Microsoft ISA Server是基于Windows 2000 Server平台的,具有防火墙和WEB缓存的服务器软件,ISA2004中文版的问世无疑对传统代理软件有着重大的冲击,因为它有更简单明的中文介面和更加强大的功能,更加适用于企业级或大型网吧的局域网。为了学习这个软件的使用,我找了很多教程,但都太复杂。本文是我通过自己试用以后写出来的体会,与大家分享,希望正在迷茫的朋友少走些弯路。
现在大部分高校都有自己的校园网,为了更好的管理和安全,我们学校采用了10.8.X.X之类的虚拟地址,内部可以直接以IP地址访问,访问外部时转化为真实的公网IP,在这里我们的ISA服务器也是以一个节点的形式存在,不需要双网卡,单个的ISA只能控制一部分网络。我们信息中心的公用机房共有4个ISA代理服务器,分别控制200多台计算机的上网任务。服务器和客户机的网络是相互连通的,这4个ISA代理之外的IP地址都被屏蔽了,所以现在只能通用ISA服务器上网。
为了更好的使ISA2004发挥更大作用,我选用了Windows 2003+Microsoft ISA 2004 Server中文企业版(以下简称ISA2004)。
在Windows 2000上装ISA2004需要必须安装 Windows 2000 Service Pack 4或更高版本,同时必须安装Internet Explorer 6或更高版本。如果你使用的是Windows 2000 SP4整合安装,还要打KB821887补丁。
安装
因为我们重点讲解的是应用于校园网的配置,因为是中文版所以安装步骤简单。安装ISA2004比较简单,点击 Install ISA Server 2004,就可以直接安装了。需要注意的是:
1. 安装的时候会让你添加私有IP地址的范围,或者用ISA2004已经定义好的范围
图1私有IP地址的范围
2.在安装上应用过早期ISA2000的用户要记住(因为我们的客户机上有ISA2000的客户端)
;
3.和ISA2000最大的区别在于,现在ISA2004只有一个防火墙模式。在安装完成后,我们就启动ISA2004的主程序,接下来我们来设置我们的访问规则:
安装完成之后,默认状态下WEB浏览的时候,会出现提示信息。这个是因为ISA2004默认有30个系统策略,所以要想访问外网,只能添加一个额外的策略才行。
配置上网规则
1.ISA2004本地主机访问规则
ISA 2004本机访问外界,需要建立从本地主机到外部网络的相应协议访问策略。所有网络(和本地主机)指的是所有的网络(内网和公网)本地主机指是就是我们的ISA服务器。本地主机允许通过所有出站去访问任何能连接到的网络,相对于安全的角度讲我们设置的外网(其它网络)访问本地主机的规则是只能过FTP和HTTP的21和80来访问我们的本地服务器主机。
2.允许所有内部用户访问Internet的所有服务
ISA2005和ISA2000相比,再也不要求必须为用户所访问的服务定义协议,现在,你只需要一条策略就可以让内部客户完全的访问Internet上的所有服务了。好了,有了这一条策略就可以上网了。本来讲到这里就完了,但还有些特殊情况下的对上网的客户端和上网的某个网站的控制,需在的朋友可以接着向下看。
3.使用访问规则来禁止对某些网站的访问
首先我们来建立这们的要禁止网站的域名集,在防火墙策略选项的右边工具栏中的网络对象中新建一个我们为防火墙策略新添加了名称为禁止上某一网站的规则,内容是这样的:拒绝所有受保护的网络(安装ISA时设定的地址范围和本地主机)访问被我们禁止的网站。这些站点主要考虑不健康网站或可能带木马网页的网页,为了安全我们不让客户端访问。
接下来是公用机房不需要上外部网站,只上校园网,比如说上课的时候不需要上外网,现在我们在网络对象中新建一个URL集,只要求我们我客户端上校园网络,在这里我们的校园网址为:http://www.xtvtc.edu.cn,在这里我们的URL集。
名为校园网的规则:只允许客户端能过出站通讯来访问我们的校园网。现在基本的防火墙策略已完成。
使ISA更加安全
为了使ISA服务器更加安全,我们需要做两个设置:第一个设置是其它网络访问本地主机的规则,然后在弹出的“为规则配置 HTTP 策略对话框中右击,取消选择“阻止高位字符和阻止包含Windows可执行内容的响应。第二:如果有必要的话,我们还可以控制响应文件的扩展名,在如图9所示中选择扩展名,然后进行编辑,大家可以发展自己的想象。
刘流:出于安全考虑,ISA Server 2004 默认是不允许FTP上传的(即不能写FTP服务器),无论你是怎么设置FTP读写权限的。取消的办法是:在允许访问FTP服务器的规则上(在这儿是无限制的Internet访问)上点击右键,然后选择“配置 FTP,把“只读选项去掉。
如果不想让某些客户端能过我们已建的规则访问设定的网站,除了修改和删除防火墙策略中的控制规则以外,最好的方法是可将其规则停止,现在有人要问你上面控制的上网客户端怎么都是受保护的网络(其中主要包括本地主机和内部),这主要是方便上面的讲解。现在规则都明白了,我已在网络对象中那个多个地址范围,把这些特定的IP段替换我们上面的受保护的网络,就可以达到部分客户机上特定的网站的目的(X2xx是我以机房区域划分的IP段)。
禁止使用 P2P 软件:QQ
现在大家关心的就是QQ这个问题,平时我们为怎么能上客户机上QQ而发愁,现在有些单位为怎么禁止员工在工作时间上QQ而发愁,现在我们就要实现个功能:
首先我们建一个规则,只能让客户机访问基本常用的FTP/HTTP/HTTPS等(这样用UDP通讯的QQ已不能上线),然后右击,在弹出的“为规则配置 HTTP 策略对话框中,点击“签名页,然后点击“添加;在弹出的“签名对话框中,输入名称为“QQ,指定签名搜索条件为在“请求 URL中搜索“tencent.com,如果找到则阻止这个连接。然后点击“确定,最后点击“应用保存修改和更新防火墙就 OK 了!成功后就上不了QQ了!
通过以上几个步骤的设置,单网卡的ISA2004就能实现绝大部分校园网的管理了。行文仓促,不足之处万望指出!