IT网络知识-Microsoft 防火墙ISA2004配置及安装，喜欢的请关注

Microsoft Internet Security Acceleration

Microsoft Internet Security Acceleration

(ISA2004)的安装标准

ISA 防火墙需要一台装有两个网络适配器的计算机。需要将其中的一个适配器连接到内部网络。将另外一个适配器连接到您的 Internet 服务供应商 (ISP)。ISP 能帮助您建立该连接。防火墙通过阻止 Internet 上的其他人访问内部网络或您的计算机上的机密信息，来充当企业 Intranet 与 Internet 之间的安全屏障。

ISA可以安装在独立的计算机上、Windows NT 域成员计算机上或Windows 2003 Active Directory 域成员的计算机上。为实现最高的安全性，建议应在一台独立计算机上运行 ISA Server。

网络适配器的配置涉及到设置连接 Internet 的外部接口和连接基于 Windows 的网络的内部接口。您的 ISP 应该提供静态 IP 地址、子网掩码、默认网关以及一台或多台 DNS 服务器。在连接到 ISP 的网卡的 TCP/IP 设置中，输入该信息。一些 ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息，这样也可以。

一、ISA安装的步骤：

1、确保服务器有两张或者两张以上网卡，并给网络命令，内部网卡命令为“LAN”，外部网卡“WAN”，有非军事防火区的命令为“DMZ”，如果有备用网卡的命令为“BACK”，这样是为了直观而以；

2、为了保证网卡顺序，将顺序设置为LAN、DMZ、WAN、BACK，设置方法“网上邻居”右键属性，高级----高级设置；

3、将准备好的ISA安装文件打开，点击运行“ISAAutorun.exe”，点击“安装ISA Server2004”；

4、欢迎安装向导，点击“下一步”；

5、许可协议，“我接受许可协议中的条款”，点击“下一步”；

6、客户信息，点击“下一步”；安装类型，点击“下一步”；

7、内部网络，点击“添加”，再点击“选择网卡”；将“添加下列专用范围。。。”钩去掉；将“LAN”网卡选择上，点击“确定”；内部网络地址范围（从-到）会有你的内网地址；点击“下一步”，防火墙客户连接设置，将“允许运行早期版本的防火墙客户软件的计算机连接”，服务，点击“下一步”，再点击“安装”，这个时候要耐心等待片刻，再点击“完成”，重新启动计算机；

8、将ISA补丁更新安装；

二、ISA配置管理

1、日志管理：日志文件格式统一为文件格式，存放在d:\isa_log，日志保存天数：15天；操作方式：打开“ISA服务器管理器”----监视----“配置防火墙日志、配置Web代理日志、配置SMTP消息筛选器日志”----“选项”将日志文件保存在路径“d:\isa_log”，“删除旧的文件。文件保留日期的日期（天）”；

2、防火墙策略管理：

2.1策略配置实例：

（1）在“防火墙策略”点击鼠标右键，选择“新建”，再选择“访问规则”；

（2）“访问规则名称”，这里拿“上班2小时”为例，输入“上班2小时”，点击“下一步”；

（3）规则操作，选择“允许”，点击“下一步”；

（4）协议，此规则应用到，选择“所选的协议”，点击“添加”，将“HTTP/HTTPS/FTP/SMTP/POP3”添加到协议内，点击“下一步”；

（5）访问规则源，点击“添加”，网络实体，点击“新建----计算机集”，输入定义的名称（上班2小时_办公室，同时可以将需求添加的计算机或者用户加入），点击“下一步”；

（6）访问目标规则源，点击“添加”，网络实体，选择添加“外部”，点击“下一步”；

（7）用户集我们没有绑定，点击“下一步”，再点击“完成”；

（8）在刚才新建的策略上点击右键“属性”iis 管理器，选择“计划”，点击“新建”；

（9）新建计划名称（上班2小时），“设置基于此计划的规则的激活时间”，通过鼠标选择为“非活动”，再通过鼠标上午一个小时选择，点击“活动的”，再点击“确定”；

（10）要保存更改并更新配置，点击“应用”；

3、下载限制，针对每条策略的级别进行相关文件下载限制，保证网络和病毒的控制；这个只有对开放HTTP协议才有，在策略上点击右键“配置HTTP”，选择“扩展名”，指定对文件扩展名的要求操作iis 管理器，可以通过“允许指定的扩展名、阻止指定的扩展名”将要拒绝的扩展名或者允许的扩展名写入，将“阻止含不明确的扩展名请求”选择上，点“确定”，再“应用”。

4、保证文件安全，控制大文件流失，FTP上传，除允许用户可以上传的相应的地方外，在允许访问FTP协议的，在策略上点击右键“配置FTP”，将“只读”钩上，上载将被阻止。

5、Site to Site IPSec VPN配置

（1）虚拟专用网络（VPN），远程站点，任务内“添加远程站点网络”，网络名统一定义为“PIXNet”，点击“下一步”；

（2）选择“IP安全协议（IPSec）隧道模式”，点击“下一步”；

（3）连接设置，远程VPN网关IP地址“这是怎么总部根据分公司运行商到总部链路状况“确定提供地址；本地VPN网关IP地址，选择“外部”，点击“下一步”；

（4）IPSec身份验证，用预共享密钥进行身份验证，总部提供的密钥为准，点击“下一步“；

（5）网络地址，地址范围，点击“添加“，目前的范围“192.168.0.0-192.168.3.2555、10.11.0.0-10.11.255.255”，点击“下一步”，再点击“完成”；

（6）“配置”内选择“网络”，右键“新建----网络规则”，网络规则名称统一定义为“ISANet”，点击“下一步”；

（7）网络通讯源，点击“添加”，选择“内部”，点击“下一步”；

（8）网络通讯目标，点击“添加”，选择“PIXNet”，点击“下一步”；

（9）网络关系，选择“路由”，点击“下一步”，再点击“完成”；

（10）防火墙策略，新建一条策略允许“内部、本地主机、PIXNet”到“内部、本地主机、PIXNet”，所有协议，24小时，配置FTP只读钩去掉；

（11）虚拟专用网络（VPN），在PIXNet上点击右键“属性”，选择“连接”，点击“IPSec配置”，阶段I，加密算法选择“DES”，完整性算法选择“SHA1”；阶段II，加密算法选择“DES”，完整性算法选择“SHA1”，生成新密钥的间隔设置为“100000”，点击“确定”，再“应用”更新配置。