ISA Server2006案例及实验手册.doc

ISA Server 2006 实验手册 Module A: 安装ISA 2006 Module B: ISA 界面的入门操作 Module C: 配置出站Internet访问 Module D: 服务的发布 Module E: 启用VPN连接 Lab version 1.0a (23-Jul-2008) A4 目录 Module A: 安装ISA 2006 1 练习一： ISA 2006 的安装 1 Module B: ISA 界面的入门操作 5 练习二：熟悉ISA的界面 5 Module C: 配置出站Internet访问 7 线习三：允许出站的WEB访问 7 练习四：允许对外网的PING 13 练习五：ISA主机对外网的访问 16 Module D: 服务的发布 20 练习六：内网WEB服务器发布 20 练习七：给发布的WEB服务指定URL 25 练习八：发布另一个站点 27 Module E: 启用VPN连接 30 练习九：在ISA上启用VPN传入连接 30 练习十：允许VPN客户端的访问 32 注：实验之前先做好连通性测试 Module A: 安装ISA 2006 练习一： ISA 2006 的安装 ISA的安装需要在Windows 2003 的服务器版上执行，按照我们的实验环境，首先我们要在Florence这台服务器上安装ISA 2006，放入光盘后可以看到如下画面： 许可协议和输入相关的安装信息界面，这个不用说了吧，填上去就行了 由于我们是安装全网络的第一台ISA Server，而且也没有相对应的配置存储服务器，所以现在把它们一并安装上去： 这个时候我们也要创建第一个ISA服务器企业；当然，它会给出一个警告，确定就行了： 这个时候，安装向导会要求你指定内部网络地址范围，从你的适配器中选择一个把，可以想想哪一个适配器是和你的内部网络连接的？ 防火墙客户端设置，暂时就先用默认设置安装吧，也就是说不用选择下面那个“允许不加密的防火墙客户端连接”复选框： 然后，就简单了： 这样就安装就结束了！ Module B: ISA 界面的入门操作 练习二：熟悉ISA的界面 在Florence计算机上，点击“开始”菜单、“所有程序”、“Microsoft ISA Server”，然后打开“ISA 服务器管理”： 现在你看到的就是MMC3.0的新界面了，左边是树窗格，中间是详细窗格，右边是任务窗格；试下它的基本操作吧！ 由于我们所使用的Florence是包含3个网络连接的三向外围网络，所以，我们在这个地方用“网络模板”中的“3向外围网络”来更改当前的网络模板。有一个向导会出来，试下你会完成它吗？ 注意，选择一个防火墙策略的时候，为了安全，可以选择“阻止所有访问”，这样，任意访问都会被ISA拒绝掉的，就算是内网到外网的任何访问。 Module C: 配置出站Internet访问 线习三：允许出站的WEB访问 默认情况下所有的访问都是被ISA阻止掉的，我们可以打开“ISA服务器管理”，点击“阵列”，“防火墙策略”可以看到目前的所有防火墙策略实施情况，目前只有一个，那就是“默认规则”，拒绝所有访问。 我们从Denver上测试下，Denver上的网络设置应该是这样的： 在Denver上，我们即不能够访问到外网，同进也不能够和ISA服务器进行通讯，可以通过Ping命令来测试。 好了，我们现在开始设置第一个防火墙策略，就是让内网的用户可以通过ISA服务器访问外网的WEB服务器。点击任务窗格下的“创建访问规则”，弹出“新建访问规则向导”。 “规则操作”把它改成“允许”，默认情况下 是“拒绝” 然后就是我们确定允许哪些协议的问题了，这样操作： 添加两个允许的协议吧，一个是HTTP，一个是HTTPS，它们所对应是TCP协议的80和443端口哦！ 接下就是设置源网络和目的网络的事情了，记得ACL中的源和目标吗？一样的道理： “用户集”就选择“所有用户”吧！ 好，防火墙策略就创建好了，但步骤并没有完成，还要进行下面的操作，我们要把设置好的配置文件同步到ISA服务器中去，首先选择“应用”。 应用之后就去监视面板“配置”选项卡中去查看状态，一个是三个过程，一般情况下30秒中就可以完成了，“已同步”之后，配置才会生效。 同步完成后就可以进行测试了。 在Denver上打开IE输入外网Istanbul计算机的IP地址，别忘了Istanbul上的IIS已经安装和设置好了 可以访问外网上的机器Istanbul的吧，这样其它的外网机器也没有问题了！我们在Denver这台内网机器上用PING命令检查一下连通性，PING下网关和Istanbul，结果是什么？ 为什么会出现这样的结果呢？ WEB都能访问了，可就是PING不通。 练习四：允许对外网的PING 现在我们来看