手把手教你ISA2006服务器架设

.wd.ISA2006的安装1、 安装ISA Server 2006的机器应该至少有两个网卡，一个为外部接口，一个为内部接口。所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy 控制所有网络间的数据传输。2、 以以下图为一个测试网络，ISA Server 作为一个边缘防火墙Edge Firewall：3、 ISA2006的安装。环境Windows Server 2003 R2 +AD+DNS第一步：运行ISA2006安装程式，如图，点击“安装ISA Server 2006”第二步：出现ISA Server 2006安装向导，点击“下一步第三步：承受软件许可条款，点击“下一步：第四步：选择“同时安装IAS Server服务 和 配置存储服务器 ，点击下一步第五步：组件选择，点击“下一步，如以下图：第六步：选择“创立新的ISA服务器企业，点击“下一步：第七步：出现一个警告画面，不会理会，点击“下一步，出现如以下图： 建议输入具有域管理员权限的帐号和密码。 第八步：添加指定要包括在ISA服务器内部网络中的地址范围，点击“添加出现以以下图，点击“添加适配器，选择网卡连接内部网络的那块，点击“确定，如以以下图第九步：选中“允许不加密的防火墙客户端连接后，点击“下一步，第十步：完成以上步骤后，ISA开场安装第十一步：安装完毕。实验二、使用ISA2006代理上网实现安全策略一、 实验拓扑图。二、 平台搭建：1、 使用VPC建设2台Wisndows Server 2003 R2 ，一台做ISA Server ,一台做Client参加AD做测试用。2、 将ISA Server 2003 安装好AD和DNS, 域名为：,主机名为：3、 按拓扑图中的IP，配置好设备的IP地址，注意在使用VPC的时候，在配置网卡的使用，一定要注意IP地址不要配反，不然实验无法实现注意：VPC网卡分:Internal network adapters,External network adapters4、 安装ISA Server 2006.三、 需求分析：1、 公司以前只有一个网段192.168.23.0/23,有一台DNS服务器，IP：192.168.23.1。2、 现在新增加了一个事业部，需要独立出来一个网段172.24.5.0/24，这个事业部有自己的AD环境和DNS服务器，事业部的电脑利用AD+ISA+DNS这台服务器代理上网。3、 在AD上建设一个web access的OU，在OU中建设一个web-user的群组，建设web1,web2两个用户并隶属于web-user群组。4、 公司要求只有172.24.5.10172.24.5.30这段IP可以上网，其他IP不行，而且只用web-user的用户才能上网，需要做身份验证，但是这些用户不能使用QQ代理上网。四、 实现配置：1、 当我们把IP地址设定完成后，要在ISA的DNS服务器上做转发的配置，如图：点击“属性后，配置只在内部接口上侦听：如图 接下来再配置转发器，可以选择192.168.23.1和ISP的DNS服务器，如图：这样就完成了DNS的配置，接下来我们来配置用户上网验证，如图，双击“内部网络出现以以下图，如红框内设置，点击“身份验证：如图：点击完成后，就完成用户身份验证的配置。身份验证的方法“ 根本是基于AD用户的。接下来设置防火墙规则，此规则将设定内部使用者浏览Internet时必须要验证登录帐号和密码。建议按照网段将intranet to internet的策略分开，也就是不要将所有内容的IP套在同一条策略里，因为太多的IP会造成策略失效出现“新建访问规则向导，输入名称，点击“下一步：出现“规则操作如以以下图配置，点击“下一步在出现的“协议对话框里，如以以下图“添加相应的协议：选择协议“ 和“ S点击“添加，然后“下一步在出现的“访问规则源点击“添加出现如以以下图点击“新建 选择“计算机集出现以以下图所示：按照实际需求定义“规则源，可以是单独的计算机，地址范围或者是某个子网，这里定义了一个内部网络的地址范围。点击“确定。选择我们刚刚添加的计算机集“inside network,如图：这时候“访问规则源里出现了“inside network,点击“下一步：出现定义“访问规则目标，点击“添加选择“外部网络。点击“下一步如以以下图：出现“用户集，点击“添加出现“添加用户框。点击“新建，如图出现“新建用户集向导设置完毕点击“下一步，如以以下图：点击“添加选择“windows用户和组将我们之前在AD中建设的web user群组参加到“用户集中,点击“下一步，如图按照系统提示将web user参加到“用户集中，“下一步完成。按照系统提示，完成规则的配置，当ISA有设置上的变动后，必须点击“应用才能生效。点击“应用后我们可以看到一条定义好的规则：因为ISA2006架设上来之后，预设是所有的协议关闭，包括ISA本机对内部网络和内部网络对ISA本机，外部网络和ISA本机。所以还需要新增2条规则，如以以下图：请大家自行建设，做为练习当配置完毕后，ISA服务器是可以上网的。接下来需要为Clinet电脑配置上网代理服务，点击“区域网路设定在proxy代理服务器，配置如以以下图所示，网址为ISA的FQDN,端口号为8080，如图接下来我们在浏览器中输入 163 ,会弹出如下画面，要我们输入用户和密码，这个时候我们需要输入之前AD里面建设的web-user群组里面的用户和密码才能上网。这时当我们把Client端的IP改为172.24.5.10-172.24.5.30之外的IP时，也是无法上网的。也就是说刚刚我们的第一个规则限定了IP，并且还要求有帐号和密码才能访问外部网络。这个时候我们发现虽然我们可以上网，但是无法使用ping命令来验证与外部网络的联通性，为什么呢明明可以上网啊如图：原因是因为我们的防火墙规则只容许 ,和 S的请求通过，对于ICMP协议的流量我们是拒绝的。我们新增一个规则来容许ICMP协议通过我们的ISA防火墙。如图：接下来，我们在clinet端测试看能不能ping通 163 ,成功ping 通了。现在我们来封杀QQ软件，基于以上的配置，我们使用QQ软件的时候，做如下配置是可以使用QQ软件的。如图有没有方法来制止用户使用代理来使用QQ呢可以使用ISA2006的增强型 配置来实现。配置如下：选择上网的规则“右键点击“配置 如下：在出现的“规则配置 策略中选择“方法设置如图，点击“添加，如下：接下来在“签名栏中“添加 ，如图中配置：点击“确定后，点击“应用，使规则生效。这时我们去clinet端测试，使用代理QQ，看还能不能使用QQ软件。如图，无法连接上代理服务器了，成功的封杀了QQ软件，相信这个时候大家不会头大了吧。ISA2006还带了强大的监视功能，能让你很清楚的知道，当前网络的一些情况。如图：在“监视模块里，“会话显示出了当前有那些用户在使用ISA做代理上网，他们的IP和用户名都能显示出来，很方便我们的管理和查找。实验三、使用ISA2006建设PPTP VPN实现远程接入一、实验拓扑如图二、实验要求： 1、公司使用ISA2006做为防火墙，同时域名为，ISA服务器同时也是AD+DNS. 2、公司因为业务需要有移动用户需要在外出办公的时候连到公司网络，访问公司资源。 3、要求用ISA2006部署L2TP VPN提供移动用户VPN服务。三、思路分析： 1、假设VPN已经建设好，移动用户使用VPN拨号的帐号和密码如何设定 2、当移动用户使用VPN连到公司网络后，IP地址，网关，DNS如何取得 以上2个问题我们先要解决。四、实验步骤：1、在AD上建设OU= vpn-user 再建设vpn-user群组参加到OU中，在群组中建vpn1,vpn2用户。 2、建设DHCP服务器，给VPN用户分配IP地址，网关，DNS等网络参数，根据环境自定义。 3、在ISA2006服务器上部署DHCP服务器，配置相关防火墙规则 4、在防火墙规则中配置DHCP中继代理 5、在管理工具“路由和远程访问中配置DHCP中继代理。 6、在ISA2006中启用VPN服务 7、建设一个允许VPN客户访问的内网访问防火墙策略。五、实验过程： 1、在AD中建设OU,群组，用户过程略。 2、建设DHCP服务器，配置相关网络参数过程略。 3、在ISA2006中部署DHCP服务器，配置相关防火墙规则。 默认情况下，当一台ISA服务器安装DHCP服务时，DHCP服务器不会对请求作出相应。要使DHCP服务器运行，需要创立以下规则：A、 一条允许从DHCP客户端所在的网络向本地主机网络发送DHCP请求规则。B、 一条允许从本地主机网络向DHCP客户端所在的网络发送DHCP答复的规则。C、为了防止与其他规则冲突，应确保配置的允许DHCP请求规则在规则排序中高于其他任何匹配DHCP请求的，使用名称解析的规则。规则建设见以以下图，请大家对应以以下图红框自行建设，注意规则的次序，不要违反C注意点接下来在防火墙中配置DHCP中继代理防火墙规则，见以以下图：请自行建设红框中的规则：接下来在“路由和远程访问配置DHCP中继代理服务，如以以下图右键单击“DHCP中继代理程序，点击“属性，将DHCP服务器的IP输入。右键单击“DHCP中继代理程序，点击“新增接口，选择“本地连接 注内部网络接口 ，点击“确定 完成DHCP中继代理的配置：接下来启用在ISA2006中启用VPN服务器，首先进展“配置地址分配方法如图在跳出的“虚拟专用网络属性中做如下配置：接下来“启用vpn客户端访问在跳出的“VPN客户端属性中完成“常规配置，“组配置，将AD中建设的vpn-user群组添加到“组中，点击应用。然后配置“协议和“用户映射，配置如以以下图：点击“应用如以以下图这个时候我们点击“选择访问的网络可以看到“外部已经被自动选定我们还要建设一个允许VPN客户访问内部网络的防火墙规则如以以下图，请自行建设最后在AD中给我们的VPN用户的帐号添加拨号权限：到此我们已经配置完成L2TP VPN的配置，重新启动ISA服务器电脑。接下来我们来测试是否可以使移动用户使用VPN连接到公司的网络。在“网上邻居新建连接后如图配置新建连接的“属性在“常规中输入ISA的外部的IP地址，然后输入“用户名和“密码，就是我们在AD中建设的属于vpn-user群组的用户和密码.最后可以看到“已经通过身份验证，到此成功完成移动用户使用L2TP VPN连接公司网络的方案部署。然后我们在ISA防火墙建设一条规则如下：然后使用ping 命令可以ping 通ISA防火墙也可以访问他的共享文件夹，而且能通过DHCP服务器能获得IP地址以及相关的网络参数，到此我们的实验已经成功。在ISA2006的“监视，查看“会话有一个激活的VPN客户端，IP地址是172.24.5.34，用户是VPN1，如图：实验四、使用ISA建设站点到站点的VPN一、实验拓扑图如上。 1、请大家按照拓扑图所示搭建好实验平台，网卡IP地址请按图中配置。二、实验要求 1、2台电脑装2台虚拟机，一台AD+ISA2006+DNS,一台Client端。 2、域用户能够通过VPN访问I域中的资源。同样，I域中的用户能通过VPN访问 的资源。 3、分别在2台ISA服务器上配置好DHCP服务和DHCP中继代理服务，和配置好防火墙规则。配置过程参见实验3 4、在中建设用户remote,并赋予拨号权限，在中建设用户main，赋予拨号权限。过程略三、实验步骤： 1、在上建设远程站点。 2、在上建设网络规则。 3、在上建设访问规则。 4、在上建设远程站点。 5、在建设网络规则。 6、在建设访问规则。 7、在上为远程站点拨入建设用户。 8、测试VPN连接。 四、实验过程： 1、为了便于我们测试，先在ISA防火墙里定义个规则： A、允许内部到外部的所有访问、所有网络到本地的ping。如图：先再上配置站点到站点的VPN，翻开ISA2006控制台，点击“虚拟专用网络，点击右边任务面板中的“添加远程站点网络在“欢送使用网络创立向导页，输入远程站点的名字，在此命名为main，点击“下一步在“VPN协议页，选择“点对点隧道协议PPTP，点击“下一步在“连接所有者页，选择ISA服务器阵列成员：在远程站点网关，输入外部网络地址，如图：在“远程身份验证页中，输入的用户名必须和远程VPN网关上具有拨号权限的对应远程站点的用户名和密码，注意，这个用户名和密码必须和远程VPN网关上设置的远程站点名字一样，在后面我们在 上建设，在这里先输入用户remote和对应的密码。点击“下一步继续：在“网络地址页，点击“添加输入远程子网的IP地址范围，如图：在“远程NLB页，不要选中红框中的选项，点击“下一步，如图：在“点对点连接向导页，保持默认设置不变，点击“下一步：在“点对点网络访问规则页，为方便测试做如下配置，实际工作中按需求来选择相关协议，点击“下一步：点击“完成后，应用新的规则后，重新启动ISA服务器。在的建设的过程是一样的，要注意的是，远程站点的IP地址，站点的名称。用户名必须和远程VPN站点名称一致，用户要有拨号的权限。 实验五、使用ISA2006发布WEB站点一、实验拓扑图如上二、实验要求： 1、公司现在有一台WEB服务器，IP地址是172.24.5.10，现在要使用ISA2006发布这个WEB站点三、实验步骤： 1、首先在WEB服务器中架设一个WEB站点，过程略 2、在ISA2006服务器中发布这个站点。四、实验步骤： 1、我们将发布位于内网IP为172.24.5.10/24的WEB服务器上的站点，其中ISA服务器其中ISA服务器的内部接口为172.24.5.1/24.首先，我们翻开ISA 2006的管理控制台，展开你的服务器，在防火墙策略上面点击右键，选择新建，然后点击“网站发布规则：在“新建Web发布规则向导输入web发布规则名称：选择“允许规则，点击“下一步在“发布类型选择“发布单个网站或负载平衡器，点击“下一步在“服务器连接安全选择图中框中的选项：在“内部发布详细信息配置如图，站点名称为WBE服务器内部站点的名称，点击“下一步：在“内部发布详细信息，如以以下图配置，可以不用配置。点击“下一步：在“公共名称细节做如以以下图配置：在“选择WEB侦听器，配置如以以下图：在“身份验证委派中选择“ 根本身份验证如图：在“用户集选择“所有用户，“所有通过身份验证的用户，如以以下图：点击“完成“应用web发布规则，使用ISA2006发布WEB站点完毕。