[做人要厚道,如需转贴,请注明出处bbs.54master.com,及作者blazewind。]
我所管理的网络采用了10.8.X.X此类的IP地址,其中,10.8.10.X这个网段为单位的主干网,内网可以直接以IP地址访问,访问网部时转化为真实的公网IP,在这里我们的ISA服务器所管理的是10.8.44.0-10.8.47.255这个网段。使用此网段的电脑为单位公用机房的电脑。共有800多台,将近九百台电脑。这个网段中共用4台ISA,都是只有一块网卡,分别处在10.8.44.11-10.8.44.255、10.8.45.11-10.8.45.255 10.8.46.1-10.8.46.255 10.8.47.11-10.8.47.255网段中,使用的是工作组环境,不是域环境。
本文所描述的ISA 2004服务器的配置如下,一块普通的8139网卡,IP地址为10.8.46.45,子网掩码为255.255.252.0,默认网关为10.8.45.1,dns:10.8.10.244,这台ISA所管理的IP地址范围为:10.8.46.1-10.8.46.254。网络中还有10.8.44.0-10.8.44.255、10.8.45.1-10.8.45.255、0.8.47.0-10.8.47.255,因为子网掩同为255.255.252.0,所以,可以说,是处在同一网段内,即10.8.44.0这个网段。
本文所描述的这台ISA服务器的IP地址为10.8.46.45,所处的网段为10.8.46.0-10.8.46.255,默认网关为10.8.45.1,DNS为10.8.10.244 和44 、45、 47三个网段的ISA所处位置不同,但基本配置都是一样的(都是单网卡)。44网段的ISA服务器的IP地址为:10.8.44.11,45网段的ISA服务器IP地址为:10.8.45.11,47网段的ISA服务器的IP地址为:10.8.47.11。
10.8.10.244为单位的DNS服务器,负责将内网所有的DNS请求转发到ISP的DNS上去
当初在规则网络的时候,10.8.44.1-10.8.44.10 、10.8.45.1- 10.8.45.1010.8.47.1-10.8.47.255这几段IP地址另有他用,客户机不使用。
由于服务器上以前使用的是ISA 2000进行管理,受管理的客户端的类型是:Webproxy+防火墙客户端这种客户端
的类型,由于客户机实在太多,为了节省时间,所以没有部署Snat客户端。所以,在05年升级到ISA 2004时,只是把ISA 2000升级成了ISA 2004,下面的客户端就没有动,还是延用以前的客户端类型,客户端软件,及客户端设置。
在安装ISA 2004时需要注意的是:如果你的内网曾经或正在使用ISA2000客户端的请注意看下图:
一定要将“允许运行早期版本的防火墙客户端软件的计算机连接(A)”此选项选中。
刚刚安装完ISA 2004后,只有一条规则,即图中高亮显示的那条默认规则。
安装完成后,要配置访问规则了,在配置访问规则之前,需要对内网的客户进行规划,由于我这里的网络是工作组环境,所以,我就用IP地址进行了控制,我共划分出一七个IP地址段,名称为301-307,然后,我建了一个计算机集,名称为外网,见图:
上图中的几个IP地址,我在此做一一说明
10.8.45.10为我单位一共用SQL Server服务器的地址,10.8.10.250是我单位的网站,在内网访问直接输入此IP可以打开我单位网站,和在公网访问的页面是一样的
10.8.10.222是我单位一Oracle服务器的地址
10.8.10.243是我单位另一台Web服务器
10.8.10.244是DNS服务器,负责将内部的DNS请求转发到ISP提供的DNS服务器上去。
11.1.1.1-255.255.255.255,此为公网的出口。为什么这么定义呢?稍后为大家解释。先来看一下我的访问规则,同样,见下图:
第一条访问规则,禁止上某些网站,从“本地主机,301-307”到“禁止访问的网站”,那么,那些网站禁止访问呢,见图:
这只是其中的一部分,大家可以自已定义。
第二条规则,“internet”,大家看上面的图,我选择的是“所有出站通讯”,从“本地主机”等到外网,这里,我没有用ISA 2004已经定义好的那个外部,为什么呢?用我定义的那个地址范围去访问外网的话,也是可以上网的。但是,我想让客户机上外网的时候,除了能访问10.8.10.250、10.8.45.10、10.8.10.222、10.8.10.244、10.8.45.1这几个内部IP以外,不可以访问其他的内网服务器。11.1.1.1-255.255.255.255是我所定义的真正的外网。不知道大家能明白不?
第三条规则,电子商务上课,这条规则的名字我是瞎起的。这条规则只开放了三个协议,HTTP,HTTPS,FTP。并且,还进行了一些限制,我做的限制,见下面的图片
阻止包含Windows可执行内容的影响被选中后,可执行文件不能下载,如扩展名为.exe的文件不能下载。
我还阻止了图片中所有的扩展名的文件的下载及通过Web页的访问。并且,阻止了不明确的扩展名的请求。
当然,少不了封QQ这一项啦。
至此,访问规则配置完成
下面进行缓存规则的配置,首先,要先启用缓存,然后再定义缓存驱动器,然后建立缓存规则,我所建立的缓存规则如下,同样,见图:
第一条缓存规则是为了让客户机能通过Windows Update网站进行更新系统的补丁。
第二条缓存规则才是访问外网时的缓规则。
至此,ISA 2004的配置已经完成。
本文写得有些仓促,有不足之处,请广大群友及坛友指正。
综上所述,我认为ISA Server 2004是可以安装在单网卡的服务器上的,这样的话,ISA Server 2004会自动配置为Cache Only的防火墙。性能上与多网卡的ISA来说,可以会有些差别。
[ 本帖最后由 blazewind 于 2007-5-29 15:08 编辑 ] | 
发表于 2007-4-18 11:29
| 
发表于 2007-4-18 11:45
| 
不错
