1、ISA2006 标准版常规安装及无人值守ISA2006(Internet Security and Acceleration)是微软公司推出的一款重量级的网络安全产品,被公认为 X86 架构下最优秀的企业级路由软件防火墙。ISA 凭借其灵活的多网络支持、易于使用且高度集成的 VPN 配置、可扩展的用户身份验证模型、深层次的 HTTP 过滤功能、经过改善的管理功能,在企业中有着 广泛的应用。从今天开始的一系列课程中我们将陆续介绍 ISA 的管理和使用技巧,内容重点是访问控制,服务器发布和 VPN 三部分。今天我们从 ISA2006 的部署开始介绍。ISA2006 分为标准版和企业版,两种版本的结
2、构和功能都存在一定差异。标准版部署起来相对容易,适合中小企业使用,也适合 ISA 爱好者的入门学习;企业版由于引入了配置存储服务器,部署起来有一定难度,我们将它放在后期课程中介绍。今天我们准备给大家分别介绍 ISA2006 标准版的常规安装和无人值守安装。拓扑如下图所示,服务器 Beijing 有两块网卡,内网网卡的 IP 地址为 10.1.1.254,外网网卡的 IP 地址为 192.168.11.254。Beijing 的操作系统为 Win2003SP1,准备安装 ISA2006 作为企业的边缘防火墙。ISA2006 的安装要求如下:带有 Service Pack 1 (SP1) 的 Mi
3、crosoft Windows Server 2003 或 Microsoft Windows Server 2003 R2 操作系统。256 MB 内存。 150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。 至少两块网卡(如果只有一块网卡,只能安装成缓存服务器)。 一个采用 NTFS 文件系统格式的本地硬盘分区。安装 ISA2006 的服务器上不能有进程占用 80 和 8080 端口。一 ISA2006 标准版的常规安装在 Beijing 上放入 ISA2006 的安装光盘,如下图所示,启动 ISA2006 的安装程序,点击“安装 ISA Server 2006”。出现 ISA2006
4、 的安装向导,选择 “下一步”。同意软件许可协议,选择下一步。输入用户名,单位及序列号等参数后,来到安装类型界面,如下图所示,选择自定义安装。选择 ISA2006 的安装组件,从下图可知,只有 ISA 服务器和 ISA 服务器管理两个组件。有 ISA2004 经验的管理员要注意,ISA2004 中的 ISA 客户端共享和消息筛选两个组件已经不再被支持,消息筛选被 Forenfront 取代,ISA客户端共享需要用手工共享的方法实现。接下来设置内网的地址范围,点击“添加”按钮。顺便提一下,这个参数很重要,因为在 ISA 中网络是防火墙策略中最基本的一个考虑因素,具体我们回头再说。设置内网范围时,
5、点击“添加适配器”,如下图所示,选择与内网相连的网卡,点击确定。这里建议大家最好把 ISA 上的网卡根据实际连接情况命名为内网,外网,外围等,以方便后续使用。根据我们提供的网卡,ISA 将内网的地址范围设置为 10.1.1.0-10.1.1.255,点击确定。安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是 ISA2000 之前的防火墙客户端, ISA2000 之后的防火墙客户端支持数据加密,安全性更好,由于在实验环境中不需要使用早期防火墙客户端,因此我们不用勾选“允许不加密的防火墙客户端连接”。安装程序警告我们在安装过程中有些服务会重新启动,选择“下一步”。完成了参数
6、设置,终于开始安装了。如下图所示,点击“完成”,结束了 ISA2006 的常规安装。至此,我们完成了 ISA2006 的常规安装。安装过程并不复杂,相信大家都可以完成,难的地方在后面的管理部分,慢慢来吧。二 ISA2006 标准版的无人值守安装ISA2006 的无人值守安装原理是很简单的,常规安装时我们通过交互方式输入安装参数,无人值守时只需事先将安装参数写到答案文件中,然后让 ISA 的安装程序从答案文件中获取参数就可以了。因此我们实现 ISA2006 的无人值守只需要注意两点:1) 如何创建答案文件2) 如何让安装程序调用答案文件先解决第一个问题。ISA2006 的安装光盘中有一个无人值守
7、答案文件的示例,如下图所示,在 ISA2006 的安装光盘FPCUnattended_Setup_SampleStandard_Edition 目录下,有一个 msisaund.ini 文件,这就是示例文件。我们只要对示例文件进行简单修改,就可以满足我们无人值守安装的需求。打开模板文件看看,如下图所示,文件中有各种参数的解释。如果觉得 E 文看起来很吃力,我们可以在 ISA2004 标准版的安装光盘中找到 FPCmsisaund.ini,这个文件是 ISA2004 无人值守安装的示例文件。打开 ISA2004 的示例文件,内容和 ISA2006 基本相同,但帮助是中文的,呵呵,这回 E 文不好
8、的兄弟可以好好参考一下了。将光盘中的 msisaund.ini 复制到 C:,然后对文件中的内容进行修改,我们就可以创建自己的 ISA2006 无人值守答案文件了。修改后的内容如下图所示,原文件中以分号开头的内容为注释,我们就不保留了。对答案文件中的内容解释一下:IDKEY=这里应该填写 25 位长度的产品序列号INTERNALNETRANGES=1 10.1.1.0-10.1.1.255设置内网的地址范围,1 代表只有一个地址范围,10.1.1.0-10.1.1.255 是具体的范围内容SUPPORT_EARLIER_CLIENTS=0不允许早期的防火墙客户端连接INSTALLDIR=C:P
9、rogram FilesMicrosoft ISA Server ISA2006 的安装目录为 C:Program FilesMicrosoft ISA ServerCOMPANYNAME=ITET公司名称为 ITETADDLOCAL=ALL安装所有组件其实 ISA2006 无人值守安装还有一个很实用的功能,可以导入防火墙策略的XML 配置文件,这样 ISA 安装完毕后,配置也就完成了,非常方便。语法是:IMPORT_CONFIG_FILE=配置文件名设置好答案文件后,我们就要考虑如何让 ISA 的安装程序调用这个答案文件了。我们在 Beijing 上输入 D:FPCsetup.exe /v“
10、/qb FULLPATHANSWERFILE=“c:msisaund.ini“,如下图所示,这样安装程序就会将 C:MSISAUND.INI 作为 ISA2006 的无人值守答案文件了。ISA2006 的安装开始启动了,如下图所示,整个安装过程无需用户参与。安装完毕后,打开 ISA2006 管理器,如下图所示,安装已经顺利完成。至此,我们完成了 ISA2006 标准版的部署,在下次课程中,我们将介绍 ISA2006 的三种客户端。详解 ISA2006 三种客户端上一篇我们介绍了如何部署 ISA2006,本文我们要让部署好的 ISA 来干活了。ISA 能干什么活?从字面意思看,ISA 的意思是互
11、联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署 ISA 的代理服务器功能,看看内网用户如何利用 ISA 来访问互联网。ISA 的代理服务支持三种客户端,分别是:Web 代理客户端防火墙客户端SNAT 客户端我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,Beijing 安装了 ISA2006 标准版, Perth 是内网客户机。因为 ISA 默认的防火墙策略是拒绝一切通讯,所以实验之前我们需要先在 ISA上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试ISA 的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在 Bei
12、jing上依次点击 开始程序Microsoft ISA ServerISA 服务器管理,如下图所示,右键点击防火墙策略,选择新建“访问规则”。给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户端进行访问。选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许 ISA 服务器也能访问互联网。设置好通讯源后,点击下一步
13、。现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。用户我们则选择“所有用户”,注意,所有用户中包括未经身份验证的用户。如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或 ISA 本机发起的访问外网的请求,无论是什么时间,无论使用什么协议,无论是哪些用户,ISA 一律允许。怎么样,这个规则很宽泛吧。如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。一 Web 代理客户机使用 ISA 提供的 Web 代理就可以很方便地用浏览器访问互联网。 Web代理设置起来很容易,以 IE 浏览器为例,在客户机上打开 IE,依次点击 工具Internet 选项
14、连接局域网设置,如下图所示。我们将代理服务器设置为ISA 内网网卡的 IP,端口为 8080。这下大家就明白了为什么安装 ISA2006时要求服务器上不能有进程占用 8080 端口,因为 8080 端口被 ISA 用于为内网用户提供 Web 代理服务。默认情况下 ISA 已经启用了 Web 代理服务,如果不放心可以检查一下。打开“ISA 服务器管理”,展开 配置网络内部,查看内部网络的属性,切换到“Web 代理 ”标签,如下图所示,我们发现 ISA 的 Web 代理服务已经在 8080 端口启动了。在客户端测试一下,如下图所示,我们在客户机上成功地使用 Web 代理访问了互联网上的网站。下图是
15、客户机的 TCP/IP 设置,我们发现,客户机并没有设置 DNS 参数,那客户机访问网站时怎么解析域名呢?答案是转发至 ISA 服务器由 ISA 进行解析。Web 代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。二 防火墙客户端代理由于 Web 代理只能使用浏览器访问互联网,功能不够全面,因此微软在 ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件,就能通过 ISA的防火墙客户端代理访问所有基于 Winsock 的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在 ISA2006 安装光盘的 Client 目录下,我们将 Client 目录复制到 ISA
16、 服务器的硬盘上,然后将目录共享,共享名为 Mspclnt(和老版本的 ISA 保持一致),如下图所示。客户机访问beijingmspclnt ,运行 Setup.exe,如下图所示。出现防火墙客户端的安装向导,点击下一步。同意软件许可协议,点击下一步。选择软件安装文件夹,我们取默认值。指定 ISA 服务器,用计算机名或 IP 均可。准备开始安装。安装过程很快完成。安装结束后,我们测试一下客户机和服务器之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。接下来
17、准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消 Web 代理设置,如下图所示。因为如果同时使用 Web 代理和防火墙客户端,访问网站时优先使用 Web 代理。用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有 DNS 转发功能。三 SNAT 客户端微软推荐用户使用 Web 代理和防火墙代理,因为这两种方式都支持用户身份验证。但 Web 代理的功能有限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用 Linux 等系统,就只能选择 ISA 的 SNAT 代理了。SNAT代理其实是 Win2003 的路由和
18、远程访问组件所提供的功能,ISA 安装之后接管了路由和远程访问,客户机使用 SNAT 代理是很方便的,只需将默认网关指向 ISA 的内网 IP 即可。如果配合 DHCP 服务器就更简单了,客户机无需任何设置。客户机尝试 SNAT 之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用 Microsoft Firewall Client for ISA Server”,这样就可以把防火墙客户端功能禁用了。设置客户机的 TCP/IP 属性,将默认网关设置为防火墙内网 IP,注意,要设置DNS 参数, SNAT 服务器不具有 DNS 转发功能。如下图所示,用 SNAT 访
19、问互联网也很轻松。总结:ISA 的三种客户端都能提供访问互联网的功能,Web 代理只允许用户使用浏览器访问互联网,而防火墙客户端和 SNAT 则没有功能方面的限制。如果需要对用户进行身份验证,Web 代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用 Web 代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为 Web 代理可以使用 ISA 缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么 SNAT 必然是你的最爱,只需配好 DHCP 就一切 OK 了。最后要提醒大家的是,Web 代理和防火墙
20、代理都有 DNS转发功能,而 SNAT 则不存在这个问题。WPAD 的部署原理暨故障排查WPAD 是 Web Proxy Auto Discovery 的缩写,意思是 Web 代理服务器自动发现。WPAD 的设计目的是让浏览器能自动发现代理服务器,这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。在 ISA2006 中,WPAD 不仅能让客户机浏览器自动发现代理服务器,还可以用于防火墙客户端自动发现代理服务器。显然,WPAD 对代理服务器的透明处理让管理员轻松了不少,管理员不再需要去每台客户机上设置代理服务器参数了。但樱桃好吃树难栽,WPAD 的部署并非都是一帆风顺,WPAD 的部署可以借助 DNS 服务器或DHCP 服务器,容易出问题的是用 DNS 服务器进行部署,尤其是在工作组环境下问题更多。今天我们就来构造一个实验环境,为大家剖析 WPAD 的工作原理以及故障原因。实验拓扑如下图所示。内网计算机在工作组环境,Florence 是 DNS 服务器,Perth 是客户机,Beijing 是 ISA2006 服务器。
