Windows域环境下部署ISA Server 2006防火墙（一）

安装和配置ISA Server 2006服务器及客户端

ISA Server 2006能够部署在各类规模的网络中，不一样的部署方式能够针对不一样规模的企业。为其提供一个安全的解决方案。

ISA Server 2006主要有三大功能，第一，将其部署成一台专用防火墙，做为内部用户接入Internet的安全网关；第二，利用ISA Server 2006，企业内部用户可以向Internet发布服务器；第三，ISA Server 2006能够像代理防火墙同样，经过服务器的缓存实现网络的加速。这三大功能我们都会说到。今天先来看一下如何在域环境下部署ISA Server 2006.

ISA Server 2006有两个版本，标准版和企业版。我们今天用的是企业版，在安装以前先说一些注意事项 以下：

1>    硬件配置是否支持（这个问题在这个年代，应该不是个问题，呵呵！）

2>    是否已存在ISA Server

3>    是否须要缓存功能

4>    是否进行安全服务器的发布

5>    windows域环境是否已搭建好

6>    ISA Server的应用有多大规模

为何要注意上面所说的几个问题呢？主要仍是考虑到性价比的问题。若是要求不是很高，彻底用不着企业版，标准版足亦！还能节省成本，毕竟这玩艺儿还不是很便宜。

再说一下ISA Server 2006的组件，想有效地部署ISA Server 2006，必须了解 ISA Server 2006的各个组件及其功能。ISA Server 2006主要由下面的组件构成：

1>    阵列——阵列是对一组ISA Server 2006服务器的统一管理方式。而且它们能够共享一样的配置。

2>    配置存储服务器——用于存储企业中所有阵列的配置信息，是ISA中最重要的部分

3>    ISA服务器服务——运行防火墙、×××和缓存服务的ISA服务器

4>    ISA服务器管理——用于管理企业和阵列成员的管理终端

本次以及后面要说的ISA Server 2006部分都会依据下面这幅拓扑图。之因此用这幅图主要是它比较常见，是不少中型企业大概的拓扑结构。拓扑以下：

 

咱们能够看到：

1>    这是一种三向外围的网络形式

2>    windows域环境，域名为：zpp.com

3>    公司内部有WebServer主机名为www.zpp.com及MailServer主机名为mail.zpp.com须要发布,它们处在DMZ区。

4>    ISA SERVER上有三块网卡，1.LAN IP：192.168.1.1/24；2.DMZ IP:172.16.1.1；3.WAN IP：61.134.1.4/8

这次的部署咱们就从安装提及， 安装其实很简单，设置比较少。基本都是NEXT就能够了，但仍是须要注意一些问题，下面我截取了几幅须要注意的图。供参考，windows不像Linux哪样抽象，仍是比较直观的。如今我们开始安装吧！

1.      首先确认windows域已经搭建好，我这里已经搭好了的，域名为zpp.com,DNS也OK，如拓扑上一致。搭域的步骤很简单我这就不在多说。如图确认一下：

 

2.      确认ISA Server 三块网卡已经链接好，并配置了正确的TCP/IP参数。如图：

 

3.      打开ISA Server 2006的安装光盘，找到“ISAAutorun.exe”文件，双击启动ISA Server 2006的安装界面，以下图：

 

4.      单击安装ISA server 2006，再单击下一步。选择我赞成后输入用户名、单位名及产品序列号，单击下一步，如图：

 

5.      下面这幅图我解释一下。它是让咱们选择安装方案，若是域中已经配置了存储服务器，咱们就选第一项就能够了；若是尚未就选第三项；要是只想安装配置存储服务器，选择第二项就能够了；第四项用于仅安装ISA服务器管理；如今我们的网络中尚未配置存储服务器，因此就选第三项。如图：

 

下面几步很简单我就以笔带过，不截图了哈，省得你们说个人博客没有一点技术含量，呵呵！

6.      选择全部安装组件，单击下一步

7.      选择新ISA服务器企业，单击下一步

8.      这时会弹出一个警告，我们不用理会，直接单击下一步便可。

9.      设置配置存储服务器所使用的用户账号，注意此账号必须属于Domain Admin组，我们就用administrator吧！

10.  接下来设置企业内部网络，单击添加，而后单击添加适配器，将LAN网卡加入便可，下图是我肯定以后的画面。

 

11.  此时须要清除“容许不加密的防火墙客户端链接”，单击下一步。为何要清除此项呢？这一项的做用仍是为了兼容像98、me这样的老版操做系统，我想这样的操做系统也只能在博物馆里找到了，呵呵！因此我们用不着这一项。

12.  在服务警告页中单击下一步，再单击安装，咱们就开始安装了哈！

 

注意：核心组件装完后，系统还会自动安装附加组建并进行系统初始化。初始化完毕后就行了。

装好以后ISA Server 2006的配置管理界面就长这样的，如图：

 

就这样咱们的ISA Server 2006服务端就装好了。接下来我们来看一下客户端的安装，装了客户端后咱们才能使用到后面会说到的众多功能。客户端的安装比服务器更简单，步骤以下：

1.      打开ISA Server 2006安装光盘中的Client文件夹，双击“setup.exe”文件，开始安装防火墙客户端。如图：

 

2.      单击下一步，选择赞成，单击下一步；选择“我接受许可协议中的条款”，肯定以后，单击下一步，选择链接到此ISA服务器计算机，输入ISA服务器内网卡的地址。单击下一步，如图：

 

3.      如今单击安装按钮，咱们就开始安装ISA防火墙。如图：

 

安装完成以后，确认一下计算任务栏的右侧出现一个小图标。表示防火墙客户端启动。如图：

好了！如今咱们已经将ISA Server 2006 服务器端和客户端都配置好了.咱们如今要作的事就是先来熟悉一下ISA 2006 管理器的控制台。

先从管理控制台中的模板提及吧，ISA Server 2006共给咱们提供了四种模板分别是：边缘防火墙、3向外围网络、前端防火墙、后端防火墙和单网卡适配器。下面咱们来具体看看这几种防火墙模板。了解了这几种模板对咱们了解ISA Server乃至安全解决方案都是有帮助的。

1.      边缘防火墙

边缘防火墙配置起来很方便。下图就是边缘放火墙的模板，能够看到防火墙将Internet与内网链接起来了，造成了一个屏障。有效的避免了来自Internet的网络***行为。另外边缘也是目前windows安全解决方案中使用最普遍的之一。大多数企业能够考虑这种方案的部署。

 

说明：前端防火墙只须要一台ISA Server就能够了，但须要有两块网卡。一块用来链接内网，一块用来链接Internet。

2.      前端防火墙

下图就是前端防火墙的典型应用，利用ISA Server链接外部网络的网络拓扑，其做为前端防火墙，内部还有一个防火墙，配置在后端来保护内部网络。

 

说明：前端防火墙至少须要两台ISA Server，且每台都要有两块网卡。一台用来隔离内部网络，另外一台用来隔离内网及放置服务器的DMZ区。

3.      后端防火墙

看到下图，感受和上面差很少，其实不同。在前端防火墙的后面，用于链接外围（DMZ）网络和内部网络的防火墙配置，用以保护内部网络的为后端防火墙。

 

说明：和前端防火墙同样，后端防火墙的设备要求和拓扑结构是同样的。只是先后角色有些不一样而已。

4.      单网卡型适配器

 

说明：单网卡型适配器就没什么好说的了，它几乎是被当成了代理服务器在使用。对安全要求不过高的小型企业若是只有访问Internet的需求，能够考虑部署这种结构。

5.      3向外围网络

第五种就是我们特别要去说的一种类型，在接下来的配置中都是采用的这种模板，那就是3向外围网络。3向外围也是一个比较热门的部署方案，从下图中咱们能够看到，部署这种方案的投资并非太大。

 

说明：这种部署方案在ISA Server上须要有三块网卡，一块用来链接内部网络，另外一块用来链接服务器所在的外围网络，也就是DMZ区，还有一块固然就是用来链接Internet.

好了，相信如今你们对windows的安全解决方案产品ISA Server 2006有了一个大概的了解，因为篇幅的限制此次就只能说到这里，在后面将会看到经常使用防火墙策略的应用，及各类服务器的发布。