《ISA Server案例及实验手册.doc》由会员分享,可在线阅读,更多相关《ISA Server案例及实验手册.doc(35页珍藏版)》请在三一办公上搜索。
1、ISA Server 2006实验手册Module A: 安装ISA 2006Module B: ISA 界面的入门操作Module C: 配置出站Internet访问Module D: 服务的发布Module E: 启用VPN连接Lab version 1.0a (23-Jul-2008) A4目录Module A: 安装ISA 20061练习一: ISA 2006 的安装1Module B: ISA 界面的入门操作5练习二:熟悉ISA的界面5Module C: 配置出站Internet访问7线习三:允许出站的WEB访问7练习四:允许对外网的PING13练习五:ISA主机对外网的访问16Mo
2、dule D: 服务的发布20练习六:内网WEB服务器发布20练习七:给发布的WEB服务指定URL25练习八:发布另一个站点27Module E: 启用VPN连接30练习九:在ISA上启用VPN传入连接30练习十:允许VPN客户端的访问32注:实验之前先做好连通性测试Module A: 安装ISA 2006练习一: ISA 2006 的安装ISA的安装需要在Windows 2003 的服务器版上执行,按照我们的实验环境,首先我们要在Florence这台服务器上安装ISA 2006,放入光盘后可以看到如下画面:许可协议和输入相关的安装信息界面,这个不用说了吧,填上去就行了由于我们是安装全网络的第
3、一台ISA Server,而且也没有相对应的配置存储服务器,所以现在把它们一并安装上去:这个时候我们也要创建第一个ISA服务器企业;当然,它会给出一个警告,确定就行了:这个时候,安装向导会要求你指定内部网络地址范围,从你的适配器中选择一个把,可以想想哪一个适配器是和你的内部网络连接的?防火墙客户端设置,暂时就先用默认设置安装吧,也就是说不用选择下面那个“允许不加密的防火墙客户端连接”复选框:然后,就简单了:这样就安装就结束了!Module B: ISA 界面的入门操作练习二:熟悉ISA的界面在Florence计算机上,点击“开始”菜单、“所有程序”、“Microsoft ISA Server”
4、,然后打开“ISA 服务器管理”:现在你看到的就是MMC3.0的新界面了,左边是树窗格,中间是详细窗格,右边是任务窗格;试下它的基本操作吧!由于我们所使用的Florence是包含3个网络连接的三向外围网络,所以,我们在这个地方用“网络模板”中的“3向外围网络”来更改当前的网络模板。有一个向导会出来,试下你会完成它吗?注意,选择一个防火墙策略的时候,为了安全,可以选择“阻止所有访问”,这样,任意访问都会被ISA拒绝掉的,就算是内网到外网的任何访问。Module C: 配置出站Internet访问线习三:允许出站的WEB访问默认情况下所有的访问都是被ISA阻止掉的,我们可以打开“ISA服务器管理”
5、,点击“阵列”,“防火墙策略”可以看到目前的所有防火墙策略实施情况,目前只有一个,那就是“默认规则”,拒绝所有访问。我们从Denver上测试下,Denver上的网络设置应该是这样的:在Denver上,我们即不能够访问到外网,同进也不能够和ISA服务器进行通讯,可以通过Ping命令来测试。好了,我们现在开始设置第一个防火墙策略,就是让内网的用户可以通过ISA服务器访问外网的WEB服务器。点击任务窗格下的“创建访问规则”,弹出“新建访问规则向导”。“规则操作”把它改成“允许”,默认情况下是“拒绝”然后就是我们确定允许哪些协议的问题了,这样操作:添加两个允许的协议吧,一个是HTTP,一个是HTTPS
6、,它们所对应是TCP协议的80和443端口哦!接下就是设置源网络和目的网络的事情了,记得ACL中的源和目标吗?一样的道理:“用户集”就选择“所有用户”吧!好,防火墙策略就创建好了,但步骤并没有完成,还要进行下面的操作,我们要把设置好的配置文件同步到ISA服务器中去,首先选择“应用”。应用之后就去监视面板“配置”选项卡中去查看状态,一个是三个过程,一般情况下30秒中就可以完成了,“已同步”之后,配置才会生效。同步完成后就可以进行测试了。在Denver上打开IE输入外网Istanbul计算机的IP地址,别忘了Istanbul上的IIS已经安装和设置好了可以访问外网上的机器Istanbul的吧,这样
7、其它的外网机器也没有问题了!我们在Denver这台内网机器上用PING命令检查一下连通性,PING下网关和Istanbul,结果是什么?为什么会出现这样的结果呢?WEB都能访问了,可就是PING不通。练习四:允许对外网的PING现在我们来看看防火墙策略,第1个是这么写得,允许内部到外网HTTP和HTTPS的访问,就这么一条,那就只能是WEB通讯可以实现了。那现在加个PING上去,和刚才步骤差不多了:继续创建一个访问规则好了,记得还是要“应用”下,然后再等待30秒中的时间,等配置信息生效,然后就是Denver上测试下,看能不能够PING到Istanbul上面去。OK再PING下你的网关了,也就是
8、ISA的那台计算机?不通吧!奇怪,PING不通网关但可以PING通外网,想想为什么?看好,要让Denver能够PING通网关,这样操作:把右边的“网络对象”里面的“本地主机”拖到防火墙策略下面的“Allow Outbound Ping”策略的“到”上面去。结果就是这样的,应用之后,等30秒OK,现在PING网关,可以PING通了吧,看来这个“本地主机”,就是防火墙本身了。练习五:ISA主机对外网的访问内网能够对外网访问了,同时也提到了,ISA Server本身就够成了一个本地主机,那么,我们在Florence上能不能PING到外网的Istanbul呢?又能不能打开外网Istanbul的网页呢?
9、奇怪,能够PING到Istanbul。网页不能够打开,正常!那为什么能够PING通不却不能访问呢?其实是由于防火墙的隐藏的“系统策略规则”造成的。我们看下有些什么?ISA 2006里面有默认34条系统策略规则,那它的第12条就是让“本地主机”可以PING“所有网络”的,但是没有WEB访问的“所有网络”的策略,能PING通不能通过WEB访问就是这样造成的。好,添加一个从“本地主机”到“外部”的WEB访问就行了。好,现在就可以打开Istanbul上的网页了。看,我们成功了!Module D: 服务的发布练习六:内网WEB服务器发布这个实验是让我们把内部网络上的Denver计算机上的WEB发布到公网
10、上,让外网的用户能够访问。记住要在Denver上装IIS。点击任务窗格上的“发布网站”,然那通过下面的向导来完成:这个可以起个有意思的名称这个选项将改变外网访问内网的方式如IP或者是域名现在要创建一个侦听器了,这个部件的作用就是在ISA上侦听某一个端口,然后再把它上面收到的特定请求传发到特定地方。比始在ISA外网上侦听80端口,把相关的WEB请求转发到内网Denver上的80端口。侦听器做好了之后继续如下操作,这个就是做好之后的情况:好。完成之后就可以到Istanbul上面访问内网Denver计算机上面的网页了。练习七:给发布的WEB服务指定URL刚才发布的网站,我们选择的“公共名称细节”是“
11、任何域名”,外网用户可以通过IP或者是域名来访问,我们现在把它改成是只能通过域名访问,也就是指定一个特定的URL。可以通过以下方式修改:现在只能通过域名访问了练习八:发布另一个站点假定我们的内网里面有两个WEB服务器,我们要同时发布两个WEB站点,一个是,一个是 可以通过在Denver上绑定两个IP来做这个实验。OK,现在可以通过外网Istanbul的IE内网的两个网站了Module E: 启用VPN连接练习九:在ISA上启用VPN传入连接下面这个就是ISA 2006上面的VPN设置窗口了,可以明显的看到ISA支持两种VPN模式,一种针对VPN客户端的访问,一钟是针对远程站点的访问。2、然后再启用VPN1、先定义地址分配启动之后,ISA会自动的启用路由和远程访问。然后就是建一个账号,并允许远程客户端边接进来。练习十:允许VPN客户端的访问VPN服务器上的设置做好了,那客户端的设置就比较简单了,我们可以在Istanbul上面来做VPN的客户端进行拨号,怎么建立VPN拨号自己回忆下吧。拨号成功后就能够成功的分配到IP地址了,但不能访问任何网络里的资源,这时应该进行相应的策略。这里用VPN客户端就OK了应用之后用VPN访问试下吧
