ISA Server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。你可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。
ISA Server 2004对于安装的要求非常低,可以说,目前的服务器对于ISA Server 2004是绰绰有余,具体的系统要求见“ISA Server 2004完全上手指南”一文。
ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用了。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和设置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现内部客户不能访问外部网络的问题。
再谈谈对在单机上安装ISA Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上,它将会自动配置为Cache only的防火墙,同时,通过ISA Server 2004强大的IDS和应用层识别机制,对本机提供了很好的防护。但是,ISA Server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。所以,我不推荐在单机上安装ISA Server 2004。对于单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice、NetPatrol等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装Zonealarm或者Blackice,SPF Pro和NetPatrol因为太过于强大,反而不适合作为服务器使用。对于基于IIS的Web服务器,你还可以安装IISLockdown和UrlScan工具,这样就可以做到比较安全了。对于单网络适配器的ISA Server,我会在后面的实例中介绍。
至于安装ISA Server前内部的客户如何进行配置,我以几个实例来进行介绍:
1、边缘防火墙模型 如下图,ISA Server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到Internet,内部的Lan我以192.168.0.0/24为例,不考虑接入Internet的方式(拨号或固定IP均可)。
ISA Server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址要么设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此我设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器,不过推荐你建立,具体介绍可以见“建立内部的DNS服务器”一文。在此例中,我们假设外部网卡(或拨号连接)上已经设置了DNS服务器,所以我们在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
3、单网络适配器的环境 如下图,ISA Server 2004安装在一台只有一个网络适配器的Internet主机上,此时,ISA Server将自动配置为Cache only的防火墙,可以用做Web代理、缓存、Web发布、OWA发布等等,由于ISA Server 2004强大的IDS系统,它也可以为主机提供非常强大的保护。Thomas Shinder在他的文章“The ISA 2004 Firewall ISP Co-location Configuration”中,,专门介绍在此情况下,如何发布Web服务器,主要方法是通过安装Microsoft Loopback网络适配器,然后将IIS的Web服务器绑定在此网络适配器的地址上,ISA占用外部接口的IP地址来发布侦听在Loopback网络适配器上的Web服务器。
在安装ISA Server的时候,会自动在内部网络中包含所有的IP地址,所以在你建立访问规则时,一定要注意允许内部访问本地主机和允许本地主机访问内部(此时,外部网络已经没有实际作用了)。同样的,通过ISA Server自带的单一网络适配器模板,你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置。
设为主页
收藏本站
相关文章: