《ISA服务器设置文档.doc》由会员分享,可在线阅读,更多相关《ISA服务器设置文档.doc(28页珍藏版)》请在三一文库上搜索。
1、ISA服务器设置文档一:网络情况分析2二:安全规则集合2三:过滤规则3四:添加防火墙策略5五:ISA服务器设置10六:配置网络及缓存规则14七:设置远程管理20附录1:安装ISA服务器管理组件23附录2:设置声明28一:网络情况分析云浮移动共有54个营业厅,总计有350多台电脑需要访问Internet。为了更安全、更高效的访问Internet,将二级代理服务器的软件ccproxy更改为Microsoft ISA服务器。ISA Server有3种不同的安装模式:防火墙(Firewall)模式、缓存(Cache)模式和集成(Integrated)模式。由于云浮移动的网络有足够的防火墙,并且本服务器
2、是做为二级代理服务器的,所以在本服务器中,只使用缓存(Cache)模式,不为连接本服务器的客户机提供防火墙服务。本服务器有两张网卡,地址分别为10.247.196.160/255.255.255.0(指定为内网网卡,不设定默认网关)和10.247.195.*/255.255.255.0(指定为外网网卡,需要设定默认网关)。并将下面的路径添加到路由表中,在windows开始-运行-CMD,输入以下命令行:必须添加一条路由,指定到10.243.184.40和10.247.192.70走那一个网卡.C:route add 10.243.184.40 mask 255.255.255.255 10.2
3、47.195.254 路由 添加 特定的主机地址 掩码 下一跳地址C:route add 10.247.192.70 mask 255.255.255.255 10.247.195.254指定与内部网络的路由(注意,必须这样指定,因为ISA服务器的两块网卡都使用的是10.0.0.0/8的私有地址。)C:route add 10.247.208.0 mask 255.255.240.0 10.247.196.254C:route add 10.247.198.0 mask 255.255.255.0 10.247.196.254二:安全规则集合1,定义内部网络地址集合内部网络包括两部分:1)营业
4、厅地址段。10.247.212.0/22(营业厅VLAN1网段,提供给业务办理机使用)、10.247.216.0/22(营业厅VLAN10网段,提供给业务体验机使用),10.247.220.0/24(新建营业厅VLAN1网段,提供给业务办理机使用),10.247.219.0/24(营业厅VLAN10网段,提供给业务体验机使用),10.247.210.0/24、10.247.209.0/24和10.247.221.0/24(营业厅路由器地址)。2)远程管理计算机。10.247.195.0/24和10.247.196.0/24两个地址段为维护人员的管理地址。三:过滤规则以下站点是开通允许的,非以下
5、所列明的站点皆为禁止1,打开 开始-程序-Microsoft ISA Server-ISA 服务器管理(如下图1, ISA 服务器管理),在防火墙策略-工具箱-网络对象-新建-URL集(如下图2,定义新的URL集合)。图1, ISA 服务器管理图2,定义新的URL集合新建一个名为“营业厅可访问网站IP地址集”的URL集,并添加以下的URL和计算机集:*; *; *; *; *; 211.139.*; 211.136.*; *; 221.130.*; *; *; 203.86.*; *; 218.200.*; *; *; *; *; *; 58.62.113.*; *; 61.50.*; 10.
6、*; 218.200.*; *; *; *.h3c.*; *; *; *; *; *; 60.190.*; *; *.imobile.*; *.sz1860.*; *.17288.*; *.m-zone.*; 218.205.*; *.gdsq.*; *.126.*; *.163.*; *.misdb.*; *.yunfu.*; *.misapp.*; *; 211.130.*; 218.204.*; *; *; *; *; *; *; 2,定义QQ服务器。在ISA服务器管理-防火墙策略-工具箱-网络对象-新建-计算机集,建立一个名为QQ的计算机集,并把下面的地址加进去。61.141.194.
7、223,61.141.194.203,61.141.194.227,61.141.194.207,61.141.194.200,61.144.238.145-61.144.238.146,202.104.129.251-202.104.129.254,202.104.128.233202.96.140.8,202.96.140.12,202.96.140.18,202.96.140.119,202.96.170.163-202.96.170.164218.18.95.220-218.18.95.221,218.66.59.233,219.133.49.5-219.133.49.6 ,VIP登陆
8、服务器地址:218.17.209.42同理,建立一个名为飞信服务器的计算机集,把下面的地址加进去:221.130.45.0/24221.176.0.0/16同理,建立一个名为msn的计算机集,把下面的地址加进去:65.54.225.254,65.54.226.254,65.54.228.244,65.54.228.253,65.54.229.248,65.54.229.253,65.54.225.241,65.54.226.2473,定义内部服务器地址和URL。新建一个名为内部服务器的URL集,将*加进去。新建一个内部服务器的计算机集,将10.0.0.0/8加进去。四:添加防火墙策略以下的防火
9、墙策略提供给本服务器去判断那些代理请求是可放通的。1,添加WEB访问规则在ISA服务器管理-防火墙策略-任务-创建访问规则(如下图3,创建访问规则),创建名为“营业厅访问WEB”的规则。规则操作为“允许”(如下图4,定义规则操作)。协议选择为“所有出站通讯”(如下图5,规则应用到的协议)。指定源地址和目的地址(如图6,指定源地址和图7,指定目的地址)。下一步,指定这个规则是应用于哪些用户的(如图8,指定应用于哪些用户)。设置完成。图3,创建访问规则图4,定义规则操作图5,规则应用到的协议图6,指定源地址图7,指定目的地址图8,指定应用于哪些用户2,同理,设置好开通飞信、QQ和MSN的应用。3,
10、设置远程管理。在ISA服务器管理-防火墙策略-任务-编辑系统策略,(如图9,编辑系统策略),勾上“起用此配置组”。开启这个选项后,我们就可以通过远程管理主机的ISA服务器管理来远程管理本服务器。再开启远程管理主机的PING功能,允许远程管理主机PING 本服务器。(如图10,开启ICMP(Ping)图9,编辑系统策略图10,开启ICMP(Ping)4,应用刚才所做的修改(如下图11,应用策略)。所有策略在应用后,若不重新启动服务器,新修改的策略都不对已经连接的图11,应用策略五:ISA服务器设置1,ISA服务器管理1)使用ISA服务器管理中的仪表板。(如下图12,仪表板)。在仪表板中,有以下的
11、功能:(1)连接性验证程序。(2)警报。(3)服务。(4)会话。图12,仪表板管理员可通过仪表板直观的去了解ISA服务器的使用情况。2)设置警报功能(如图13,配置警报定义)。可在ISA服务器管理-监视-警报-任务-警报任务-配置警报定义(如图14,设置警报阀值),可根据实际来自定义警报阀值。图13,配置警报定义图14,设置警报阀值3)同理,可在相应的页面定义好各项功能。4)配置日志定义。在监视-日志-任务-配置防火墙日志-字段(如图15,设置防火墙日志)。特别声明,不要添加太多的字段,否则,日志会呈几何倍数的增长,把硬盘空间添慢。图15,设置防火墙日志5)使用日志筛选器。在监视-日志-编辑筛
12、选器(如图16,编辑筛选器)。这里可以定义好你输出的监控日志。在本例中,我把本机的地址添加进去,以获取我需要的日志记录。(如图17,日志输出实例)图16,编辑筛选器图17,日志输出实例六:配置网络及缓存规则1,配置本服务器的网络(如图18,配置网络)。在配置网络前,必须仔细想清楚自己的网络设计,分析好那些地址是内部地址,那些是是外部地址,并画好拓扑草图,确认无误后,才开始配置。在ISA服务器中,强制定义外部地址为明确定义为内部地址外的所有地址。图18,配置网络设置内部的代理(如图19,开启代理端口)。注意,此出所填写的HTTP端口将来会应用在客户机上的IE代理设置。在本地的实际应用中,为了方便
13、,我们延续使用808端口做为代理端口。并且,在代理设置中再定义一个对本地服务器不使用代理的策略。(如图20,本地服务器的策略)图19,开启代理端口图20,本地服务器的策略2,设置网络规则集(如图21,网络规则集)。在“网络关系”中,设置为“路由”。图21,网络规则集3,设置WEB链。在WEB链中,我们可以指定上一级代理服务器。这样,客户端发来的WEB访问请求都会转发到上一级代理服务器中(如图22,WEB链)。设置如下:网络-WEB链-任务-创建新的WEB链规则-WEB链名为“营业厅网络”-目标通讯为“外部”-“将请求重定向到指定的上游服务器”(如图23,数据重分发)-上游服务器地址填写为一级代
14、理服务器地址(如图24,指定上级代理服务器。该处填写的最好是上级代理服务器的IP地址,以避免DNS解析错误带来的影响)-当路由不可用时忽略请求(如图25,路由不可达忽略请求)-完成。同理,再新建立一个本地的WEB规则链,让本机访问内部服务器(如*或10.247.252.*等)。规则如下设置:网络-WEB链-任务-创建新的WEB链规则-WEB链名为“本地访问”-目标通讯为“内部,内部服务器URL,内部服务器计算机集合”-“从指定目标直接检索它们”(类似看图23)。设置完后,如无意外,防火墙就放通了本机访问*和10.247.252.*。图23,数据重分发图24,指定上级代理服务器图25,路由不可达
15、忽略请求4,设置缓存规则。先开启缓存功能,并设置好缓存大小(如图26,设置缓存大小)。设置缓存规则(如图27,设置缓存规则和图28,设置缓存存储和检索)设置内容下载作业(图29,设置内容下载作业和图30,计划下载时间)。图26,设置缓存大小图27,设置缓存规则图28,设置缓存存储和检索图29,设置内容下载作业图29,计划下载时间七:设置远程管理远程管理分为:SNMP远程管理,远程桌面和ISA服务器管理。1,SNMP设置1),安装好SNMP服务。2),在控制面板-管理工具-服务-SNMP Service里面的属性对话框中(如下图30,SNMP属性窗口),选择“安全”-“接受团体名称“-”添加“(
16、如下图31,设置SNMP团体名称),选择团体属性为只读,团体名称自由设定,但必须长度为8位以上,以数字、字母、特殊符号混合组成。设置好团体名称后,在”安全“属性页中,选择”接受来自这些主机的SNMP包“(如图32,SNMP安全主机设置),并指定那些主机可以使用SNMP管理本机。3),ISA防火墙定义规则,放通到本机的SNMP管理。图30,SNMP属性窗口图31,设置SNMP团体名称图32,SNMP安全主机设置2,远程桌面和ISA服务器管理只要在系统策略中开启终端服务和Microsoft管理控制台,并将管理主机的IP地址添加进“远程管理计算机”中就可以了。另,若要使用ISA服务器管理这个功能,必
17、须在管理主机上面安装该软件。(详细的内容如附录1,安装ISA服务器管理组件)附录1:安装ISA服务器管理组件安装ISA服务器管理组件在ISA服务器中可以指定某台主机为远程管理主机。管理人员通过ISA服务器管理组件来远程管理ISA服务器。一:安装条件要使用 ISA 服务器管理,需要满足以下条件: 1)Microsoft Windows Server 2003 SP1 或 Microsoft Windows Server 2003 R2 操作系统。 Microsoft Windows XP SP1 或 Microsoft Windows XP SP2 操作系统。2)不能在 64 位版本的 Wind
18、ows Server 2003 或 Windows XP 操作系统上安装 ISA Server 2006。不能在 Microsoft Windows Server 2003 操作系统 Web 版上安装 ISA 服务器管理。3)256 MB 或更多内存。二:安装过程声明:本安装过程是以windows xp sp2操作系统,ISA2006 标准版为例。1,将ISA服务器软件的光盘放到光驱,运行setup后,出现以下界面(图一,ISA2006 SE的欢迎页面。图二,安装向导。图三,接受安装协议。图四,选择安装目录)图一,ISA2006 SE的欢迎页面图二,安装向导图三,接受安装协议图四,选择安装目录
19、2,出现安装错误。(如图5,安装错误)。该错误是说在安装目录找不到msfpccom.interop.dll,这是由于该软件包缺少了一个DLL。这个错误可忽略。到了安装完成后再复制msfpccom.interop.dll到安装目录就可以解决这个错误。图5,安装错误3,安装好软件并把刚才的msfpccom.interop.dll文件复制到安装目录(默认目录是C:Program FilesMicrosoft ISA Server),运行“开始-程序-Microsoft ISA Server-ISA 服务器管理”,出现以下对话框。(图6,ISA 服务器管理。图7,连接到远程ISA服务器)。请注意,你连
20、接的服务器必须要将本机的IP地址加进“远程管理计算机”中,并且用户名和密码都需要是ISA服务器上的管理员帐号和密码。图6,ISA 服务器管理图7,连接到远程ISA服务器4,远程连接后出现以下的界面。(如图8,远程ISA服务器管理)。那么就可以对ISA服务器进行完全的管理。图8,远程ISA服务器管理附录2:设置声明本文档是以云浮移动的ITC为营业厅建设二级代理服务器而写,为当前所做的工作做一个总结,也是为后续的维护工作提供依据。本文档以Windows 2003 EE操作系统,ISA 2006SE软件为基础。服务器配置为DELL PowerEdge SC430,P4 3.0双核CPU,1G的ECC
21、内存,300G的SATA硬盘,Broadcom的1000M网卡。另:本人在实际操作过程中发现,ISA对内存和网卡的要求比较高。对CPU的要求基本可忽略不记。对于提供WEB代理的,请考虑该服务器的I/O和硬盘的读写能力。粗略统计,若所连接客户端在50人以下,可用3COM的100M网卡,上连的交换机或路由器必须提供全双工的100M连接。 若所连接客户端在50人以上,200人以下,必须使用1000M的服务器网卡。建议使用Broadcom或Intel的全双工1000M网卡。实际上,这些网卡提供的不单是高速的连接,更是提供强大的连接响应能力。内存必须达到1G以上,建议使用2G内存。为了满足更高的I/O能力,建议使用入门级的服务器(1万元以下的)。其中,DELL的SC440已经可以提供这个级别的应用。