ISA Server 2006新功能-->见下图:
保护网络周边的安全: 面临的挑战-->见下图:
保护网络周边的安全: 有哪些设计选项-->见下图:
配置ISA Server以保护网络周边的安全-->ISA Server用于: 提供防火墙功能 发布内部资源(如Web或Exchange服务器) 实施多层数据包检查和筛选 为远程用户和站点提供×××访问 提供代理和缓存服务 见下图:
实施网络模板进行ISA Server 2006的配置-->见下图:
部署ISA Server 2006: 最佳做法-->要部署ISA Server以提供Internet访问: 规划DNS名称解析 创建必要的访问规则元素并配置访问规则 规划访问规则顺序 实施适当的身份验证机制 在部署前测试访问规则 部署防火墙客户端以获得最大的安全性与功能 使用ISA Server的日志记录解决Internet连接问题
ISA Server企业版部署方案: 部署多台ISA Server 2006服务器: 使用排列作集中管理 实现网络负载平衡 实现CARP 使用集中化监视
在工作组环境下部署ISA Server 2006: 将ISA服务器从域中隔离 实现灵活的ISA服务器部署
在分支办公室部署ISA Server 2006: 每个角色使用多ISA服务器来支持 在每个办公室部署配置存储服务器
规划配置存储服务器的部署: 配置存储服务器部署指导: 1.部署多台配置存储服务器 2.安装配置存储服务器到特定的计算机 3.安装配置存储服务器在域中 4.配置存储服务器的网络速度考虑 5.测试和验证配置存储服务器的通讯
规划企业和排列策略: 企业和排列策略规划: 1.为每个排列的类型创建企业策略 2.配置仅需要的企业策略 3.如果只想配置排列级别规则,使用默认企业策略 4.为每个企业策略规划策略规则和规则顺序 5.当创建一个排列时,选择在排列级别能够被创建的规则类型 6.配置排列规则适应此排列需求的访问规则和发布规则等
如何在工作组环境下部署企业级ISA Server 2006阵列呢? 实验环境拓朴:
如果你想在工作组的环境下把两台企业级ISA Server 2006服务器配置成阵列的话 首先需要为这两台企业级ISA Server 2006服务器申请一张证书 我来到一台计算机名称叫做Firenze的计算机 它当前处于工作组模式 打开IE浏览器--输入
http://10.1.1.5/certsrv
按回车键--按申请一个证书 注意:10.1.1.5这个IP地址是企业内部Denver这台计算机的IP地址 Denver这台计算机是企业内部的一台域控制器同时是一台Exchange Server 2007服务器 我已经在这台计算机上安装独立根CA了 现在Denver这台计算机也是企业内部的一台CA服务器了
在申请一个证书里面按高级证书申请--在高级证书申请里面按创建并向此CA提交一个申请。我们申请的是服务器身份验证证书--因为二台服务器之间要做一个身份的标识和身份的验证--按创建并向此CA提交一个申请。
在高级证书申请里面输入识别信息--在需要的证书类型里面选择服务器身份验证证书--在密钥选项里面把标记密钥为可导出沟上和将证书保存在本地计算机存储中沟上 注意: 在识别信息里面输入的姓名(Firenze)一定是本地计算机的计算机名称(Firenze)
按提交--按是
按安装此证书--按是 此时第一步就完成了 第二步是需要去信任证书颁发机构 因为以后在ISA Server 2006里面会去用到证书颁发机构来做一个信任
在证书申请的主页里面按下载一个CA证书,证书链或CRL
按下载CA证书--我把这张证书保存在C盘里面--按保存 待会我们安装ISA Server 2006企业版的时候也会用到这张证书的 第一步我们申请了一张服务器身份验证证书--第二步下载了CA证书--这二张证书在我们安装第一台ISA Server 2006企业级阵列的时候会用到这二张证书
第三步是把刚才申请的服务器身份验证证书导出来给ISA Server 2006服务器使用 通过开始--运行--输入mmc按确定来打开控制台--按文件--按添加/删除管理单元--按添加--按证书--按添加--按计算机账户--接着下一步
按完成
展开证书(本地计算机)--个人--按证书--对着Firenze这张服务器身份验证证书右键--按所有任务--选择导出
选择是,导出私钥 接着下一步
接着下一步
输入密码--接着下一步 注意: 这个密码以后在ISA Server 2006服务器导入这张证书的时候是需要提供现在输入的密码 所以说这个密码你一定要记住 否则的话ISA Server 2006服务器是不能够导入这张服务器身份验证证书
文件名就叫做ISAFirenze吧--我把这张证书保存在C盘里面--接着下一步
按完成--按确定
我在Firenze这台计算机上插入ISA Server 2006企业版光盘--选择安装ISA Server 2006
接着下一步
选择我接受许可协议中的条款--接着下一步
输入用户名(叶俊生)、单位(Microsoft)和产品序列号--接着下一步
因为我们要安装一个ISA Server 2006阵列 所以需要安装一个配置存储服务器 我把第一台ISA Server 2006服务器和配置存储服务器都放在Firenze这台计算机里面--选择同时安装ISA Server服务和配置存储服务器--接着下一步
接着下一步
选择创建新ISA服务器企业--接着下一步
接着下一步
在内部网络里面按更改--按添加适配器--把内部网络这张网卡沟上--按确定 接着下一步
接着下一步
接着下一步
按安装
可以看到ISA Server 2006企业版已经安装完成了 按完成
注意: 默认情况下ISA Server 2006安装完成之后 它实际上实现的是一个通过活动目录来进行用户的身份验证 但是我们现在配置的ISA Server 2006阵列不是通过AD来验证对方的身份 而是通过证书来验证对方的身份 所以说我们还需要对ISA Server 2006服务器做一个修复 就是说需要更改ISA服务器之间的一种验证方法 在Microsoft ISA Server 2006安装程序界面里面按安装ISA Server 2006
接着下一步
在程序维护里面选择修复 让它用证书的方法去做一种身份验证 接着下一步
在企业部署环境里面选择在工作组中或在不带信任关系的域中部署--在服务器证书里面按浏览--选择刚才保存在C盘里面的ISAFirenze.pfx这张服务器身份验证证书--输入证书密码 接着下一步
接着下一步
在配置存储服务器身份验证选项里面选择通过SSL加密通道进行身份验证--选择安装受信任的根CA证书--按浏览--选择我们之前下载的CA证书(使用这张CA证书来做配置存储服务器和ISA Server 2006服务器之间的加密)--接着下一步--按确定
接着下一步
按安装
在ISA Server 2006修复的过程中我们还需要把刚才做的CA本地存储 就是说刚才存储在C盘里面的证书下载列表 我们需要把这张证书绑定到ISA Server 2006相关的服务 通过开始--运行--输入mmc按确定来打开控制台--按文件--按添加/删除管理单元--按添加--按证书--按添加--选择服务账户--接着下一步
在这个管理单元将始终管理里面选择本地计算机(运行这个控制台的计算机)--接着下一步
按ISASTGCTRL这个服务--按完成--按关闭--按确定 我需要把证书跟这个服务做一个绑定
展开证书-本地计算机上的服务(ISASTGCTRL)--ADAM ISASTGCTRL\个人--按证书--在右边空白处右键--按所有任务--按导入
在文件名里面按浏览--选择以前存储在C盘里面的下载CA证书--接着下一步
接着下一步
按完成
可以看到ISA Server 2006已经修复完成了 按完成
此时可以看到有一个提示-->您必须重新启动系统,才能使对Microsoft ISA Server的配置更改生效。按是
重新启动Firenze这台计算机之后 我们需要添加一个网络 因为在阵列里面两台ISA Server 2006服务器之间是通过另外一张网卡 也就是外围网络网卡来进行排列之间的通讯 打开ISA Server 2006管理控制台--展开阵列--配置--按网络--在右边任务选项的网络任务里面选择创建一个新的网络--网络名就叫做外围吧--接着下一步
在网络类型里面选择外围网络--接着下一步
在地址范围里面按添加适配器--在网络适配器里面把外围网卡沟上--按确定--接着下一步
按完成
在ISA Server 2006管理控制台里面按应用
最后我们还需要去定义一个阵列之间的一个凭据 就是说阵列内的阵列成员在相互通讯的时候肯定要提供一个用户名和密码这种凭据来做一个相互通讯 展开阵列--对着Firenze这个阵列右键--选择属性--按阵列内凭据--选择使用此账户进行身份验证--按设置账户--输入用户(administrator)和密码 按确定 在ISA Server 2006管理控制台里面按应用
展开阵列--Firenze--按防火墙策略(Firenze)--在右边工具箱选项里面展开计算机集--对着阵列服务器右键--选择属性--可以看到默认情况下只有Firenze这台计算机和IP地址(10.1.1.2) 我把所有需要添加到ISA Server 2006企业级阵列内的阵列成员计算机的IP地址都添加到里面--按添加--选择计算机
可以看到我把Firenze这台计算机和Florence这台计算机的内部网卡IP地址(10.1.1.1;10.1.1.2)、外围网卡IP地址(23.1.1.1;23.1.1.2)和外部网卡IP地址(39.1.1.1;39.1.1.2)都添加到里面了 按确定 在ISA Server 2006管理控制台里面按应用 此时需要把Firenze这台ISA Server 2006服务器重新启动一下 接下来就是把Florence这台计算机添加到Firenze这个阵列里面了
我来到Florence这台计算机--打开IE浏览器--输入
http://10.1.1.5/certsrv
按回车键--在证书申请主页里面按申请一个证书
在申请一个证书里面按高级证书申请--在高级证书申请里面按创建并向此CA提交一个申请。
在高级证书申请里面输入识别信息--在需要的证书类型里面选择服务器身份验证证书--在密钥选项里面把标记密钥为可导出沟上和把将证书保存在本地计算机存储中沟上 注意: 在识别信息里面输入的姓名(Florence)一定是本地计算机的计算机名称(Florence)
按提交--按是
按安装此证书--按是
在申请证书主页里面按下载一个CA证书,证书链或CRL
按下载CA证书--我把它保存在C盘里面--按保存
通过开始--运行--输入mmc按确定来打开控制台--按文件--按添加/删除管理单元--按添加--按证书--按添加--选择计算机账户--接着下一步
按完成
展开证书(本地计算机)--个人--按证书--对着Florence这张证书右键--按所有任务--选择导出
选择是,导出私钥--接着下一步
接着下一步
输入密码--接着下一步
文件名就叫做ISAFlorence.pfx吧--我把它保存在C盘里面--接着下一步
按完成--按确定
我在Florence这台计算机上插入ISA Server 2006企业版安装光盘
接着下一步
选择我接受许可协议中的条款--接着下一步
输入用户名(叶俊生)、单位(Microsoft)和产品序列号--接着下一步
选择安装ISA服务器服务--接着下一步
接着下一步
输入配置存储服务器计算机名称(Firenze)--在连接凭据里面选择使用下列账户连接--输入用户名(administrator)和密码--接着下一步
在阵列成员身份里面选择加入现有阵列--接着下一步
输入阵列名称(Firenze)--接着下一步
在配置存储服务器身份验证选项里面选择通过SSL加密通道进行身份验证--选择安装受信任的根CA证书--按浏览--选择刚才保存在C盘里面的下载CA证书 接着下一步
接着下一步
按安装
可以看到ISA Server 2006企业版已经安装完成了 按完成 注意: 此时你打开ISA Server 2006管理控制台--展开阵列--Firenze--按监视--按配置--你会发现Florence的状态是错误,并且可以看到上次更新时间是一个很早以前的时间 为什么已经成功将Florence这台计算机加入Firenze这个阵列里面了,Florence这台计算机的数据还不能和Firenze这台计算机的数据进行同步呢? 具体原因还不清楚,不过本人已经解决了这个问题 就是还需要把Florence这台ISA Server 2006服务器做一个修复才能使阵列内两台处于工作组环境下的ISA Server 2006服务器的数据同步成功
在Microsoft ISA Server 2006安装程序里面按安装ISA Server 2006
接着下一步
在程序维护里面选择修复--接着下一步
输入配置存储服务器的计算机名称(Firenze)--在连接凭据里面选择使用下列账户连接--输入用户名(administrator)和密码 接着下一步
在配置存储服务器身份验证选项里面选择通过SSL加密通道进行身份验证--选择安装受信任的根CA证书--按浏览--选择保存在C盘里面的下载CA证书 接着下一步
接着下一步
按安装
可以看到Florence这台ISA Server 2006服务器的修复已经完成了 按完成
打开ISA Server 2006管理控制台--展开阵列--Firenze--按监视--按配置--可以看到Florence这台ISA Server 2006服务器的状态显示为已经同步了-->说明现在已经成功把Florence这台企业级的ISA Server 2006服务器加入Firenze这个阵列里面了
如何在Firenze这个阵列内启用NLB功能呢? 在ISA Server 2006管理控制台里面展开阵列--配置--按网络--因为我现在想对内部网络启用NLB--所以在网络里面按内部--在右边任务选项的相关任务里面按启用网络负载平衡集成
接着下一步
把内部沟上--按设置虚拟IP--输入主要VIP(10.1.1.3)和子网掩码(255.255.255.0)--按添加VIP 按确定 注意: 10.1.1.3这个IP地址是提供给内部用户表现出来的一个虚拟IP地址 以后用户就能够通过10.1.1.3这个虚拟IP地址来连接到Internet的Web服务器了
按完成
在ISA Server 2006管理控制台里面按应用--选择保存更改,并重启动服务--按确定
展开阵列--Firenze--按防火墙策略(Firenze)--在右边任务选项的防火墙策略任务里面按创建访问规则--访问规则名称就叫做Access Web吧--接着下一步
选择允许--接着下一步
在所选的协议里面按添加--展开Web--把FTP、HTTP和HTTPS这三种协议添加在协议里面--按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--把内部和本地主机添加在里面--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--把外部添加在里面--接关闭 接着下一步
接着下一步
按完成 在ISA Server 2006管理控制台里面按应用
我来到企业内部的Denver这台计算机--打开IE浏览器--按工具--按Internet选项--按连接--按局域网设置--把为LAN使用代理服务器沟上--在地址里面输入10.1.1.3(虚拟IP地址)--在端口里面输入8080 按确定
打开IE浏览器--输入
http://istanbul.yejunsheng.com
按回车键--按web.htm--可以看到我在istanbul这台计算机的Web服务器里面输入的内容了-->Welcome to the Istanbul Web Site! 说明现在可以在企业内部的计算机通过ISA Server 2006阵列里面的虚拟IP地址访问到Internet上的Web服务器了 注意: Istanbul这台计算机是Internet上的一台Web服务器 实际上企业内部的用户是通过虚拟IP地址连接到NLB阵列--然后通过NLB阵列来访问Internet上的Web服务器