Copyright by ISACN.org©2004 http://www.isacn.org
第 2 页,共 114 页
目 录
一、ISA 2004 王者归来...............................................4
1、新功能概述 ...................................................4
2、全新的多网络架构支持 .........................................7
3、增强的虚拟专用网络(VPN) ....................................8
4、更方便的管理 ................................................10
(1) 全新的管理界面........................................10
(2) 策略模板支持..........................................10
(3) 配置的导出和导入......................................11
(4) 其他管理增强..........................................12
5、全面的协议支持 ..............................................15
6、让网络更安全 ................................................16
(1)基于每个策略的 HTTP 过滤................................16
(2)阻止对所有可执行文件的访问.............................17
(3)扩展名决定是否可以下载.................................18
(4)“ HTTP 签名”控制 HTTP 访问 ..............................19
(5)FTP 只读策略 ...........................................20
二、安装 ISA Server 2004...........................................22
一、系统及网络需求 .............................................22
二、建立内部的 DNS 服务器 .......................................22
(1)安装内部的 DNS 服务器...................................23
2、配置内部客户使用内部的 DNS 服务器.........................25
四、配置允许所有内部用户访问 Internet 的所有服务的访问规则..........34
1、网络规则.................................................34
2、访问规则.................................................35
(1)防火墙系统策略.........................................35
(2)建立访问策略...........................................36
3、配置请求拨号 ................................................42
五、使用边缘防火墙模板:五步建立访问策略...........................44
六、两步启用 HTTP 缓存..............................................49
1、设置缓存所用的驱动器 ........................................49
2、设置缓存规则 ................................................50
七、ISA Server 的系统和网络监控、报告 ..............................55
1、系统和网络监控 ..............................................55
2、报告 ........................................................58
八、使用访问规则向导来禁止某些内部用户访问某些网站.................62
1、新建网络对象 ................................................62
2、建立访问规则 ................................................66
九、禁止使用 P2P 软件 — QQ.........................................69
十、发布内部网络中的服务器.........................................73
1、使用 Web 发布向导发布内部的 Web 站点 ..........................73
Copyright by ISACN.org©2004 http://www.isacn.org
第 3 页,共 114 页
2、使用服务器发布向导发布非标端口的内部 ftp 站点 ................80
3、使用邮件服务器发布向导发布内部的邮件服务器 ..................84
十一、利用 ISA Server 2004,四步建立你自己的 VPN 服务器 .............88
1、启用 VPN 服务器 ..............................................89
2、配置远程访问属性 ............................................91
3、给予用户拨入权限 ............................................93
4、建立访问规则 ................................................95
十二、ISA Server 2004 的无人值守安装 ..............................100
十三、远程管理 ISA Server 2004....................................106
1、允许计算机可以远程控制 ISA Server 2004......................106
2、授权用户远程管理 ISA Server 2004............................107
十四、ISA Server 2004 的故障恢复 ..................................112
Copyright by ISACN.org©2004 http://www.isacn.org
第 4 页,共 114 页
一、ISA 2004 王者归来
作为著名路由级网络防火墙 Microsoft® Internet Security and Acceleration
Server 2000 (以下简称为 ISA Server 2000)的升级版,微软已经在 2004 年 7 月 13
日发布了 Microsoft® Internet Security and Acceleration (ISA) Server 2004(以
下简称为 ISA Server 2004)。它和 ISA Server 2000 相比,到底有哪些值得我们期待的
新功能呢?本节详细地介绍 ISA Server 2004 的新特性,并且图文并茂的介绍了 ISA
Server 2004 中新增加的重要功能。
图注 ISA Server 2004 的 120 天评估版安装界面
1、新功能概述
和 ISA Server 2000 相比,ISA Server 2004 中引入了多网络支持、易于使用且高
度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的 HTTP 协
议检查以及经过改善的管理功能(包括配置导入和导出)。
Copyright by ISACN.org©2004 http://www.isacn.org
第 5 页,共 114 页
ISA Server 2004 新特性一览
应用层过滤
功能 描述
基于每个策略的 HTTP 过滤
允许防火墙执行更深层次的 HTTP 协议状态检查,并且可以基
于每个策略来配置。
阻止访问可执行文件
禁止用户通过HTTP协议访问 Windows下的可执行文件(比如
Cmd.exe)
通过文件扩展名来控制
HTTP 策略可以基于文件扩展名来定义准许或者禁止访问
HTTP 过滤应用到所有的客户连接
通过 HTTP 策略,你可以控制所有的 ISA Server 2004 客户
连接
HTTP 签名
可以建立“HTTP 签名”来和客户请求的 URL 进行比较,从而精
确地控制内部和外部用户
控制允许的 HTTP 方式
控制用户 HTTP 访问的方式。例如,你可以限制 HTTP POST
来阻止用户向 Web 站点上传数据
支持 Outlook 的 RPC 连接
ISA Server 2004 允许 Internet 用户通过 Outlook 访问内
部 Exchange 服务器。
FTP 策略 FTP 策略甚至可以让用户只能下载数据
安全与防火墙
功能 描述
协议支持
支持对任何协议(包括 IP 等级协议)访问和使用的控制。
支持需要多个主连接的复杂协议
许多流媒体和音频/视频应用这种复杂协议在 ISA Server
2004 中也提供了支持。你可以管理它们,也可以通过易于使
用的协议向导轻松建立协议。
可自定义的协议
允许控制任何协议的源和目的端口,这让你可以从更高级别上
管理允许进入和流出的数据包。
方便的 Hotmail 支持
通过简单的防火墙设置即可访问 Hotmail 而不需要其他在客
户端或者防火墙上进行特殊设置
防火墙规则向导
ISA Server 2004 包含的新规则向导集,让你建立策略更轻
松。
OWA 发布向导
Outlook Web Access发布向导可以很方便地建立 Exchange
服务器的 SSL 访问规则。
FTP 支持 允许访问非标准端口的 Internet FTP 服务。
多网络
功能 描述
多网络配置
可以配置一个或多个网络,并使每个网络都与其他网络有明确
的关系。访问策略是相对于多个网络而定义的,而不必相对于
给定的内部网络。
唯一的基于网络的策略
ISA 服务器的多网络功能使您可以限制客户端(甚至您自己组
织内部的客户端)之间的通讯,从而防止网络受到内部和外来
的安全威胁。