机密信息是经过加密的。在导入文件时,要求输入密码才能解密此信息。此密码在导出过程中进行设置。
在导出某个特定对象时,将会导出下列内容: ? 指定的对象,包括所有属性值。
? 包含在层次结构中起始于指定对象的所有子对象。
例如,如果要导出某个访问规则,网络对象和创建该规则过程中使用的用户集也会被导出,并且在将来导入该规则时将会被导入。 安装过程 本章内容 3.1 安装要求 3.2 网络需求 3.3 安装过程 3.4 默认设置
3.5 执行熟悉任务的新方法
3.6 具有单个网络适配器的 ISA Server 计算机 3.1 安装要求
为了使用 ISA Server,您需要:
? 一台配备 550 MHz 或更快 CPU 的个人计算机。
? Microsoft Windows Server 2003 或 Windows 2000 Server 操作系统。 注意:如果在运行 Windows 2000 Server 的计算机上安装 ISA Server,请注意以下附加要求:必须安装 Windows 2000 Service Pack 4 或更高版本。必须安装 Internet Explorer 6 或更高版本。如果正在使用 Windows 2000 SP4 slipstream,还必须安装 Microsoft 知识库文章 821887“在配置 Windows 2000 授权管理器运行时的审核时,授权角色的事件没有记录在安全日志中”中指定的热修补程序,该文章位于:http://go.microsoft.com/fwlink/?LinkId=22792) . 有关 ISA Server 2004 的设置和系统要求的最新信息,请参阅“ISA Server 设置和系统要求”(http://go.microsoft.com/fwlink/?LinkId=20538). ? 256 MB 的内存。
? 150 MB 的可用硬盘空间。这不包括您要用于缓存的硬盘空间。 ? 一块与计算机的操作系统兼容的网络适配器,用于与内部网络通信。 ? 用于连接到 ISA Server 计算机的每个网络的一块附加网络适配器。 ? 一个格式化为 NTFS 文件系统的本地硬盘分区。
注意:可以在仅有一块网络适配器的计算机上使用 ISA Server。通常,当另一个防火墙位于网络边缘,将公司资源连接到 Internet 时,您就会这样做。在这种单适配器方案中,ISA Server 的功能通常为已发布的服务器
提供一层附加的应用程序筛选保护,或者缓存来自 Internet 的内容。有关更多信息,请参阅“3.6 具有单个网络适配器的 ISA Server 计算机”。 警告:不要在超过四颗处理器的多处理器计算机上安装 ISA Server。 3.2 网络需求
ISA Server 同时需要域名系统 (DNS) 服务器和动态主机配置协议 (DHCP) 服务器。推荐同时将 DHCP 和 DNS 服务器安装在内部网络中的一台运行 Windows Server 2003 或 Windows 2000 Server 的计算机上。如果有必要,可以在 ISA Server 计算机上承载 DNS 和 DHCP 服务器。 3.2.1 DNS 服务器
DNS 是 TCP/IP 网络(比如:Internet)的名称解析协议。DNS 服务器承载着允许客户端计算机把好记的含有字母数字的 DNS 名称解析为计算机用于彼此通信的 IP 地址的信息。 3.2.2 DHCP 服务器
DHCP 服务器集中管理 IP 地址和相关信息,并自动将它提供给客户端。这样允许在服务器上配置客户端网络设置,而不是在每台客户端计算机上进行配置。
3.2.3 配置 DNS 和 DHCP 服务器
要打开“配置服务器向导”,请单击“开始”,指向“所有程序”,指向“管理工具”,然后单击“配置服务器向导”。必须运行该向导两次:一次配置 DNS 服务器,另一次配置 DHCP 服务器。
在配置服务器来包括 DNS 服务器时,在“配置服务器向导”完成以后,将会出现“配置 DNS 服务器向导”。单击“DNS 清单”来检查 DNS 清单,然后遵循向导指示来配置 DNS 服务器。
在配置服务器来包括 DHCP 服务器时,“配置服务器向导”将运行“新建作用域向导”。遵循“新建作用域向导”的指示来定义 DHCP 服务器的作用域。 3.3 安装过程
如要安装 ISA Server 软件,请遵循以下步骤:
1. 将 ISA Server CD 插入 CD 驱动器,或者从共享网络驱动器运行
ISAautorun.exe。 2. 在“Microsoft ISA Server 安装”中,单击“安装 ISA Server”。 3. 在安装程序提示已完成系统配置的确定时,在“欢迎”页面上,单击
“下一步”。 4. 如果您接受用户许可协议中陈述的条款,请单击“我接受许可协议中的条款”,然后单击“下一步”。 5. 键入您的客户详细信息,然后单击“下一步”。 6. 单击“典型安装”、“完整安装”或“自定义安装”。 可以安装的组件有四个:
? ISA Server Services.构成 ISA Server 的服务。
? ISA Server Management。ISA Server Management 用户界面。 ? Firewall Client Installation Share。客户端计算机可从此处安装防火
墙客户端软件。这通常安装在非 ISA Server 计算机上,因此不是“典型安装”选项的一部分。Firewall Client Share 可安装在运行 Windows Server 2003、Windows 2000 Server 或 Windows XP 的计算机上。 ? Message Screener。一个配置来根据关键字或附件屏蔽电子邮件消
息的组件。该组件必须安装在简单邮件传输协议 (SMTP) 服务器上,该服务器通常不是 ISA Server 计算机。 “典型安装”安装 ISA Server Services 和 ISA Server Management。“完整安装”安装全部四个组件。“自定义安装”允许您选择要安装哪些组件。 7. 单击 “下一步”。
8. 配置“内部”网络。请遵循以下步骤:
1) 单击“添加”。
2) 单击“选择网络适配器”。
3) 选择“添加基于 Windows 路由表的地址范围”。
4) 选择一个或多个连接到“内部”网络的适配器。这些地址将包括
在为 ISA Server 默认定义的“内部”网络中。 5) 清除对“添加以下专用 IP 范围”的选择,除非您想要把那些范
围添加到“内部”网络中。 6) 单击“确定”。阅读“安装信息”,单击“确定”,再次单击“确定”
来完成“内部”网络配置,然后单击“下一步”。 9. 在“防火墙客户端连接设置”页面上,选择是否想要允许防火墙客户端和 ISA Server 计算机之间的非加密连接。ISA Server 2004 防火墙客户端软件使用了加密,但是较旧的版本没有使用。此外,有些版本的 Windows 不支持加密。您可以选择以下选项:
? 允许非加密的防火墙客户端连接。允许运行在不支持加密的
Windows 版本上的防火墙客户端连接到 ISA Server 计算机。 ? 允许运行早期版本的防火墙客户端软件的防火墙客户端连接到
ISA Server。仅当选择了一个选项时,此选项才可用。 10. 在“服务”页面上,检查将在 ISA Server 安装期间停止或禁用的服
务的列表。要继续安装,请单击“下一步”。 11. 单击 “安装”。
12. 在安装完成之后,如果想要立即调用 ISA Server Management,请选中“调用 ISA Management”复选框,然后单击“完成”。
3.4 默认设置
在安装之后,ISA Server 将使用下表列出的默认设置。 功能 默认设置 用户本地计算机上的 Administrators 组的成员可以配置防火墙策权限 略。 网络? 创建了以下网络规则: 设置 ? 本地主机访问。定义“本地主机”网络和“所有网络”之间的路由网络关系。这定义的是运行在 ISA Server 计算机上的服务所需要的、与其他网络的网络关系。 ? Internet 访问。定义从“内部”网络、“隔离的 VPN 客户端”网络和“VPN 客户端”网络到“外部”网络的 NAT 关系。仅当配置了适当的访问策略时,访问才会得到允许。 ? VPN 客户端到内部网络定义“VPN 客户端”网络和“内部”网络之间的路由网络关系。仅当启用了 VPN 客户端访问时,访问才会得到允许。 访问? 创建了以下默认访问规则: 规则 ? 默认规则。该规则拒绝所有网络之间的所有流量。 ? 系统策略规则。一系列允许 ISA Server 计算机与其他网络资源交互的规则。 发布 没有内部服务器对外部客户端是可访问的。 Web 默认规则。该规则规定所有 Web 代理客户端请求都直接从 链接 Internet 检索。 缓存 缓存大小设置为 0。因此所有缓存都被禁用。 3.5 执行熟悉任务的新方法
下表列出了可使用 ISA Server 2004 来执行的常见任务,并将这些任务与 ISA Server 2000 下的执行方式作了比较。 如果想要发布位在 ISA Server 2000 在 ISA Server 2004 中创于相同位置的服中创建一个允许访问建一个服务器发布规则。 务器。 位于 ISA Server 计算机上的特定服务器的静态数据包筛选器。 允许 ISA Server 创建一个允许访问 检验在安装时创建的默认计算机上的某个ISA Server 计算机上网络规则,准确地定义“本应用程序访问 的特定端口的静态数地主机”网络和“外部”网Internet 据包筛选器 络之间的关系。然后,创建一个允许访问特定协议的访问规则。 配置本地地址表单击任何服务的属性“内部”网络取代本地地址(LAT)。 上的“本地地址表”。 表,并被配置为安装过程的一部分。以后可以重新配置“内部”网络。 配置基于 IP 的协议支持。 基于 IP 的协议受到有限的支持。 配置虚拟专用网络。 使用 VPN 向导来配置客户端对路由器或路由器对路由器的 VPN。 配置传出的 Web 在数组属性上,单击请求属性。 “传出的 Web 请求”选项卡,并配置侦听器属性。 配置传入的 Web 在数组属性上,单击请求属性。 “传入的 Web 请求”选项卡,并配置侦听器属性。 创建一个协议定义,指定以下任何协议:TCP、UDP、ICMP 或 IP 级。如果选择 IP 级,您可以指定任何低级协议。 配置并启用 VPN 属性并监视 VPN 连接。 每个网络都有自己的侦听器,即负责侦听针对该网络的请求的网络适配器。 Web 侦听器被用作每个 Web 发布规则的一部分。在配置 Web 发布规则时,您将指定要把哪个侦听器用于该规则。 3.6 具有单个网络适配器的 ISA Server 计算机
ISA Server 可以安装在具有单个网络适配器的计算机上。通常,当另一个防火墙位于网络边缘,将公司资源连接到 Internet 时,您就会这样做。在这种单适配器方案中,ISA Server 通常用于缓存来自 Internet 的内容,以供公司网络上的客户端使用。 3.6.1 内部网络
ISA Server 的基本特性之一是其连接多个网络的能力。当 ISA Server 安装在单适配器计算机上时,它仅识别一个网络——“内部”网络。“内部”网络包含所有 IP 地址,以下地址除外:0.0.0.0、255.255.255.255 和地址范围 127.0.0.0-127.255.255.255。
3.6.2 在单适配器计算机上安装 ISA Server
作为安装过程的一部分,您将指定“内部”网络中的地址。在将 ISA Server 安装在具有单个网络适配器的计算机上时,请确保包括除 0.0.0.0、255.255.255.255 和地址范围 127.0.0.0-127.255.255.255 之外的所有地址。 可以使用“单网络适配器”网络模板来配置单适配器 ISA Server 计算机。要使用该模板,在“ISA Server Management”中,展开“配置”节点,并选择“网络”。在任务窗格中,在“模板”选项卡上,选择“单网络适配器”来启动“网络模板向导”。遵循向导步骤来完成该配置。推荐使用“网络模板向导”提供的默认设置。 3.6.3 缓存
可以将单适配器计算机上的 ISA Server 部署为正向代理或缓存服务器,从而为客户端提供优化的 Internet 访问。在该方案中,可以配置 ISA Server 来维护经常被请求的 Internet 对象(它们可由任何 Web 浏览器客