很多朋友提出在他的网络环境中是否有必要安装ISA、是否可以安装ISA、安装前ISA保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题,我在这篇文章阐述一下。
ISA Server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业内部网络安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。你可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。
ISA Server 2004对于安装的要求非常低,可以说,目前的服务器对于ISA Server 2004的硬件系统需求都是绰绰有余的,具体的系统要求见“ISA Server 2004标准版安装指南”一文。
ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现客户不能访问外部网络的问题。
再谈谈对在单机上安装ISA Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上,它将会自动配置为Cache only的防火墙,同时,通过ISA Server 2004强大的IDS和应用层识别机制,对本机提供了很好的防护。但是,ISA Server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。所以,我不推荐在单机上安装ISA Server 2004。对于单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装Zonealarm或者Blackice,SPF Pro因为太过于强大,反而不适合作为服务器使用。对于基于IIS的Web服务器,你还可以安装IISLockdown和UrlScan工具,这样就可以做到比较安全了。对于单网络适配器的ISA Server,我会在后面的实例中介绍。
至于安装ISA Server前内部的客户如何进行配置,我以几个实例来进行介绍: