ISA2006 的安装
 
1、安装 ISA Server 2006 的机器应该至少有两个网卡,一个为外部接口,一个为内部接口。所以你可以安装多个内部接口以支持多个内部网络, Firewall Access policy 控制所有网络间的数据传输。
2、下图为一个测试网络, ISA Server 作为一个边缘防火墙( Edge Firewall ):
 
 
3、ISA2006 的安装。(环境 Windows Server 2003 R2 +AD +DNS
第一步:运行 ISA2006 安装程式,如图,点击“安装 ISA Server 2006
 
 
  第二步:出现 ISA Server 2006 安装向导,点击“下一步”
第三步:接受软件许可条款,点击“下一步”:
第四步:选择“同时安装 IAS Server 服务 配置存储服务器 ,点击下一步
 
 
第五步:组件选择,点击“下一步”,如图所示:
 
第六步:选择“创建新的 ISA 服务器企业”,点击“下一步”:
 
第七步:出现一个警告画面,不会理会,点击“下一步”,出现如图所示:
        建议输入具有域管理员权限的帐号和密码。
 
  第八步:添加指定要包括在 ISA 服务器内部网络中的地址范围,点击“添加”
      
出现下图,点击“添加适配器”,选择网卡连接内部网络的那块,点击“确定”,如下图
 
第九步:选中“允许不加密的防火墙客户端连接”后,点击“下一步”,
 
第十步:完成以上步骤后, ISA 开始安装
  第十一步:安装完毕。
 


 

实验二、使用 ISA2006 代理上网实现安全策略
一、           实验拓扑图。
 
 
 
二、           平台搭建:
1、使用 VPC 建立 2 Wisndows Server 2003 R2 ,一台做 ISA Server , 一台做 Client 加入 AD 做测试用。
2、 ISA Server 2003 安装好 AD DNS, 域名为: inforen.cn, 主机名为: lab.inforen.cn
3、按拓扑图中的 IP ,配置好设备的 IP 地址,注意在使用 VPC 的时候,在配置网卡的使用,一定要注意 IP 地址不要配反,不然实验无法实现(注意: VPC 网卡分 :Internal network adapters,External network adapters
4、安装 ISA Server 2006.
三、            需求分析
1、公司以前只有一个网段 192.168.23.0/23, 有一台 DNS 服务器, IP 192.168.23.1
2、现在新增加了一个事业部,需要独立出来一个网段 172.24.5.0/24 ,这个事业部有自己的 AD 环境和 DNS 服务器,事业部的电脑利用 AD+ISA+DNS 这台服务器代理上网。
3、 AD 上建立一个 web access OU ,在 OU 中建立一个 web-user 的群组,建立 web1,web2 两个用户并隶属于 web-user 群组。
4、 公司要求只有 172.24.5.10­ 172.24.5.30 这段 IP 可以上网,其他 IP 不行,而且只用 web-user 的用户才能上网,需要做身份验证,但是这些用户不能使用 QQ 代理上网。
四、            实现配置
1、当我们把 IP 地址设定完成后,要在 ISA DNS 服务器上做转发的配置,如图:
 
点击“属性”后,配置只在内部接口上侦听:如图
 
  接下来再配置转发器,可以选择 192.168.23.1 ISP DNS 服务器,如图:
 
这样就完成了 DNS 的配置,接下来我们来配置用户上网验证,如图,双击“内部”网络
 
出现下图,如红框内设置,点击“身份验证”:
 
如图:
 
 
点击完成后,就完成用户身份验证的配置。身份验证的方法“基本”是基于 AD 用户的。
接下来设置防火墙规则,此规则将设定内部使用者浏览 Internet 时必须要验证登录帐号和密码。建议按照网段将 intranet to internet 的策略分开,也就是不要将所有内容的 IP 套在同一条策略里,因为太多的 IP 会造成策略失效
 
 
出现“新建访问规则向导”,输入名称,点击“下一步”:
出现“规则操作”如下图配置,点击“下一步”
 
在出现的“协议”对话框里,如下图“添加”相应的协议:
 
选择协议“ HTTP ”和“ HTTPS ”点击“添加”,然后“下一步”
 
在出现的“访问规则源”点击“添加”
 
出现如下图点击“新建” 选择“计算机集”
 
出现下图所示:按照实际需求定义“规则源”,可以是单独的计算机,地址范围或者是某个子网,这里定义了一个内部网络的地址范围。点击“确定”。
 
选择我们刚刚 添加 的计算机集“ inside network , 如图:
 
这时候“访问规则源”里出现了“ inside network , 点击“下一步”:
 
出现定义“访问规则目标”,点击“添加”选择“外部”网络。点击“下一步”如下图:
 
出现“用户集”,点击“添加”出现“添加用户”框。点击“新建”,如图
 
出现“新建用户集向导”设置完毕点击“下一步”,如下图:
 
点击“添加”选择“ windows 用户和组”
 
将我们之前在 AD 中建立的 web user 群组加入到“用户集 , 点击“下一步”,如图
 
按照系统提示将 web user 加入到“用户集”中,“下一步”完成。
 
按照系统提示,完成规则的配置,当 ISA 有设置上的变动后,必须点击“应用”才能生效。
 
点击“应用”后我们可以看到一条定义好的规则:
 
因为 ISA2006 架设上来之后,预设是所有的协议关闭,包括 ISA 本机对内部网络和内部网络对 ISA 本机,外部网络和 ISA 本机。 所以还需要新增 2 条规则,如下图:
 
请大家自行建立,做为练习当配置完毕后, ISA 服务器是可以上网的。 接下来需要为 Clinet 电脑配置上网代理服务,点击“区域网路设定”
 
proxy 代理服务器,配置如下图所示,网址为 ISA FQDN, 端口号为 8080 ,如图
 
接下来我们在浏览器中输入 www.163.com , 会弹出如下画面,要我们输入用户和密码,这个时候我们需要输入之前 AD 里面建立的 web-user 群组里面的用户和密码才能上网。这时当我们把 Client 端的 IP 改为 172.24.5.10---172.24.5.30 之外的 IP 时,也是无法上网的。也就是说刚才我们的第一个规则限定了 IP ,并且还要求有帐号和密码才能访问外部网络。
 
这个时候我们发现虽然我们可以上网,但是无法使用 ping 命令来验证与外部网络的联通性,为什么呢?明明可以上网啊?如图:
 
原因是因为我们的防火墙规则只容许 HTTP, HTTPS 的请求通过,对于 ICMP 协议的流量我们是拒绝的。我们新增一个规则来容许 ICMP 协议通过我们的 ISA 防火墙。如图:
 
接下来,我们在 clinet 端测试看能不能 ping www.163.com , 成功 ping 通了。
 
现在我们来封杀 QQ 软件,基于以上的配置,我们使用 QQ 软件的时候,做如下配置是可以使用 QQ 软件的。如图
 
有没有办法来禁止用户使用代理来使用 QQ 呢?可以使用 ISA2006 的增强型 HTTP 配置来实现。配置如下:选择上网的规则“右键”点击“配置 HTTP ”如下:
 
在出现的“规则配置 HTTP 策略”中选择“方法”设置如图,点击“添加”,如下:
 
接下来在“签名”栏中“添加” ,如图中配置:
 
点击“确定”后,点击“应用”,使规则生效。
 
这时我们去 clinet 端测试,使用代理 QQ ,看还能不能使用 QQ 软件。如图,无法连接上代理服务器了,成功的封杀了 QQ 软件,相信这个时候大家不会头大了吧。
 
ISA2006 还带了强大的监视功能,能让你很清楚的知道,当前网络的一些情况。如图:
在“监视”模块里,“会话”显示出了当前有那些用户在使用 ISA 做代理上网,他们的 IP 和用户名都能显示出来,很方便我们的管理和查找。
 


 

 
实验三、使用 ISA2006 建立 PPTP ××× 实现远程接入
一、实验拓扑如图
二、实验要求:
   1 、公司使用 ISA2006 做为防火墙,同时域名为 inforen.cn ISA 服务器同时也是 AD+DNS.
   2 、公司因为业务需要有移动用户需要在外出办公的时候连到公司网络,访问公司资源。
   3 、要求用 ISA2006 部署 L2TP ××× 提供移动用户 ××× 服务。
三、思路分析:
   1 、假设 ××× 已经建立好,移动用户使用 ××× 拨号的帐号和密码如何设定?
   2 、当移动用户使用 ××× 连到公司网络后, IP 地址,网关, DNS 如何取得?
      以上 2 个问题我们先要解决。
四、实验步骤:
   1 、在 AD 上建立 OU= ***-user 再建立 ***-user 群组加入到 OU 中,在群组中建 ***1,***2 用户。
   2 、建立 DHCP 服务器,给 ××× 用户分配 IP 地址,网关, DNS 等网络参数,根据环境自定义。
   3 、在 ISA2006 服务器上部署 DHCP 服务器,配置相关防火墙规则
   4 、在防火墙规则中配置 DHCP 中继代理
   5 、在管理工具“路由和远程访问”中配置 DHCP 中继代理。
   6 、在 ISA2006 中启用 ××× 服务
   7 、建立一个允许 ××× 客户访问的内网访问防火墙策略。
五、实验过程:
   1 、在 AD 中建立 OU, 群组,用户过程略。
   2 、建立 DHCP 服务器,配置相关网络参数过程略。
   3 、在 ISA2006 中部署 DHCP 服务器,配置相关防火墙规则。
      默认情况下,当一台 ISA 服务器安装 DHCP 服务时, DHCP 服务器不会对请求作出相应。要使 DHCP 服务器运行,需要创建下列规则:
A、              一条允许从 DHCP 客户端所在的网络向本地主机网络发送 DHCP 请求规则。
B、              一条允许从本地主机网络向 DHCP 客户端所在的网络发送 DHCP 答复的规则。
      C 、为了避免与其他规则冲突,应确保配置的允许 DHCP 请求规则在规则排序中高于其他任何匹配 DHCP 请求的,使用名称解析的规则。
规则建立见下图,请大家对应下图红框自行建立,(注意规则的次序,不要违反 C 注意点)
 
接下来在防火墙中配置 DHCP 中继代理防火墙规则,见下图:(请自行建立红框中的规则):
 
接下来在“路由和远程访问”配置 DHCP 中继代理服务,如下图
右键单击“ DHCP 中继代理程序”,点击“属性”,将 DHCP 服务器的 IP 输入。
 
右键单击“ DHCP 中继代理程序”,点击“新增接口”,选择“本地连接” (注内部网络接口 ),点击“确定” 完成 DHCP 中继代理的配置:
 
接下来启用在 ISA2006 中启用 ××× 服务器,首先进行“配置地址分配方法”如图
 
在跳出的“虚拟专用网络属性”中做如下配置:
 
接下来“启用 *** 客户端访问”
 
在跳出的“ ××× 客户端属性”中完成“常规”配置,“组”配置,将 AD 中建立的 ***-user 群组添加到“组”中,点击应用。
 
然后配置“协议”和“用户映射”,配置如下图:
 
点击“应用”如下图
 
这个时候我们点击“选择访问的网络”可以看到“外部”已经被自动选定
 
 
我们还要建立一个允许 ××× 客户访问内部网络的防火墙规则如下图,请自行建立 最后在 AD 中给我们的 ××× 用户的帐号添加拨号权限:
 
到此我们已经配置完成 L2TP ××× 的配置,重新启动 ISA 服务器电脑。
接下来我们来测试是否可以使移动用户使用 ××× 连接到公司的网络。在“网上邻居”新建连接后如图配置新建连接的“属性”在“常规”中输入 ISA 的外部的 IP 地址,然后输入“用户名”和“密码”,就是我们在 AD 中建立的属于 ***-user 群组的用户和密码 .
 
最后可以看到“已经通过身份验证”,到此成功完成移动用户使用 L2TP ××× 连接公司网络的方案部署。
 
然后我们在 ISA 防火墙建立一条规则如下:
 
然后使用 ping 命令可以 ping ISA 防火墙也可以访问他的共享文件夹,而且能通过 DHCP 服务器能获得 IP 地址以及相关的网络参数,到此我们的实验已经成功
 
 
 
ISA2006 的“监视”,查看“会话”有一个激活的 ××× 客户端, IP 地址是 172.24.5.34 ,用户是 ×××1 ,如图:
 
 
 
 


实验四、使用 ISA 建立站点到站点的 ×××
 
一、实验拓扑图如上。
   1 、请大家按照拓扑图所示搭建好实验平台,网卡 IP 地址请按图中配置。
二、实验要求
   1 2 台电脑装 2 台虚拟机,一台 AD+ISA2006+DNS, 一台 Client 端。
   2 inforen.cn 域用户能够通过 ××× 访问 Itrenclub.cn 域中的资源。同样, Itrenclub.cn 域中的用户能通过 ××× 访问 inforen.cn 的资源。
  3 、分别在 2 ISA 服务器上配置好 DHCP 服务和 DHCP 中继代理服务,和配置好防火墙规则。(配置过程参见实验 3
   4 、在 inforen.cn 中建立用户 remote, 并赋予拨号权限,在 itrenclub.cn 中建立用户 main ,赋予拨号权限。(过程略)
三、实验步骤:
   1 、在 inforen.cn 上建立远程站点。
   2 、在 inforen.cn 上建立网络规则。
   3 、在 inforen.cn 上建立访问规则。
   4 、在 itrenclub.cn 上建立远程站点。
   5 、在 itrenclub.cn 建立网络规则。
   6 、在 itrenclub.cn 建立访问规则。
   7 、在 itrenclub.cn 上为远程站点拨入建立用户。
   8 、测试 ××× 连接。
  四、实验过程:
   1 、为了便于我们测试,先在 ISA 防火墙里定义个规则:
       A 、允许内部到外部的所有访问、所有网络到本地的 ping 。如图:
 
 
先再 inforen.cn 上配置站点到站点的 ××× ,打开 ISA2006 控制台,点击“虚拟专用网络”,点
击右边任务面板中的“添加远程站点网络”
 
在“欢迎使用网络创建向导”页,输入远程站点的名字,在此命名为 main ,点击“下一步”
 
在“ ××× 协议”页,选择“点对点隧道协议( PPTP )”,点击“下一步”
 
在“连接所有者”页,选择 ISA 服务器阵列成员:
 
在远程站点网关,输入 itrenclub.cn 外部网络地址,如图:
 
 
在“远程身份验证”页中,输入的用户名必须和远程 ××× 网关上具有拨号权限的对应远程站点的用户名和密码,注意,这个用户名和密码必须和远程 ××× 网关上设置的远程站点名字相同,在后面我们在 itrenclub.cn 上建立,在这里先输入用户 remote 和对应的密码。点击“下一步”继续:
 
在“网络地址”页,点击“添加”输入远程子网的 IP 地址范围 ,如图:
 
在“远程 NLB” 页,不要选中红框中的选项,点击“下一步”,如图:
 
在“点对点连接向导”页,保持默认设置不变,点击“下一步”:
 
在“点对点网络访问规则”页,为方便测试做如下配置,实际工作中按需求来选择相关协议,点击“下一步”:
 
点击“完成”后,应用新的规则后,重新启动 ISA 服务器。
itrenclub.cn 的建立的过程是一样的,要注意的是,远程站点的 IP 地址,站点的名称。
用户名必须和远程 ××× 站点名称一致,用户要有拨号的权限。
 
 
 
    实验五、使用 ISA2006 发布 WEB 站点
 
一、实验拓扑图如上
二、实验要求:
   1 、公司现在有一台 WEB 服务器, IP 地址是 172.24.5.10 ,现在要使用 ISA2006 发布这个
WEB 站点
三、实验步骤:
   1 、首先在 WEB 服务器中架设一个 WEB 站点,过程略
   2 、在 ISA2006 服务器中发布这个站点。
四、实验步骤:
   1 、我们将发布位于内网 IP 172.24.5.10/24 WEB 服务器上的站点,其中 ISA 服务器
其中 ISA 服务器的内部接口为 172.24.5.1/24. 首先,我们打开 ISA 2006 的管理控制台,展开你的服务器,在防火墙策略上面点击右键,选择新建,然后点击“网站发布规则”:
 
在“新建 Web 发布规则向导”输入 web 发布规则名称:
 
选择“允许”规则,点击“下一步”
 
在“发布类型”选择“发布单个网站或负载平衡器”,点击“下一步”
 
在“服务器连接安全”选择图中框中的选项:
 
在“内部发布详细信息”配置如图,站点名称为 WBE 服务器内部站点的名称,点击“下一步”:
 
 
在“内部发布详细信息”,如下图配置,可以不用配置。点击“下一步”:
 
在“公共名称细节”做如下图配置:
 
在“选择 WEB 侦听器”,配置如下图:
 
在“身份验证委派”中选择“基本身份验证”如图:
 
在“用户集”选择“所有用户”,“所有通过身份验证的用户”,如下图:
 
点击“完成”“应用 ” web 发布规则,使用 ISA2006 发布 WEB 站点结束。