Windows域环境下部署ISA Server 2006防火墙（二）

利用ISA 防火墙实现安全快速上网

本次接上回，上次咱们在 windows 域环境中部署了 ISA Server 2006, 安全性确实提高了，但也有点“太高了”，因为现在用户只能在局域网里活动，连最基本的上网服务都无法使用。
     这次就来解决这个问题， 利用 ISA 防火墙策略及缓存实现用户安全快速上网。我们分两部分来说，第一部分先使用防火墙策略，把内网用户上网的问题解决了。第二部分再来优化部署加快访问速度，提高效率。下面是拓扑图：

 

可以看到基本上还是上次的图， DMZ 区咱们先不看。后面说服务器发布时才会说到的。在外网上多了一台 web 服务器，主机名为： www.IT.com  IP 为 61.134.1.10/8 ，（注意公网 DNS 我也做到这上面了）现在我们要做的就是能让内网用户通过域名的方式成功的访问 web 主机，并通过配置缓存加快其访问外网的速度。

下面开使实施：

第一部分：配置放火墙策略使内网用户能够访问Internet

1. 在 ISA 服务器管理的控制台中，选中防火墙，现在可以看到是空的，我们将要在这里添加访问策略。如图：

 

２．右击防火墙策略，选择新建然后选择访问规则。如图：

 

３．在弹出的新建访问规则向导中，键入访问规则的名称。我们这里因为是给内网用户访问 Internet 用的，所以我们键入一个名称“内网用户到 Internet ”来做一个标识。

 

4. 这里选择允许，就是说我们允许符合这个规则的对象去做什么。如果要拒绝某个对象，比如我们不让财务部的小财访问 Internet 。我们就可建一条拒绝的策略。

 

5. 现在是让我们选择协议。因为我们只有上网的需求，所以只须选择 DNS 、 HTTP 、 HTTPS 就可以了。如果要收发邮件或使用 FTP 啊其它什么的，就可以都添加进来就是了。有很多协议可以选。

 

6. 现在让我们选择访问规则源，也就是说从什么地方来的。我们这里就选择内部。因为我们现在是一个从内网到外网的访问过程。

 

7. 刚才是打哪儿来，现在是到哪儿去，当然是选择外部喽！如图：

 

8.  现在是让我们选择这个规则将会应用到哪些用户集，这里可以选择“所有通过身份验证的用户”、“系统和网络服务”、“所有用户”，咱这里选择所有用户，因为我们目的是让所有内网用户访问 Internet.

 

9. 好了现在这条策略就设置好了，应用一下点击确定就可以了。如图：

 

现在我们到客户机上来看看能否访问。我们用这台 IP 为 192.168.1.11/24 的内网用户测试一下。

 

看到下图，说明策略生效了，内网用户可以使用域名成功的访问 Web 主机。

 

注意：我这里用了一台 Linux 服务器模拟 web 服务器，并且安装了 DNS 。为了内网用户能够使用域名访问 Web 主机，还得在内网的 DNS 服务器（我这是和 DC 集成到一起的）上做转发器转到外网的 DNS 上。

现在上网的问题解决了，可能过不了多久就会有员工像你抱怨。上网速度太慢了，能否加快一点。这时我们可以通过启用 ISA Server 的缓存功能来实现这个需求。

第二部分：加快内网用户访问Internet 的速度

1.       在“ ISA 服务器管理”的控制台树中，单击“缓存”。然后在详细信息窗格中，选择“缓存驱动器”选项卡，位置如图所示：

 

2.       然后在缓存驱动器选项卡里选择要设置的驱动器，咱这里 C 盘是系统，那就用 D 盘吧，

把缓存大小设置为 2000MB ，单击设置，再确定就好了。

 

注意：缓存的大小要根据实际情况来设置

3.       现在可能会弹出一个警告对话框，我们选择第二项“保存更改，并重新启动服务”。点击确定之后，应用策略。

 

4 ．现在到缓存规则选项卡中，点击任务栏中的“配置缓存设置”。如图：

 

5.       选择高级选项卡中的“在内存中缓存的 URL 的最大大小（字节）”的文本框，设置信息如图所示，还是比较好理解的，就不��嗦了啊！

 

设置完毕后我们到 D 盘下，会看到系统自动生成了一个用于存放缓存内容的数据库文件（注意这个文件是无法打开的）。

 

好了，经过这样一设置之后。内网用户访问 Internet 时速度会因为缓存而大大提高。内网用户会访问到实时的信息，因为缓存是动态更新的。

本次就说到这里吧！希望大家能活学活用， ISA Server 策略非常的多，而且运用起来千变万化，但原理都是一样。只要始终记得从哪里来，到哪里去，使用什么协议、端口是拒绝还是允许就觉得很简单了。

下次将会看到利用 ISA Server 2006发布DMZ区中的Web服务器及邮件服务器。