安全连接Internet-让ISA Server 2006做为企业中的代理服务器[多图].pdf

安全连接Internet-让ISA Server 2006 做为企业中的代理服务器[多图] ISA Server 2006 不仅功能强大，而且配置与运用也很方便，入门也很容易。如果读者有配置其他防火墙的 体会，在做过一些实际操作后，可以很容易的掌握ISA Server 2006 的运用。 ISA Server 2006 将网络划分为内网、外网、本地主机三部分( 以边缘防火墙模板为例，如果选择三向外 围网络模板，则分为内网、外网、本地主机、DMZ 区) ，这一点是和其他防火墙软件包括ISA Server 2000 不同的地点，其他防火墙软件都是划分为内网、外网、DMZ 区(如果有的话) 。ISA Server 2006 比其他防火 墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006 本身的安全性。 对于普通防火墙来说，根据网络通讯的“方向”不同，有两项配置，即从“内部网络”到“外部网络”的共 享Internet 访问请求行为和从“外部网络”到“内网网络”揭晓服务器行为。而对于ISA Server 来说，除了有两 这项配置之外，还包括对ISA Server 服务器本身“称做‘本地主机’”的访问：“内部网络”对“本地主机”的访问、 “本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。 在默认情况下，ISA Server 2006 安装完成后，ISA Server 会“隔离” 内、外网的通讯，任何通过ISA Server 执行 通讯的上述行为都要经过配置。在ISA Server 中，任何未经明确“允许”的行为，默认都是“禁止” 。 11.5.1 允许内网访问Internet 前面已经说过，ISA Server 中的任意一种网络行为都要经过“定制”，未经明确配置为“允许”的行为默认 都是“禁止”。当ISA Server 2006 安装完毕后，如果网络中的用户想通过ISA Server 连接到Internet，必须要 执行 配置。对于一般的上网来说，通常要包括访问远程（指Internet 上的）服务器的这些服务： ●WWW 服务，即访问远程Web 服务器，实际为运用 TCP 协议访问远程的TCP 80 端口，如果远程的 Web 服务器没有运用 TCP 的80 端口，必须要另加定义。 ●邮件服务，收发电子邮件，实际为运用 TCP 协议访问远程的SMTP 服务（TCP 的25 端口）和POP3 服务（TCP 的110 端口）。 ●FTP 服务，即文件上传下载服务，实际为运用 TCP 协议访问远程的21 端口（实际上还要运用 TCP 的20 端口，如果运用 PASV 方式，还须要运用一个动态端口）。 上面这三种：阅读网页、收发邮件、FTP 是Internet 的三大基本运用 之后，设计任何防火墙策略，这 都是必不要少的。实际中，为了运用这三种功能，还须要运用 DNS 服务和SSL Web 访问服务： ●DNS 服务，提供域名分析功能，实际为运用 TCP 和UDP 协议访问远程的53 端口。 ●SSL Web 服务，实际为运用 TCP 协议访问远程的TCP 的443 端口。 把上面这些准则执行 统一，本条防火墙策略为： 配置原则：允许“内网”运用 Web、DNS 、FTP、SSL Web、SMTP、POP3 访问“外网” 。在ISA Server 2006 中，建立这条准则的步骤如下： 第 1 步，在ISA Server 2006 计算机上，从“程序→Microsoft ISA Server”程序组中运行“ISA 服务器管理”， 进入ISA Server 2006 管理控制台。 第2 步，用鼠标右键单击“防火墙策略”，从弹出的快捷方式中选择“访问准则”，如图11- 11 所示。 图片看不清楚？请点击这里查看原图（大图）。 图11- 11 新建访问准则 第 3 步，在“欢迎运用新建访问准则向导”页中，在“访问准则名称”文本框中键入“允许内网访问 Internet”，然后单击“下一步”按钮，如图 11- 12 所示。 图片看不清楚？请点击这里查看原图（大图）。 图11- 12 准则名称 说明：在图 11- 12 的“访问准则名称”文本框中，根据准则的行为或者目的键入准则的名称，在以后的 配置中，要建立许多访问准则。一个容易标识的名称可以减轻管理员的工作负担。 第4 步，在“准则操作”页选择新建准则的动