地主机、DMZ区)，这一点是和其他防火墙软件包括ISA Server 2000不同的地点，其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006本身的安全性。　　对于普通防火墙来说，根据网络通讯的“方向”不同，有两项配置，即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”揭晓服务器行为。而对于ISA Server来说，除了有两这项配置之外，还包括对ISA Server服务器本身“称做‘本地主机’”的访问：“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。　　在默认情况下，ISA Server 2006安装完成后，ISA Server会“隔离”内、外网的通讯，任何通过ISA Server执行 通讯的上述行为都要经过配置。在ISA Server中，任何未经明确“允许”的行为，默认都是“禁止”。　　11.5.1 允许内网访问Internet 　　前面已经说过，ISA Server中的任意一种网络行为都要经过“定制”，未经明确配置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后，如果网络中的用户想通过ISA Server连接到Internet，必须要执行 配置。对于一般的上网来说，通常要包括访问远程（指Internet上的）服务器的这些服务：　　●WWW服务，即访问远程Web服务器，实际为运用 TCP协议访问远程的TCP 80端口，如果远程的Web服务器没有运用 TCP的80端口，必须要另加定义。●邮件服务，收发电子邮件，实际为运用 TCP协议访问远程的SMTP服务（TCP的25端口）和POP3服务（TCP的110端口）。　　●FTP服务，即文件上传下载服务，实际为运用 TCP协议访问远程的21端口（实际上还要运用 TCP的20端口，如果运用 PASV方式，还须要运用一个动态端口）。　　上面这三种：阅读网页、收发邮件、FTP是Internet的三大基本运用 之后，设计任何防火墙策略，这都是必不要少的。实际中，为了运用这三种功能，还须要运用 DNS服务和SSL Web访问服务：　　●DNS服务，提供域名分析功能，实际为运用 TCP和UDP协议访问远程的53端口。　　●SSL Web服务，实际为运用 TCP协议访问远程的TCP的443端口。　　把上面这些准则执行 统一，本条防火墙策略为：　　配置原则：允许“内网”运用 Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中，建立这条准则的步骤如下：　　第1步，在ISA Server 2006计算机上，从“程序→Microsoft ISA Server”程序组中运行“ISA服务器管理”，进入ISA Server 2006管理控制台。　　第2步，用鼠标右键单击“防火墙策略”，从弹出的快捷方式中选择“访问准则”，如图11-11所示。　　图片看不清楚？请点击这里查看原图（大图）。　　图11-11 新建访问准则第3步，在“欢迎运用新建访问准则向导”页中，在“访问准则名称”文本框中键入“允许内网访问Internet”，然后单击“下一步”按钮，如图11-12所示。　　图片看不清楚？请点击这里查看原图（大图）。　　图11-12 准则名称　　说明：在图11-12的“访问准则名称”文本框中，根据准则的行为或者目的键入准则的名称，在以后的配置中，要建立许多访问准则。一个容易标识的名称可以减轻管理员的工作负担。第4步，在“准则操作”页选择新建准则的动作：允许或拒绝。通常情况下，ISA Server建立允许准则（默认拒绝），这可以减少ISA Server准则的数目。单击“允许”单选按钮，然后单击”下一步”按钮，如图11-13所示。　　图11-13 准则操作　　第5步，在“协议”页中选择建立准则运用的协议，可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。　　如果选择“所有出站通讯”，则允许所有的协议，这样配置等于防火