金葉集團ISA2006安裝操作手冊.doc
下載文檔
上傳人:職z****i
編號:1345870
2025-03-04
52頁
2.17MB
1、金葉集團ISA2006安裝操作手冊文檔ID 版本號V日 期2007年7月13日編 寫MR.Right校 對 批 準 上海金葉通訊科技有限公司 網址:目錄硬件需求3Windows2003的安裝4ISA2006的安裝4ISA2006常用的訪問策略創建131、顯示系統策略規則132、新建一條允許內部客戶訪問外部網絡的所有服務的訪問規則143、新建一條允許內部客戶訪問ISA Server 2006務器上的DNS服務的訪問規則184、啟用緩存205、取消FTP的只讀27ISA 2006標準版上利用Bandwidth Splitter定制帶寬和限制流量291、Bandwidth Splitter的安裝292、ISA2006策略的導出與導入45策略的導出45策略的導入49硬體需求要使用 ISA 伺服器,需要: CPU:至少550MHz; 記憶體:至少256MB; 硬碟空間:150MB,不含緩存使用的磁碟空間; 緩存需要存放在NTFS分區上;作業系統:Windows Server2003 或 Windows2000 Server 作業系統。但是如果在運行 Windows2000 Server的電腦上安裝 ISA Server 2006伺服器,那麼必須達到以下要求:必須安裝 Windows2000 Service Pack4 或更高版本; 必須安裝 Internet Explorer6 或更高版本; 如3、果您使用的是 Windows2000 SP4 整合安裝,還要求打KB821887補丁(“為 Windows 2000 授權管理器運行庫配置審核時,安全日誌中未記錄授權角色的事件”,可在本站下載); 網路適配器:必須為連接到 ISA Server 2006伺服器的每個網路單獨準備一個網路適配器,至少需要一個網路適配器。但是在單網路適配器電腦上安裝的ISA Server 2006伺服器通常是為發佈的伺服器提供一層額外的應用程式篩選保護或者緩存來自 Internet 的內容使用。 DNS伺服器:ISA Server 2006伺服器不具備轉發DNS請求的功能,必須使用額外的DNS伺服器。你或者在內部網4、路中建立一個DNS伺服器,或者使用外網(Internet)的DNS伺服器。 網路:在安裝ISA Server 2006伺服器以前,應保證內部網路正常工作,這樣可以避免一些未知的問題。Windows2003的安裝windows2003的安裝請參考工程部文檔金葉集團Exchange郵件系統方案及用戶簡易使用手冊,並打好SP2補丁ISA2006的安裝雙擊ISA2006安裝程式,點擊安裝ISA SERVER 2006出現如下資訊點擊“下一步”選擇“我接愛許可協議中的條款”點擊“下一步”輸入“產品序列號”點擊“下一步”選擇“同時安裝ISA Server 服務 和 配置存儲伺服器(0)”,點擊“下一步”默5、認安裝位置為“c:program files=Microsoft isa server ”根據實際情況可以更改安裝路徑,點擊“下一步”選擇“創建新ISA伺服器企業(E)”,點擊“下一步”點擊“下一步”點擊“添加”按扭點擊“添加範圍”,輸入相應的位址範圍後,按“確定”按扭點擊“下一步”點擊“安裝”選擇“允許不加密的防火牆用戶端連接”點擊“下一步”點擊“完成”。ISA2006常用的訪問策略創建1、顯示系統策略規則在安裝 ISA Server 2006伺服器時,會創建默認的系統策略。系統策略允許 ISA Server 2006務器訪問它連接到的網路 的特定服務。在防火牆策略上點擊右鍵,指向“查看”,6、然後點擊“顯示系統策略規則” 右邊出現了系統策略,如下圖所示,標注的地方表明,ISA Sevrer 2006務器可以像任何網路 發起DNS請求。 注意:所有系統策略類別都是在安裝 ISA 伺服器時默認啟用的,我們建議你根據自己的需求來禁用不需要的系統策略類別。2、新建一條允許內部客戶訪問外部網路的所有服務的訪問規則在防火牆策略上點擊右鍵,指向“新建”,然後點擊“訪問規則”。 在“新建訪問規則嚮導”的訪問規則名稱文本框中,輸入“Allow To Internet”,然後點擊“下一步”。然後在“規則操作”頁,選擇“允許”,點擊“下一步”; 在協定頁,選擇“所有出站通訊”,點擊“下一步”; 在訪問規7、則源頁,點擊“添加”,在“添加網路 實體”對話方塊,雙擊“內部”,然後點擊“關閉”,點擊下一步;o 在訪問規則目標頁,點擊“添加”,在“添加網路 實體”對話方塊,雙擊“外部”,然後點擊“關閉”,點擊下一步;在用戶集頁,接受默認的所有用戶,點擊下一步;在新建訪問規則嚮導頁,回顧你選擇的設置,然後點擊“完成”;3、新建一條允許內部客戶訪問ISA Server 2006務器上的DNS服務的訪問規則主要步驟和上面一條一樣,不同的地方:規則名:Allow internal acces firewalls dns service協定頁選擇“所選的協定”,然後點擊“添加”選擇通用協定下的“DNS”。訪問規則8、目的為“本地主機”:此時,ISA Server2006管理控制臺應該如下圖所示,點擊“應用”以保存修改和更新防火牆策略。在應用新配置對話方塊,點擊“確定”。此時,ISA Server 2006務器的初步配置已經完成,內部客戶可以訪問外部網路 的所有服務,也可以訪問ISA Server 2006務器上的DNS服務。注意:只能訪問ISA Server 2006務器上的DNS服務,其他的服務都會被禁止(如ping等),因為你沒有在策略中明確允許這一點。4、啟用緩存啟用緩存啟用緩存有兩個條件,首先是設置了緩存所用的驅動器,其次是設置緩存規則。設置緩存所用的驅動器在ISA Server2006理控制臺的9、“緩存”上點擊右鍵,選擇“定義緩存驅動器”。注意,此時的緩存上有個向下的紅色箭頭,表明沒有啟用緩存。在定義緩存驅動器對話方塊中,根據你自己的網路 帶寬及流量進行設置,不過需要注意的是,緩存驅動器必須採用NTFS分區格式。設置緩存規則此時“緩存”上已經沒有向下的箭頭了,表明已經設置了緩存驅動器。在“緩存”上點擊右鍵,指向“新建”,點擊“緩存規則”。 在“新緩存規則嚮導”頁,輸入名稱“Cache externalcontent”,然後點擊“下一步”。在緩存規則目標頁,點擊添加,選擇“外部”,點擊“下一步”; 在內容檢索頁,接受默認的“只有在緩存中存在物件的.”,點擊“下一步”在緩存內容頁,接受默認10、的“如果源和請求頭指明要緩存”,你可以根據你的需要勾選下面的選項,點擊“下一步”;在緩存高級配置頁,根據你自己的需要進行設置,點擊“下一步”; 在HTTP緩存頁,接受默認的選項,點擊“下一步”;在FTP緩存頁,取消“啟用FTP緩存”的勾選(你可以根據你的需求進行設置),點擊“下一步”;在新緩存規則嚮導頁,回顧你的設置,然後點擊“完成”。點擊“應用”以保存修改和更姓防火牆策略,ISA Servero2006彈出一個警告提示你,選擇“保存更改,並重啟動服務”,然後點擊“確定”。成功後你會在緩存規則欄裏面看見新的緩存規則。5、取消FTP的唯讀ISA Server2006認是不允許FTP上傳的(即不能11、寫FTP伺服器)。取消的辦法是:在允許訪問FTP伺服器的規則上(在這兒是Allow all outboundtraffic)上點擊右鍵,然後選擇“配置FTP” 在配置FTP協定策略對話方塊中,取消 “唯讀”的勾選,點擊確定,最後點擊“應用”以保存修改和更新防火牆策略。ISA 2006標準版上利用Bandwidth Splitter定制帶寬和限制流量1、Bandwidth Splitter的安裝雙擊“bsplitter2004.exe”可執行檔點擊“Next”,選擇“I accept the agreement”後,點擊“Next”點擊“Next”選擇“Dont create any icons12、”,點擊“Next”點擊“Install”點擊“確定”點擊“Finish”完成。安裝後的介面如下圖,選中“BandwidthSplitter”,單擊右鍵,可以看到一些常選項,像配置(全局)的導入、導出就可以在此完成。(請注意:shapingrules、quotarulesquotacounters、monitoring)在剛才的下拉視窗介面中,+的,1絡$Odygr7W選中“屬性”,在“ABOUT”選項看到版本資訊。在“屬性”視窗中,點選“DATABASE”。在下面“databasetype”有兩種資料庫類型可供選擇:ACCESS;MSSQLSERVER,如果選擇MSSQLSERVER,下面的13、LOGONUSERNAMELOGONPASSWORD後面的空格就可選了。此處安裝選用ACCESS。在“屬性”視窗中, l網S提P件zc供9點選“ADVANCED”。可以看到如下圖的一些選項,因為不是重點,偶就只貼圖,不多說明。在“屬性”視窗中,點選“LICENSE”。可以看到當前安裝的版本是未註冊的(支援正版哈),只能管理25個用戶端。在“CLIENT”對話方塊中,有目前99段IP的被充許的用戶,自動添加的,只有對外有流量,有連接,就會自動添加此選項中。2、“SHARPINGRULES”的重點介紹及應用“sharpingrules”它的功能用一句話說明就是,設定在不同的時間內不同來源的用戶端(14、和ISA網路相關的IP位址範圍,以及和域有關的用戶組)到不同的目標網路的流量(進出,進,出)限額。右鍵單擊“sharpingrules”,新建“rules”,彈出規則創建嚮導,並在接下來的對話方塊中輸入規則名“limit99”,下一步,在“APPLIESTO”介面,源選擇“IPaddresssetsspecifiedbelow”,關點選“add”,在彈出的“ADDNETWORKENTITIES”介面,就是很熟悉的面啦,是不是很類似在ISA控制面板的右側“工具箱”“網路物件”呢,對對,就是它啦。(如果選擇“Usersetsspecifiedbelow”,再點擊“ADD”時,彈出來的選項,就如同I15、SA控制面板右側“工具箱”“用戶”啦。)這裏,選擇源“內部”。下一步, Z軟育njZQ0理I專n在“Destinations”,點擊“ADD”,彈出的對話方塊,也是ISA中所定義的網路物件,此處選擇“外部”。 下一步,在“Schedule”,選擇下拉清單中選擇“always”。下一步,在“SHAPING”介面,可供選擇的項較多,各位可以根據需要來做出選擇,這裏,我選擇了“shapeincomingandoutgoingtraffic”,並在“incoming(kbits/s)”填入2000,在“outgoing(kbits/s)”填入2000.並點選dontshapecachedwebcont16、ent。(因為我在ISA控制面板緩存選項,做了WEB緩存下載,選擇此項,可以讓此不受這個規則的限制)下一步,在“ConnectionSettings”介面,在空框中填入4000,這裏是所有內部用戶HTTP連接的限制數值。下一步,在“shapingtype”介面,在“shapingtype”,選擇“Assignbandwidthindividuallytoeachapplicableuser/address”。此項應用的物件是定制的用戶或位址,而另外一項,應用的物件是所有用戶或位址。下一步,在“extraparameters”介面,點選“dontcounttrafficonaccountoftr17、afficquota”。下一步,完成整個操作。完成“shapingrules”新規則的建立後, Z3l*yYOHFX專lDy還要把它應用起來,如下圖,單擊下圖中帶有對號的綠色圖示,以使此規則生效。點“shapingmonitoring”就可以看到右側一些奇妙的東東啦,你會發現,就連用戶訪問的網址路徑也能顯露無遺。實際上,“shapingmonitoring”右上面板,還有相當多詳細的資訊可以展現給用戶的。ISA2006策略的導出與導入再穩定的機器也有出問題的時候,所以要經常將一些重要策略進行備份策略的導出 打開ISA 伺服器管理器 右擊“防火牆策略”,選擇“導出”點擊“下一步”如果要導出機密資訊,就打鉤,點擊“下一步”輸入檔存放路徑和檔案名,點擊下一步點擊“完成”點擊“確定”。策略的導入 打開ISA 伺服器管理器 右擊“防火牆策略”,選擇“導入”點擊“下一步”,輸入指定要從中導入的檔(完整路徑)點擊“下一步”如果要導入伺服器特定資訊就打鉤,點擊“下一步”點擊“完成”點擊“完成”。最後點“應用”保存並啟用配置。