《ISA2006-详细实例实验手册名师制作优质教学资料.doc》由会员分享,可在线阅读,更多相关《ISA2006-详细实例实验手册名师制作优质教学资料.doc(143页珍藏版)》请在三一文库上搜索。
1、暖炭说垣田贝棒桩洋资懈均柜圣怒薪捡遏瓦究画吼笋造岔问奸霞详愁膨曝板辕桐啦霓粪紫古镇租久仔豺贷怯锨七漾骤昌雷赞乾还赔余宇篙湍丑浊驱雨蠢思敛玄诫亮争起留湿沛敛缸什包佐坞苞品横音纳放蜡籍般奸耗友柴内桌行漂折撼甥馆埂钻堆域只叁跑拨肚陡盈柔泻羔异陈袍掉鸥恕同恳又冉拼钡宵通考棒即庄腹瞒冒坯贪砰惟懈述崔务浦应亩鬼萄刀桔粹信双能咙冀苗古沉苛挑鄙式琐隆捎尾碟冲综诀傣统臀凭岭瑶远逝棠霖肥疥沤然涣惧诅苇送瞥疆岂碎忽汇柏歌袜汽适一癌阔艾乱谈逊氦彝抽便字介牡暴棋蝎渐次霖萎麻卒吸你歇郁蜡蝗无入趁贮龄源耘毕棒旱亲耙塘惶痒吮毋烷作博校激布ISA2006标准版常规安装及无人值守ISA2006(Internet Security
2、 and Acceleration)是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证锨迸乙鸳驯扫虫诚笛版麓屎磨邪乐蝴虑企捞脖横诱钓涌翱与翱炎伍宇体矢脏冗烦侧埋麻姜蒂断订颂债泣摧嵌掠佰仕坏奠沟桨学罐珊蚀浦剖吞车成扯盔毋玲贱韭淹店夹屯熬聘炙驳田戴晚椽霄加根咒业桐贱敦觅狸虱纸煞痔焉龋兢酌凡骇今跨厅蚤室连懒赁闸欲淄尤倾秃珠澜搅另偷青匠暇淄取橇帘唤筹贮盯管絮喘夕盂藻恋申讨联冲粟级埃黑宴仓玲眶否苏贷龄唯式雌钮障执囚甸霞习蜀晰李恐姥茹焚螟钧檬涪生捅季枉雾饭蝉间咏褒汕痈饼来里辛洲割付魔
3、盐戊坯咆溶膊赖镜餐悼砸涅帮磺饰眠销蛋失瞳另顷诬真箕顽巢毒组镶拳原登刻吵掐亭萤珍赌哉脆玩琴项佛唬镁蕴陕固施羚挨姬抗扇夕胺科须ISA2006-详细实例实验手册矢般啼浦吠稠凳婴过陀绘柳格谷监卜攀先冲被缅吁奉涣饵着驶螟熄尿铆貉里烩赏招炙仓以团囚豪兽歉镇取拱新旅昧抛蒜毕链锅哺将回峪宴海侮淫浑赦聪财选氛疾改埃厦双拥糜逆承婿穴皋埔凶辐汉烤绒朋板滋喊陨钢挚祭坊痰终邢反剁掩寻择返末月啸同脊润渗倡瞧她残抨佳冀圈诗旦雪韭厉嗅幅墙傣匿蒲冻叠骗苯蜕母认陀逮畏族赌钾发狼萧卯狰诊诺缉纺儿姜浦幸挚那遍庶证钥绍吞祈群掠怎请改酣骂裙毡捎员墩夯夫陀敷沛钟采口逊萍舔屁膛酥眩陨傣狠啼策纺配咬感希踢闰雅太盗眼毖性廉剁荧鄂戳今高冻响几蟹搀
4、召卿姓剑泳骚剑蒂勉蜗柴游遁逊纷滩不屑潘吃敖嘱矮诣虽瞳弥楔酞疟桐芽撬ISA2006标准版常规安装及无人值守ISA2006(Internet Security and Acceleration)是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能,在企业中有着 广泛的应用。从今天开始的一系列课程中我们将陆续介绍ISA的管理和使用技巧,内容重点是访问控制,服务器发布和VPN三部分。今天我们从ISA2006的部署开始介绍。ISA20
5、06分为标准版和企业版,两种版本的结构和功能都存在一定差异。标准版部署起来相对容易,适合中小企业使用,也适合ISA爱好者的入门学习;企业版由于引入了配置存储服务器,部署起来有一定难度,我们将它放在后期课程中介绍。今天我们准备给大家分别介绍ISA2006标准版的常规安装和无人值守安装。拓扑如下图所示,服务器Beijing有两块网卡,内网网卡的IP地址为10.1.1.254,外网网卡的IP地址为192.168.11.254。Beijing的操作系统为Win2003SP1,准备安装ISA2006作为企业的边缘防火墙。ISA2006的安装要求如下:带有 Service Pack 1 (SP1) 的 M
6、icrosoft Windows Server 2003 或 Microsoft Windows Server 2003 R2 操作系统。256 MB 内存。 150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。 至少两块网卡(如果只有一块网卡,只能安装成缓存服务器)。 一个采用 NTFS 文件系统格式的本地硬盘分区。安装ISA2006的服务器上不能有进程占用80和8080端口。一 ISA2006标准版的常规安装在Beijing上放入ISA2006的安装光盘,如下图所示,启动ISA2006的安装程序,点击“安装ISA Server 2006”。出现ISA2006的安装向导,选择“下一步”。
7、同意软件许可协议,选择下一步。输入用户名,单位及序列号等参数后,来到安装类型界面,如下图所示,选择自定义安装。选择ISA2006的安装组件,从下图可知,只有ISA服务器和ISA服务器管理两个组件。有ISA2004经验的管理员要注意,ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持,消息筛选被Forenfront取代,ISA客户端共享需要用手工共享的方法实现。接下来设置内网的地址范围,点击“添加”按钮。顺便提一下,这个参数很重要,因为在ISA中网络是防火墙策略中最基本的一个考虑因素,具体我们回头再说。设置内网范围时,点击“添加适配器”,如下图所示,选择与内网相连的网卡,点击确定
8、。这里建议大家最好把ISA上的网卡根据实际连接情况命名为内网,外网,外围等,以方便后续使用。根据我们提供的网卡,ISA将内网的地址范围设置为10.1.1.0-10.1.1.255,点击确定。安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000之前的防火墙客户端,ISA2000之后的防火墙客户端支持数据加密,安全性更好,由于在实验环境中不需要使用早期防火墙客户端,因此我们不用勾选“允许不加密的防火墙客户端连接”。安装程序警告我们在安装过程中有些服务会重新启动,选择“下一步”。完成了参数设置,终于开始安装了。如下图所示,点击“完成”,结束了ISA2006的常规安装
9、。至此,我们完成了ISA2006的常规安装。安装过程并不复杂,相信大家都可以完成,难的地方在后面的管理部分,慢慢来吧。二 ISA2006标准版的无人值守安装ISA2006的无人值守安装原理是很简单的,常规安装时我们通过交互方式输入安装参数,无人值守时只需事先将安装参数写到答案文件中,然后让ISA的安装程序从答案文件中获取参数就可以了。因此我们实现ISA2006的无人值守只需要注意两点:1) 如何创建答案文件2) 如何让安装程序调用答案文件先解决第一个问题。ISA2006的安装光盘中有一个无人值守答案文件的示例,如下图所示,在ISA2006的安装光盘FPCUnattended_Setup_Sam
10、pleStandard_Edition目录下,有一个msisaund.ini文件,这就是示例文件。我们只要对示例文件进行简单修改,就可以满足我们无人值守安装的需求。打开模板文件看看,如下图所示,文件中有各种参数的解释。如果觉得E文看起来很吃力,我们可以在ISA2004标准版的安装光盘中找到FPCmsisaund.ini,这个文件是ISA2004无人值守安装的示例文件。打开ISA2004的示例文件,内容和ISA2006基本相同,但帮助是中文的,呵呵,这回E文不好的兄弟可以好好参考一下了。将光盘中的msisaund.ini复制到C:,然后对文件中的内容进行修改,我们就可以创建自己的ISA2006无
11、人值守答案文件了。修改后的内容如下图所示,原文件中以分号开头的内容为注释,我们就不保留了。对答案文件中的内容解释一下:IDKEY=这里应该填写25位长度的产品序列号INTERNALNETRANGES=1 10.1.1.0-10.1.1.255设置内网的地址范围,1代表只有一个地址范围,10.1.1.0-10.1.1.255是具体的范围内容SUPPORT_EARLIER_CLIENTS=0不允许早期的防火墙客户端连接INSTALLDIR=C:Program FilesMicrosoft ISA Server ISA2006的安装目录为C:Program FilesMicrosoft ISA Se
12、rverCOMPANYNAME=ITET公司名称为ITETADDLOCAL=ALL安装所有组件其实ISA2006无人值守安装还有一个很实用的功能,可以导入防火墙策略的XML配置文件,这样ISA安装完毕后,配置也就完成了,非常方便。语法是:IMPORT_CONFIG_FILE=配置文件名设置好答案文件后,我们就要考虑如何让ISA的安装程序调用这个答案文件了。我们在Beijing上输入D:FPCsetup.exe /v/qb FULLPATHANSWERFILE=c:msisaund.ini,如下图所示,这样安装程序就会将C:MSISAUND.INI作为ISA2006的无人值守答案文件了。ISA2
13、006的安装开始启动了,如下图所示,整个安装过程无需用户参与。安装完毕后,打开ISA2006管理器,如下图所示,安装已经顺利完成。至此,我们完成了ISA2006标准版的部署,在下次课程中,我们将介绍ISA2006的三种客户端。详解ISA2006三种客户端上一篇我们介绍了如何部署ISA2006,本文我们要让部署好的ISA来干活了。ISA能干什么活?从字面意思看,ISA的意思是互联网安全加速器,安全指的是防火墙功能,加速器则是代理服务器功能。今天我们就要部署ISA的代理服务器功能,看看内网用户如何利用ISA来访问互联网。ISA的代理服务支持三种客户端,分别是:Web代理客户端防火墙客户端SNAT客
14、户端我们搭建一个实验环境测试三种客户端的具体应用,实验拓扑如下图所示,Beijing安装了ISA2006标准版,Perth是内网客户机。因为ISA默认的防火墙策略是拒绝一切通讯,所以实验之前我们需要先在ISA上创建一条访问规则,允许内网用户访问互联网。由于当前的主要目的是测试ISA的代理服务器功能,因此我们在防火墙上暂时不做任何限制。在Beijing上依次点击 开始程序Microsoft ISA ServerISA服务器管理,如下图所示,右键点击防火墙策略,选择新建“访问规则”。给新建的访问规则取名为“允许内网用户任意访问”,如下图所示。设置当客户端的访问行为与规则设定匹配时,防火墙将允许客户
15、端进行访问。选择将此规则应用到“所有出站通讯”,所有出站通讯指的是使用任意协议对外网进行访问。接下来要设置通讯源,如下图所示,点击“添加”,在网络中选择“内部”,然后点击“添加”,这样“内部”就成了规则的访问源。再用同样方法,将“本地主机”设置为访问源,这是为了测试方便,我们特意允许ISA服务器也能访问互联网。设置好通讯源后,点击下一步。现在该设置通讯目标了,我们将通讯目标设定为“外部”网络。用户我们则选择“所有用户”,注意,所有用户中包括未经身份验证的用户。如下图所示,规则创建完毕。这条规则用通俗的话解释,就是凡是由内网计算机或ISA本机发起的访问外网的请求,无论是什么时间,无论使用什么协议
16、,无论是哪些用户,ISA一律允许。怎么样,这个规则很宽泛吧。如下图所示,点击“应用”,使规则生效。好了,我们可以开始客户机访问测试了。一 Web代理客户机使用ISA提供的Web代理就可以很方便地用浏览器访问互联网。Web代理设置起来很容易,以IE浏览器为例,在客户机上打开IE,依次点击 工具Internet选项连接局域网设置,如下图所示。我们将代理服务器设置为ISA内网网卡的IP,端口为8080。这下大家就明白了为什么安装ISA2006时要求服务器上不能有进程占用8080端口,因为8080端口被ISA用于为内网用户提供Web代理服务。默认情况下ISA已经启用了Web代理服务,如果不放心可以检查
17、一下。打开“ISA服务器管理”,展开 配置网络内部,查看内部网络的属性,切换到“Web代理”标签,如下图所示,我们发现ISA的Web代理服务已经在8080端口启动了。在客户端测试一下,如下图所示,我们在客户机上成功地使用Web代理访问了互联网上的网站。下图是客户机的TCP/IP设置,我们发现,客户机并没有设置DNS参数,那客户机访问网站时怎么解析域名呢?答案是转发至ISA服务器由ISA进行解析。Web代理配置简单,但功能也受限制,用户只能以浏览器作为客户端对互联网进行访问。二 防火墙客户端代理由于Web代理只能使用浏览器访问互联网,功能不够全面,因此微软在ISA中提供了防火墙客户端代理。用户只
18、要安装防火墙客户端软件,就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的Client目录下,我们将Client目录复制到ISA服务器的硬盘上,然后将目录共享,共享名为Mspclnt(和老版本的ISA保持一致),如下图所示。客户机访问beijingmspclnt,运行Setup.exe,如下图所示。出现防火墙客户端的安装向导,点击下一步。同意软件许可协议,点击下一步。选择软件安装文件夹,我们取默认值。指定ISA服务器,用计算机名或IP均可。准备开始安装。安装过程很快完成。安装结束后,我们测试一下客户机和服务器
19、之间的通讯状况。双击客户机桌面右下角的防火墙客户端图标,在程序界面中切换到“设置”标签,如下图所示,点击“测试服务器”。如果测试结果如下图所示,那就代表防火墙客户端和服务器之间的通讯正常。接下来准备测试客户机使用防火墙客户端访问互联网,在测试之前,先在客户机的浏览器中取消Web代理设置,如下图所示。因为如果同时使用Web代理和防火墙客户端,访问网站时优先使用Web代理。用浏览器访问微软网站进行测试,如下图所示,OK,防火墙客户端工作正常。同时应注意,防火墙客户端也具有DNS转发功能。三 SNAT客户端微软推荐用户使用Web代理和防火墙代理,因为这两种方式都支持用户身份验证。但Web代理的功能有
20、限,而防火墙客户端需要在微软操作系统上安装,因此如果用户使用Linux等系统,就只能选择ISA的SNAT代理了。SNAT代理其实是Win2003的路由和远程访问组件所提供的功能,ISA安装之后接管了路由和远程访问,客户机使用SNAT代理是很方便的,只需将默认网关指向ISA的内网IP即可。如果配合DHCP服务器就更简单了,客户机无需任何设置。客户机尝试SNAT之前先将防火墙客户端关闭,点击桌面右下角的防火墙客户端图标,如下图所示,取消“启用Microsoft Firewall Client for ISA Server”,这样就可以把防火墙客户端功能禁用了。设置客户机的TCP/IP属性,将默认网
21、关设置为防火墙内网IP,注意,要设置DNS参数,SNAT服务器不具有DNS转发功能。如下图所示,用SNAT访问互联网也很轻松。总结:ISA的三种客户端都能提供访问互联网的功能,Web代理只允许用户使用浏览器访问互联网,而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证,Web代理和防火墙客户端就可以大显身手了,事实上,微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存,真正起到加速作用。如果你希望为用户上网提供尽可能的便利,而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件,那么SNAT必然是你的最
22、爱,只需配好DHCP就一切OK了。最后要提醒大家的是,Web代理和防火墙代理都有DNS转发功能,而SNAT则不存在这个问题。WPAD的部署原理暨故障排查WPAD是Web Proxy Auto Discovery的缩写,意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器能自动发现代理服务器,这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。在ISA2006中,WPAD不仅能让客户机浏览器自动发现代理服务器,还可以用于防火墙客户端自动发现代理服务器。显然,WPAD对代理服务器的透明处理让管理员轻松了不少,管理员不再需要去每台客户机上设置代理服务器参数了。但樱桃好吃树难栽,WP
23、AD的部署并非都是一帆风顺,WPAD的部署可以借助DNS服务器或DHCP服务器,容易出问题的是用DNS服务器进行部署,尤其是在工作组环境下问题更多。今天我们就来构造一个实验环境,为大家剖析WPAD的工作原理以及故障原因。实验拓扑如下图所示。内网计算机在工作组环境,Florence是DNS服务器,Perth是客户机,Beijing是ISA2006服务器。用DNS来实现WPAD,原理如下:1 Perth向DNS服务器发出查询请求,要求获得WPAD主机的IP地址。2 Perth根据查询到的IP地址,去WPAD主机的80端口下载WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客户机浏览
24、器,让浏览器自动发现代理服务器;WSPAD.DAT则用于配置客户机上的防火墙客户端自动发现代理服务器。从以上的原理分析,首先WPAD主机要在80端口提供wpad.dat和wspad.dat,有了这两个文件,客户机上的浏览器或防火墙客户端才能实现自动配置。其次,DNS服务器要创建相关记录,当客户机来查询时,将解析结果指向WPAD主机。好,我们先来解决第一个问题,WPAD主机如何能够提供WPAD.DAT和WSPAD.DAT两个文件呢?最简单的办法是让ISA服务器作WPAD主机,同时提供两个配置文件,具体做法是,在ISA服务器上依次点击 开始程序Microsoft ISA ServerISA服务器管
25、理配置网络内部,右键点击“内部”,选择属性,如下图所示,切换到“自动发现”标签,勾选“为此网络发布自动发现信息”,这样ISA就可以在80端口提供WPAD.DAT和WSPAD.DAT两个文件了。测试一下,看看ISA服务器是否提供了配置文件。如下图所示,在浏览器中输入http:/10.1.1.254/wpad.dat,测试结果如下图所示,这表明ISA服务器已经在80端口发布了WPAD.DAT,用同样的方法可知ISA也发布了WSPAD.DAT。WPAD主机已经在80端口提供了WPAD.DAT和WSPAD.DAT,一个问题解决了,接下来我们考虑另一个问题,客户机到底是怎么通过DNS来查询WPAD主机呢
26、?具体是这样的,客户机向DNS发出一个查询请求,请求解析的域名为WPAD+X。怪了,怎么会是X呢?X代表不确定性,如果客户机所在的域为,那么客户机就请求解析;如果客户机没加入域,但计算机名的后缀为,那么客户机就请求解析;如果客户机既没有加入域,也没有计算机名后缀,那客户机就请求解析wpad。这里是WPAD配置的关键所在,为什么论坛上很多管理员在域环境配置WPAD很正常,换到工作组环境就容易出问题呢?因为域环境下有统一的名称边界,客户机请求解析的域名后缀是固定的,而工作组的有组织无纪律特性决定了它的解析请求是无规律的。下面举个具体的例子。如下图所示,Perth属于工作组,Perth将10.1.1
27、.101作为自己的DNS服务器,我们分析一下Perth是如何利用DNS来自动发现代理服务器的。将Perth的浏览器配置为自动检测发现,在IE浏览器中依次点击 工具Internet选项连接局域网设置,如下图所示,勾选“自动检测设置”。在Perth上打开浏览器访问一个网站,同时启用Ethereal抓包追踪,抓包结果如下图所示,我们可以看到Perth请求DNS服务器解析域名WPAD,服务器解析失败后Perth又试图用广播进行名称解析,名称解析失败后Perth无法找到WPAD主机去下载WPAD.DAT,代理服务器自动发现失败。很多朋友在论坛中发帖说自己在工作组中配置WPAD时出问题,其实问题就出在DN
28、S服务器无法解析域名WPAD。好,WPAD配置出问题了,而且是意料之中的,那如何解决呢?两种思路,一是想办法让DNS服务器能解析出域名WPAD,二是想办法让Perth查询一个DNS服务器容易回答的域名。我们沿着这两种思路来尝试一下。一 让DNS服务器能解析域名WPADWPAD这个域名为何难以解析呢?从结构上分析,WPAD域名隶属于根域,一般DNS服务器对根域根本就没有解析资格,因此解析这种域名有点勉为其难。兄弟不才,尝试用DNS私有根来解决这个问题,在DNS服务器中右键点击正向查找区域,如下图所示,选择“新建区域”。出现新建区域向导,下一步。新建区域类型为主要区域,下一步。区域名称为. ,这就
29、是传说中的根域。根域的区域数据文件为root.dns。不需要允许动态更新,下一步后结束私有根域创建。创建根域后,我们需要在根域中为WPAD主机创建A记录,如下图所示,选择“新建主机”。完全合格域名为WPAD. ,IP为ISA服务器的内网地址。OK,如下图所示,WPAD记录已经创建完毕,我们来试试能否发挥作用呢?这次我们在Perth上安装上防火墙客户端,从理论上分析,防火墙客户端需要从WPAD主机下载WSPAD.DAT,我们双击防火墙客户端,切换到“设置”标签,选择“自动检测到的ISA服务器”,点击“立即检测”。测试结果如下,防护器客户端成功地发现了代理服务器。别忘了把自动检测的过程用Ether
30、eal抓下来,如下图所示,我们可以很清楚地看到,Perth请求DNS服务器解析域名WPAD,DNS服务器将域名解析为10.1.1.254(私有根起作用了),Perth接下来就去10.1.1.254下载WSPAD.DAT,用此文件将防火墙客户端所使用的代理服务器设置为Beijing。上次我们用浏览器自动检测失败了,这次再试试,用Ethereal抓包,结果如下图所示。我们可以看到客户机也是先请求DNS服务器对wpad进行域名解析,然后根据解析结果到ISA服务器请求下载WPAD.DAT,文件下载之后就可以用于配置浏览器了。从上述实验来看,通过DNS的私有根来解决WPAD域名解析在技术层面是可行的,但
31、这种方法其实有很大隐患。创建了私有根后会影响互联网上的域名解析,而且转发器也不能使用,兄弟至此也没找到两全其美的办法,如果哪些弟兄有经验,还望不吝赐教。因此,我的结论是,除非你的单位本来就要部署私有根,否则还是别用这种方法解决问题,实在是弊大于利。二 Perth换查询域名既然Perth发起的WPAD域名解析让DNS服务器处理起来很为难,那能否让Perth换一个域名查询呢?例如让Perth查询,这样的域名DNS处理起来不要太轻松哦!问题是,如何能让Perth更换查询域名呢?秘密就在Perth的计算机名中,如果我们希望Perth查询的域名是,只需将Perth的计算机名的DNS后缀改为即可。操作具体
32、如下,在Perth上用右键单击“我的电脑”,在属性中切换到“计算机名”标签,如下图所示,点击“更改”。在计算机名称更改中,点击“其他”,如下图所示。在计算机的DNS后缀处填写“”,点击确定后重新启动计算机。在DNS服务器上创建区域,并新建一个名为WPAD的A记录,如下图所示。现在WPAD记录已经有了,就等着客户机来查询了。在客户机上用防火墙客户端测试一下,如下图所示,我们可以看到客户机发出的查询已经改为了,服务器把域名解析为ISA的内网IP,随后客户机就去ISA下载wspad.dat了。呵呵,如果客户机是在域环境下,根本就无需更改计算机名后缀,想想其实还是有AD比较方便。总结:用DNS部署WP
33、AD在域环境下比较合适,在工作组环境下就需要进行一些调整,但无论是创建DNS私有根还是更改客户机的计算机名后缀,都不算是非常完美的解决方案。因此我们建议在工作组环境下可以考虑用DHCP来解决这个问题,我们在下篇博文中将介绍如何利用DHCP来解决WPAD部署的问题。用DHCP部署WPAD上篇博文中我们分析了用DNS部署WPAD的原理,然后得出一个结论,在域环境下用DNS部署WPAD很方便,在工作组下效率就不是很理想。因此今天我们介绍另外一种WPAD部署方案作为补充,即通过DHCP实现WPAD。这样大家可以更好地根据自己的实际环境选择合适的技术方案,其实在部署WPAD时,我们既可以单独使用DNS或
34、DHCP,也可以将两种技术结合起来使用,已达到最佳效果。DHCP部署WPAD的原理是这样的。DHCP服务器中有一个252选项,252项通常被当作查询或注册用的指针,我们可以通过252项发现打印机,时间服务器,WPAD主机以及其他的网络服务器。既然252项有如此神通,那我们只要在DHCP服务器中添加一个用于查找WPAD主机的252项就行了,252 项是一个字符串值,内容是 WPAD主机的 URL。这样一来,DHCP客户机就能知道WPAD主机的位置,当客户机需要对浏览器或防火墙客户端进行自动配置时,就可以到WPAD主机下载所需的配置文件了。构建一个实验环境,实验拓扑如下图所示,Beijing是IS
35、A2006服务器,Florence是DHCP服务器,Perth是客户机,所有计算机都在工作组环境下。一 ISA服务器提供配置文件用DHCP部署WPAD具有很大的灵活性,ISA可以在任意端口提供WPAD.DAT和WSPAD.DAT,不象DNS那样,必须限制在80端口。我们准备在ISA的8000端口提供配置文件,在ISA服务器上依次点击 开始程序Microsoft ISA ServerISA服务器管理配置网络内部,在内部网络属性中切换到自动发现标签,如下图所示,我们将自动发现的端口设置为8000。二 DHCP服务器配置1)创建作用域在DHCP服务器上依次点击 开始程序管理工具DHCP,右键点击DH
36、CP服务器,如下图所示,选择“新建作用域”。出现新建作用域向导,点击下一步。输入作用域的名称和描述,点击下一步。为作用域定义地址范围,如下图所示,我们将地址范围定义为10.1.1.200-10.1.1.220,子网掩码为C类网掩码。创建地址排除范围,本例中我们不排除任何地址。地址租约我们选择用默认期限。以上我们创建了一个作用域,然后我们暂时不要配置作用域选项,等我们创建了252项后再配置作用域选项。点击“完成”结束作用域创建。2)在DHCP选项中创建252项在DHCP管理器中右键单击服务器,如下图所示,选择“设置预定义的选项”。在预定义选项中,选择“添加”。添加一个DHCP选项,名称为WPAD
37、(大写),数据类型为字符串,代码为252。为添加的252选项赋值为 http:/10.1.1.254:8000/wpad.dat,这样DHCP服务器就可以通过252选项为客户机指示WPAD主机了。要注意的是,虽然从我们在252项中填写的内容来看似乎只能为浏览器提供自动发现代理服务,但实际上防火墙客户端也可以使用252项,当防火墙客户端需要寻找代理服务器时,防火墙客户端会自动访问urlhttp:/10.1.1.254:8000/wspad.dat/url。3)配置DHCP作用域选项。我们在DHCP作用域选项中配置252选项和DNS选项,为了避免让客户机使用SNAT客户端,我们就不配置路由器选项了
38、。如下图所示,右键单击作用域选项,选择“配置选项”。确保在作用域选项中选中了WPAD项,如下图所示。DNS项也配置一下,虽然理论上Web代理和防护器客户端都具有DNS转发功能。4)激活配置完DHCP选项后,我们来激活DHCP作用域,如下图所示,右键点击作用域,选择“激活”。如下图所示,DHCP作用域已被激活。三 客户机测试ISA服务器和DHCP服务器都已经作好准备了,最后我们在客户机上测试一下,看看我们之前做的是不是有用功。如下图所示,在客户机Perth上将TCP/IP属性设置为自动获得IP地址。如果不能立即获得IP,可以用命令IPCONFIG/RENEW,强制客户机发出DHCP Discov
39、er,如下图所示,命令使用后立竿见影,客户机获得了IP地址。那客户机有没有获得最关键的252选项呢?我们在客户机上用防护器客户端来测试一下,在防护器客户端属性的设置标签中选择“自动检测到的ISA服务器”,如下图所示,点击“立即检测”。如下图所示,检测成功,哈哈,DHCP部署WPAD成功了。小结:用DHCP部署WPAD还是很方便的,既不限制端口,又不受客户机计算机名影响,无论是工作组还是域都能很好地工作,个人建议管理员应更多考虑。DHCP精练使用,确实是居家旅行,杀人灭口之必备良药,哈哈:)我们在前面的工作中已经实现了ISA2006的代理服务器功能,接下来我们要实现ISA的访问控制功能。很多公司
40、都有控制员工访问外网的需求,例如有的公司不允许员工访问游戏网站,有的公司不允许员工使用QQ等即时通讯工具,有的公司禁止员工下载视频文件,还有的公司只允许访问自家的门户网站.这些需求都可以通过ISA2006防火墙策略中的访问规则来加以实现。既然如此,那我们赶紧来写上几条访问规则测试一下吧。别急,访问规则是由策略元素构成的,我们要想写出访问规则,首先要掌握策略元素,还是让我们从学习策略元素开始吧。准备一下实验环境,拓扑如下图所示,Denver是C的域控制器,Perth是域内的工作站,Beijing是ISA2006服务器,Beijing也加入了域。我们的目标是先写出一条访问规则:允许在午休时间(12
41、:00-13:00),人事部和财务部的员工可以访问互联网上除百度之外的网站,而且访问网站时不能访问视频和音频内容,我们通过这条规则的实现过程来学习策略元素。如下图所示,打开ISA服务器管理,选中防火墙策略,此时右侧面板的工具箱中显示的就是策略元素,大家看到的有协议,用户,内容类型,计划,网络对象等,下面我们一一展开分析。一 协议协议元素限制了用户访问外网时所使用的网络协议。例如我们此次实验的目标是只允许部分用户访问一些特定网站,那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS,这样就保证了用户只能访问网站。当前ISA中有一个很宽泛的访问规则,如下图所示,允许内网和本地主
42、机可以使用任何协议,在任何时间,以任何用户的身份,访问任意网络的任意内容。这条规则是我们在前面测试代理服务器的时候创建的,现在我们对它动动手术,只允许用户用HTTP和HTTPS访问外网。下图是当前的访问规则,我们可以看到ISA允许使用任何协议对外访问,右键点击规则,查看规则属性。在规则属性中切换到“协议”标签,如下图所示,将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“,只允许使用特定的协议。点击“添加”按钮,在协议中选择HTTP和HTTPS添加进来,如下图所示,添加完协议后点击确定。如下图所示,访问规则已经被修改为ISA只允许HTTP和HTTPS协议通过。我们使用协议元素可以在访问
43、规则中轻松实现对协议的控制,但如果我们要控制的协议没有在ISA的协议元素中被定义那该怎么办呢?我们可以自定义协议元素,例如我们希望禁止用户使用QQ的通讯协议,我们就可以在防火墙策略的工具箱中选择“新建协议”,如下图所示。出现新建协议向导,我们为新建的协议命名为QQ,下一步。接下来我们定义协议参数,点击“新建”。我们定义QQ协议使用UDP,方向为发送接受,端口为8000。QQ不需要使用辅助连接,但有些协议例如FTP需要使用辅助连接。结束新建协议向导。这样我们就创建了一个自定义协议QQ,按照这种办法,我们可以将所需的协议元素都创建出来,然后就可以在访问规则中灵活地加以控制了。二 用户用户元素可以控
44、制有哪些人能访问外网,尤其在域环境下,用户元素更是可以大显身手。依靠用户元素控制网络访问远比用IP控制来得更方便灵活。记得我刚工作时曾经在路由器上用IP控制用户上网,没过多久,就被很多人发现了秘密,一时间大家纷纷抢占那几个能上网的IP,IP冲突此起彼伏。虽然可以用ARP静态绑定来解决,但处理起来还是感觉麻烦。因此奉劝诸位,部署网络架构时如果有可能还是应该上Active Directory,无论如何管理起来都感觉方便得多。在本例中我们希望只允许人事部和财务部的员工在午休时间访问互联网,那应该怎么定义人事部和财务部的用户呢?这时用户元素就派上用场了,用户元素可以和Active Directory中
45、的用户管理接合起来,如下图所示,Active Directory中已经为所有部门用户都创建了用户账号和组账号。在ISA防火墙策略的工具箱中,展开“用户”,如下图所示,选择“新建”。为新创建的用户元素命名为“午休时间允许上网用户”,点击下一步。点击“添加”按钮,选择添加“Windows用户和组”,如下图所示。在活动目录中查找对象,输入组名hrusers和financeusers,这是人事部和财务部用户所隶属的组,点击确定。如下图所示,新创建的用户元素中已经列出了人事部和财务部两个组,点击下一步完成创建。创建了用户元素,我们就可以修改访问规则了。如下图所示,在访问规则中切换到用户标签,选择“所有用
46、户”,点击“删除”,然后再点击“添加”按钮。添加“午休时间允许上网用户”。如下图所示,修改后的规则离我们的目标又进了一步。注意:要实现用户身份验证,必须使用Web代理客户端或防火墙客户端,SNAT客户端不支持用户身份验证。三 计划计划元素可以用来表示时间范围,例如我们的目标规则中打算限定财务部和人事部的用户在午休时间有限上网,这午休时间该如何表示呢?通过计划元素就可以轻松完成。在策略工具箱中展开“计划”对象,如下图所示,选择“新建”。为新建的计划元素取名为“午休时间”,如下图所示,我们将午休时间定义为周一到周五的12点至13点。创建了计划元素后,我们又来修改访问规则了,如下图所示,我们将计划从原先的“总是”改为“午休时间”,我们离目标越来越近了。四 内容类型内容类型元素负责将访问互联网的数据划分为音频,视频,文本,HTML文档等类型,利用内容类型我们可以更精细地控制用户对网络内容的访问,唯一有些遗憾的就是ISA在划分内容类型时,仍然采用了不可靠的文件名检测方法,这有可能会让某些用户有机可乘。我们此次