ISA防火墙的基础应用与配置

ISA防火墙的基础应用与配置

简介

 

是微软公司的产品，全名叫Internet Security and Acceleration,

ISA 服务器Microsoft? Internet Security and Acceleration (ISA) Server 2004 是可扩展的企业防火墙以及构建在 Microsoft Windows Server? 2003 和 Windows? 2000 Server 操作系统安全、管理和目录上的 Web 缓存服务器，以实现基于策略的网际访问控制、加速和管理。ISA 服务器提供了多层企业防火墙，来帮助防止网络资源受到病毒、***的***以及未经授权的访问。ISA Server 2004 Web 缓存使得组织可以通过从本地提供对象（而不是通过拥挤的 Internet）来节省网络带宽并提高 Web 访问速度。

 

作用

无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA 服务器都提供了有助于简化安全和访问管理的统一管理控制台。ISA 服务器为 Windows Server 2003 和 Windows 2000 Server 平台而构建，它通过强大的集成式管理工具来提供安全而快速的 Internet 连接。

ISA 服务器概述Microsoft? Internet Security and Acceleration (ISA) Server 2004 提供安全、快速和可管理的 Internet 连接。ISA 服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的 Web 缓存。它构建在 Microsoft Windows Server? 2003 和 Windows? 2000 Server 安全和目录之上，以实现基于策略的网际安全、加速和管理

功能强大

首先，ISA Server 2006具有强大的应用层过滤功能，能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制；

其次，ISA Server 提供了强大的内容缓存功能，从而提高了企业Internet连接的使用效率，降低了企业IT成本；

第三， ISA Server中提供了集成的远程访问×××和站点到站点×××支持，能够让你同时实现高效、安全、可靠的虚拟专用网络服务，从而让用户的访问实现 “Access Anywhere”；最后，ISA Server 提供了高效的性能和可靠稳定的服务，让你实现轻松的IT管理生活。

为什么说它是最强劲的应用程防火墙呢？

ISA Server可以安装成专用防火墙，作为内部用户接入Internet的安全网关。在信道里ISA Server计算机对其他方来说是透明的。除非是违反了访问和安全规则，那么任何用户或应用程序通过防火墙时都看不到ISA Server。

作为防火墙，ISA Server允许设置一组广泛的规则，以指定能够通过ISA Server的站点、协议和内容，由此实现您的商业Internet安全策略。通过监视内部客户机和Internet之间的请求和响应，ISA Server可以控制哪些人能够访问公司网络里的哪台计算机。ISA Server还能控制内部客户端能够访问Internet上的哪台计算机。

ISA Server建立在Windows Server 2003技术之上，以实现高度的安全、优越的性能和方便的管理。

网络地址转换（NAT） 通过执行ISA Server的SecureNAT（安全网络地址转换客户端）策略，ISA Server扩展了Windows Server NAT功能。综合虚拟专用网 ISA Server可以配置成虚拟专用网络服务器，以支持安全的网关对网关或客户端对网关的Internet远程访问通信。

身份验证 ISA Server支持Windows的身份验证，包括Basic、NALAN Manager（NTLM）、Kerberos和电子证书。

系统强化 ISA Server使用的Windows Server安全模板在不同的安全级别锁定操作系统。Active Directory存储 如果将ISA Server企业版设置成多服务器阵列，则配置和策略信息就会集中存储在Active Directory目录存储器中。

分层策略管理 通过定义一个或多个企业策略，并把它们应用于企业阵列，ISA Server企业版可以应用Active Directory目录服务的分布式特性。这个过程支持分层的和可伸缩的管理模式。

MMC管理 ISA Server管理界面叫做ISA Management。

服务质量（Quality of Service QoS） ISA Server建立在Windows ServerQoS技术上，从而为通信数据指定优先级。此外，它还可用于带宽控制管理。

多处理支持 ISA Server利用Windows Server对称多进程处理（SMP）的体系结构改善性能。

客户端自动发现特性 运行在ISA Server上的防火墙客户端软件支持Web代理自动发现协议（WPAP），能够自动连接网络中的ISA Server，而无需对每个新客户端逐一进行配置。

管理部件对象模型（COM）对象 ISA Server有计划地对规划引擎和所有管理选项进行访问。Web筛选器 ISA Server Web筛选器基于Internet服务器应用编程接口（ISAPI），它能够检查或控制通过网关的超文本传输协议（HTTP）和文件传送协议（FTP）的通信。

警报 ISA Server在Windows Server Event Log（事件日志）中记录警报。

运行ISA Server企业版的计算机可以组成阵列。在ISA Server中，一个阵列就是一组提供容错、负载平衡和分布式缓存的ISA Server计算机。阵列安装允许一组ISA Server计算机可以作为单一逻辑实体来处理和管理。它还能提升性能，节约带宽。将多台ISA Server计算机组成阵列，可以把客户端的请求分发给多个ISA Server计算机。从而节约客户端的响应时间。因为负载分布到阵列内所有的服务器上，所以即使是使用中等的硬件也能获得改良的性能。很多第三方供应商都向ISA Server提供扩展功能，例如病毒检测、内容筛选、站点分类、高级报告和高级管理等。

客户和开发人员自己也可以对ISA Server进行扩展。ISA Server包括一个综合软件开发工具包（SDK），用来开发基于ISA Server防火墙、缓存和管理特性的工具。此外，ISA Server还包含脚本示例，以免管理员从头开发脚本。

 

案例

公司三个部门

工程部门 192.168.2.10-192.168.2.20

软件部门 192.168.2.21-192.168.2.30

经理办公室 192.168.2.31-192.168.2.40

工程部门 上班时间 ftp服务器 不允许聊天 qq 不允许http上网

下班后无限制

软件部门 无限制

经理办公室 无限制

 

拓扑图

 

 

设置工作时间

 

 

企业规则默认拒绝所有

 

 

定义下班时间

 

 

添加工程部门地址

 

 

软件部门地址范围

 

 

经理办公室地址范围

 

 

 

建立ftp站点

 

建立访问规则1

 

 

选择添加协议

 

 

来源控制

 

 

访问规则目标

 

 

工程部的所有人都可访问

 

 

 

在控制协议上改变计划写入时上班时间

 

 

应用刷新策略

 

 

改成工程部门地址

 

 

 

用网页访问

 

添加下班后无限制策略

 

 

 

允许所有内网通过

 

目标外网

 

所有员工都可以

 

 

 

 

 

 

所有策略

 

完成