ISA SERVER使用指南
随着因特网的使用继续扩展,安全和性能也同样面临挑战。在以前仅仅给我们提供了代理服务的软件渐渐的在我们的要求面前越来越显得苍白无力了。怎么办?我们选择了寻找新的软件以及企业上网的解决方案。从长远来考虑,我们需要的不仅仅是一个代理软件,让企业职工能够通过这个代理访问到外面的世界,让他们感知外面的世界并且尽快的了解瞬息万变的市场。我们不但需要主动的去了解世界,而且还需要世界来了解我们。当然,这个时候那么安全和性能就越来越得到企业和用户的重视了。当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。我所试过的代理服务器不算少,每个代理服务器均使用了一个月以上了,但是都不是非常满意。
大致归纳起来
l SYSGATE:功能太简单,效率不是很高,稳定性还可以;
l WINGATE:功能适中,速度效率都还不错,稳定性不好;
l WINROUTE:功能适中,速度效率基本上来说还可以,稳定性也还是不错;
l CCPROXY:速度不错,但是总的来说总有一些或多或少的毛病;
l INTERNET连接共享:功能太简单,效率非常一般,稳定性还可以;
还是说说我们单位的大致情况吧。8M专线ADSL接入INTERNET,两台HP服务器,网络中心为100M到桌面,整个企业网络为全交换式网络。企业内部所以科室机器全部需要连接到INTERNET,科室机器大约为200台。机房有4个,机器大约总共为200台左右。我们需要能够随时控制哪些科室在什么时间段能够上网,并且能够对这些科室的上网带宽进行控制。能够随时灵活的控制机房是否能够上网。能够在企业内部建立若干个WEB和FTP站点,并且通过这个代理服务器发布到INTERNET上,让INTERNET上的朋友对这些个资源进行访问……在使用了这些代理之后,我渐渐的开始失望,难道真的没有让我满意的代理服务器吗?最后,在朋友的介绍下我们使用了这款微软发布的代理服务器—— Internet Security and Acceleration Server。
首先澄清一点,我绝对不是微软的枪手,而且微软也绝对不会找我这种蹩脚的枪手的。或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。
Internet Security and Acceleration(ISA) Server可以说是原来基于Windows NT 4.0的MS PROXY的一个升级版本吧。它在前一版的基础上修补了许多安全性及缓存上的缺陷,提供了更快速、更安全、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说,这款软件不仅仅再是一个代理软件了,它还充当了一个“防火墙”的功效。
ISA Server允许被安装成Cache mode(缓存模式)、Firewall mode(防火墙模式)、Integrate mode(集成模式)三种模式当中的一种。当网络系统需要通过ISA直接连入Internet的同时,也要对公司内部的主机进行相应的保护的话,那么Firewall或Integrate模式正是您所需要的。但在很多企业没有任何相关的Internet主机或外部已经有防火墙,而他们知识希望能加快网络间流量传递速度,则采用Cache模式是最理想的一种方案了。
那么ISA能够提供给大家一些什么服务呢?
多层防火墙安全
防火墙可以通过各种方法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。高级的企业防火墙,如 ISA Server 所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。
状态检测
状态检查检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层,ISA Server 检查在 IP 消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的 TCP 或 UDP 消息头中的端口。
动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。ISA Server 可以动态地确定,哪些数据包可以传送到内部网络的电路层和应用程序层服务。管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。
集成的入侵检测
ISA Server利用一家名为 Internet Security Systems 的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke 和 Ping of Death 之类的常见网络攻击的这种服务。并且ISA能够自动对其作出响应。这项技术给 ISA Server 提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时,警报还能同时指出 ISA Server 应采取什么行动,这些行动可包括向系统管理员发送电子邮件或寻呼,停止 Firewall 服务,写入到系统事件日志,或运行任何程序或脚本。
高性能 Web 缓存
ISA Server 对 Web 缓存进行了彻底的重新设计,使它可以将缓存放入 RAM 中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。这种高性能的 Web 缓存可提供更强的后端可伸缩性,并提供了更快的 Web 客户机总体响应时间。这对于企业内部来说尤其重要,因为员工需要快速访问 Web 内容,而企业也需要适当的节省网络带宽。这种高速的Web缓存正能够满足您的这种需要。
缓存阵列路由协议
ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol,CARP)。因此您可以通过多台 ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。
活动缓存
通过一个叫做活动缓存的功能,可配置 ISA Server 使其自动更新缓存中的对象。使用这种功能,ISA Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存,经常被访问的对象在它们到期之前,在低网络流量时段自动更新。
统一管理
ISA Server 利用基于 Windows 2000 的安全性,Active Directory 服务、VPN 和 Microsoft 管理控制台(MMC,Microsoft Management Console)。所有这些功能,特别是 MMC,会使得管理更容易,因为操作人员熟悉它,并可从一个控制台同时管理防火墙和 Web 缓存。
企业策略和访问控制
ISA Server 还支持创建企业级和本地阵列策略,用于集中实施或本地实施。ISA Server 可作为独立服务器安装或作为阵列成员安装。为便于管理,各个阵列成员都使用相同的配置。对阵列配置进行修改时,阵列中的所有 ISA Server 计算机也都将得到修改,包括所有访问和缓存策略。
好了,说了这么多了,也许大家都还不是很明白或者正在怀疑是否这个ISA Server能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安装以及调试还有配置过程吧。
ISA安装入门篇
在实验中,我们使用的是企业版的ISA2000 Server,而开始当然是要进行安装ISA了哦!在这里我们选择“Install ISA Server”。
在这里,会要求你输入10位的数字“CD Key”,请大家输入了之后点击“OK”确认。然后进入下一步。
面对M$的授权信息你除了点击“I Agree”之外还能做些其他什么吗?至于内容嘛还是那些老一套,看不看我觉得都无所谓了。
在这里,程序会提示请你选择安装的路径以及安装的方式,在这里,我选择的是“Full Installation”,因为即使是完全安装也只需要花费24.5M的空间,而且安装速度也是非常的快。所以我还是推荐大家使用完全安装吧。
如果您的计算机没有成为域控制器而是一个独立的服务器的话,那么ISA到这里会向您发出一个警告。如果您不想配置ISA Server阵列的话,那么您可以不用理会这个警告,直接“Yes”过去就可以了。
我们前边说过的ISA的三种工作模式在这里就要做一个选择了!我选择的是集成模式“Integrated mode”。
在这里,如果您已经安装IIS的话,那么ISA到这里会提醒你,它会马上关闭掉IIS所使用的80端口。因为ISA会对80端口进行独占使用,而这也是基于安全考虑。大家都知道,一个成功的黑客只需要一个80端口就可以对您的硬盘完成格式化的操作——这绝对不是骇人听闻了,是真的哦。当然,如果您非要在这台机器做WEB服务的话,那么就只要委屈你使用其他的端口了,但是必须注意的是不能占用80和8080端口。因为80和8080端口都让ISA强行占用了。
在这里还是OK吧,不要老是念叨你的WEB服务了,后边我们有几乎完美的解决方案的。
在这里选择CACHE存放的磁盘以及CACHE的容量。现在已经都是宽带网络时代了,所以我建议不要把CACHE设得太了,根据实际使用的情况,在合理分配带宽的前提下,尽量的使用网络资源不是很好吗?我们这里设置的为100M。
到了这里,ISA会请您设置一个本地的IP范围。我们这里是划分的一个B类的子网,所以,在这里我们的IP范围为192.168.0.1~192.168.5.255。如果是一般的中小型网络,采用255.255.255.0做掩码,用192.168.0.X作为IP地址的话,那么这里请你按照您本地网络的情况加上这个IP段就可以了。然后“OK”进行下一步。
等待系统复制必要的程序文件。
到了这里,您的ISA就基本已经安装完了,剩下的就是配置方面的事情了。在这里,系统会提示您是否需要进行“向导化配置”。建议大家不要使用这个向导,因为实际上我们根本就用不到其中的一些功能。这里取消掉“Start ISA Sserver Getting Started Wizard”前边的小勾,然后电击“OK”。
恭喜您,您的ISA Server已经安装成功了。
我们现在打开“开始”>“程序”>“Microsoft ISA Server”>“ISA Management”。
大家在管理窗口中选中“服务器名称(BLUEWOLF)”标签下的“Monitoring”标签,然后选中“Services”这个标签,在右边会出现三个服务内容,由于我安装的是“集成模式”所以在这里有三个服务,他们三个服务最好都能够正常的启动起来,这样你才能使用ISA的所有功能。如果其中有功能不能正常启动的话,那么就说明这次的ISA需要重新安装了。如果出现了上述问题,请卸载掉ISA,然后检查是否有一些服务占用了系统某些ISA必须要使用的资源,还有停掉一些不会用到的服务,然后再安装ISA吧。这种不能启动服务的原因你可以查看日志或者是通过经验来进行判断。一般都是因为软件冲突才会发生这些情况的。共2页。
好了,如果服务都启动了的话,现在我们就来对这个ISA进行最基础的设置吧。首先保证客户端能够正常的上网,然后我们再进行其他的限制之类的工作吧。
默认的,ISA是一个软件防火墙,不允许任何的数据通过它。那么我们现在先要使ISA允许内部的所有申请都能够通过它,这样内部才能访问到INTERNET上的资源嘛。
请大家展开“Access Policy”标签,然后选中里边的“Protocol Rules”点击鼠标右键,然后选择“新建”>“Rule…”。接着就跟我一步一步进行设置吧。
这里填写的是这个协议规则的名称,用户可以根据自己的需要和喜好自行设置。我这里设置的为“Alow To Internet”。
这里是请你选择这个协议规则的处理方法,这里有两个选择项目“Allow”和“Deny”,也就是允许通过以及禁止通过。在这里我们是希望LAN内的机器允许通过这里访问外部,所以这里我们选择“Allow”。
在这里是让你选择这条规则对那些IP生效,在这里,我们先不进行限制,等以后了再进行修改也可以。这里我们选择“All IP traffic”——允许所有IP通过。
这里是选择协议规则生效的时间段的。在这里您可以根据您的需要对协议生效的日期和时间段进行设置。比如说,你想周1至周5的上班时间允许这个规则生效而周末是全天开放,这些都可以在这里进行设置,非常的灵活。但是这里一个下拉只有让您暂时选择一下,然后等后边了我们再进行详细的修改吧。这里我们选择了“Always”。
这里是对允许通过的客户端进行授权的,您在这里可以设置允许哪些客户端通过这里,我们这里先不做限制,等后边定义了组之后再进行设置修改吧。
OK!这个协议规则已经都配置完成了。点击“完成”吧。
好了,这个规则配置完成了也就意味着这个时候我们可以通过这个ISA代理上网了。我们现在找一个客户端,打开IE,然后在IE的“工具”>“Internet选项”>“连接”标签>“局域网设置”按钮>“代理服务器”里边把这台ISA的内部LAN IP地址填写进去,然后端口填写8080,然后确认,保存设置。这个时候,客户端就可以对INTERNET进行访问了——当然ISA要已经连在了INTERNET上了哦!
至于其他的服务,我建议大家安装一个ISA的客户端软件。这个客户端在你安装完了ISA Server之后,就可以在你安装的目录中找到一个共享出来了的目录,你可以把这个目录复制下来,然后到其他机器上安装上,你就可以享受所有的服务了。
但是还有一个问题,那就是QQ上不了线啊!对这个问题必须说清楚。因为QQ是正宗的“中国造”所以,ISA不会专门为QQ打开一个协议规则。这个协议规则还需要我们自己来添加。经过我们3天时间的研究,终于把QQ的发送和接受端口搞清楚了。下边请大家跟着我们做就可以了。
现在我们来定义一个端口号,以便让QQ的数据能够顺利的出去和进来。我们先展开“Policy Elements”这个标签,然后选中“Protocol Definitions”标签,并且在上边单击鼠标右键,然后选择“新建”>“Definition”。
在这里选择这个定义名称,我在这里取的名称叫做“Tencent QQ”。
下一步了之后就是定义端口号和使用协议了!在这里,QQ相对于ISA来说需要发送一个数据到服务器的8000端口,而且QQ使用的是UDP协议,所以我们在这里就按照图示进行设置。然后下一步。
在这里的设置稍微复杂一点。我们知道,QQ默认客户端是使用的4000端口,而增加一个QQ端口就加1。而相对于QQ的客户端来说就是接受消息了,当然还是使用的是UDP协议。设定好了之后,请点击“OK”并且“下一步”确定。
OK了,QQ的定义这里也完成了。现在快去试试吧,保证QQ可以上线了哦,而且你根本就感觉不到有什么延迟,和本机拨号几乎一模一样,绝对能够体现速度!!!
ISA安装配置进阶篇
通过IP限制上网客户端
我们前边的“Protocol Rul”里边设置的是允许所有的客户端通过这个ISA连接到外部的INTERNET上去。但是现在我想要对这个客户端进行分类,然后在不同时间内进行控制哪些IP可以上网,哪些IP不能上网。这样的话,需要怎么做呢?大家还是跟我一步一步的来吧。
首先我们要定义组。我们展开“Policy Elements”这个标签,然后选中“Client Address Sets”这个标签,在上边单击鼠标右键,选择“新建”>“Set…”。
然后在“Name”一栏中填写进一个组名的标识。下边的描述可以不用写。然后下边的IP地址范围你就可以按照实际需要进行添加了。我这里举例是用的我们307机房作为例子。我这里的IP地址范围为192.168.3.2~192.168.3.80。添加好了之后,确认无误了,点击“OK”确定保存。
按照相同的办法,你就可以添加其他的一些组。看到了吗?这里就是我添加好了的几个组。好了,现在让我们来设置只允许这些组通过ISA对INTERNET进行访问。
现在我们回到“Access Policy”这个标签下的“Protocol Rules”,选中右边的我们最开始建立好的“Allow To Internet”协议规则,然后鼠标右键选择“属性”。
我们切换到“Applies To”这个标签。然后,选中中间的那个“Client address sets specified below”。然后我们在下边的“Client Sets”框的右边点击“Add”按钮。
选中我刚才设定的那些组,然后点击“Add”,将这些组全部添加到右边的框中,然后点击OK确定保存。
这里就已经已经把选中的组添加进去了,这里我们点击“确定”就OK了!这下只要不是这些组里的IP地址的话就不能上网了。
控制上网的时间段
为了合理的利用带宽,和提高工作效率,我们可以在ISA上对这些组上网的时间段进行控制。想知道怎么做吗?跟我一起做吧。回到“Access Policy”这个标签下的“Protocol Rules”,选中右边的我们最开始建立好的“Allow To Internet”协议规则,然后鼠标右键选择“属性”。
在弹出的窗口中选择“Schedule”日程标签。然后点击上边的“New…”按钮。
最上边的是一个名称,大家可以根据自己的喜好输入。下边我设置的为星期一到星期五全体人员都可以在上班时间上网,而星期六和星期天是全天开放的。具体设置很简单,大家可以灵活的控制。完成了之后核实无误就点击“OK”确认保存。