仁寶電子有限公司資訊部內部文件 http://cetwww

Microsoft

Internet Security &

Acceleration Server 2004
SOP

By:Yang. Xeon

1
 仁寶電子有限公司資訊部內部文件 http://cetwww

目 錄
一、ISA 2004 概述............................................................................... 3
1、新功能概述.................................................................................. 3
2、全新的多網絡架構支持................................................................ 6
3、更方便的管理............................................................................... 7

二、安裝ISA Server 2004.......................................................................8

1、系統及網絡需求............................................................................ 8
2、演示.............................................................................................. 9

三、配置允許所有內部用戶訪問Internet的所有服務的訪問規則…......... 9
1、系統策略...................................................................................... 9
2、訪問策略...................................................................................... 9

四、設置ISA Server 2004的緩存功能....................................................10

五、客戶端的部署..................................................................................10

六、ISA Server 的系統和網絡監控、報告.............................................11

1、系統和網絡監控.......................................................................... 11
2、報告........................................................................................... 14

七、發布內部網絡中的服務器...............................................................14

八、遠程管理ISA Server 2004...............................................................14

1、允許計算機可以遠程控制ISA Server 2004..................................14
2、授權用戶遠程管理ISA Server 2004.............................................15
3、安裝管理工具..............................................................................15

2
 仁寶電子有限公司資訊部內部文件 http://cetwww

一、ISA 2004 概述
作爲著名路由級網絡防火墻Microsoft® Internet Security and Acceleration Server 2000 （以
下簡稱爲ISA Server 2000）的升級版，微軟已經在2004 年7 月13日發布了Microsoft® Internet
Security and Acceleration （ISA） Server 2004（以下簡稱爲ISA Server 2004）。它和ISA Server
2000 相比，到底有哪些值得我們期待的新功能呢？本節詳細地介紹ISA Server 2004 的新特性，幷且
圖文幷茂的介紹了ISAServer 2004 中新增加的重要功能。

1、新功能概述
和ISA Server 2000 相比，ISA Server 2004 中引入了多網絡支持、易于使用且高度集成的虛擬專
用網絡配置、擴展的和可擴展的用戶和身份驗證模型、深層次的HTTP 協議檢查以及經過改善的管理功
能（包括配置導入和導出）,下表詳細列出了ISA 2004的新特性。

3
 仁寶電子有限公司資訊部內部文件 http://cetwww

ISA Server 2004新特性一覽

功能 描述
應用層過濾
允許防火墻執行更深層次的HTTP協議狀態檢查，幷且可以基于
基于每個策略的HTTP過濾
每個策略來配置。

禁止用戶通過HTTP協議訪問Windows下的可執行文件(比如
阻止訪問可執行文件
Cmd.exe)

通過文件擴展名來控制 HTTP策略 可以基于文件擴展名來定義准許或者禁止訪問

HTTP過濾應用到所有的客戶連接 通過HTTP策略，你可以控制所有的ISA Server 2004客戶連接

可以建立.HTTP簽名.來和客戶請求的URL進行比較，從而精確地
HTTP簽名
控制內部和外部用戶

控制用戶HTTP訪問的方式。例如，你可以限制HTTP POST來阻止
控制允許的HTTP方式
用戶向Web站點上傳數據

ISA Server 2004允許Internet用戶通過Outlook訪問內部

支持Outlook的RPC連接
Exchange服務器。

FTP策略 FTP策略甚至可以讓用戶只能下載數據

安全與防火墻
協議支持 支持對任何協議（包括 IP等級協議）訪問和使用的控制。

許多流媒體和音頻/視頻應用這種複雜協議在ISA Server
支持需要多個主連接的複雜協議 2004中也提供了支持。你可以管理它們，也可以通過易于使用
的協議嚮導輕鬆建立協議。
允許控制任何協議的源和目的端口，這讓你可以從更高級別上
可自定義的協議
管理允許進入和流出的數據包。

通過簡單的防火墻設置即可訪問Hotmail而不需要其他在客戶
方便的Hotmail支持
端或者防火墻上進行特殊設置

防火墻規則嚮導 ISA Server 2004包含的新規則嚮導集，讓你建立策略更輕松。

Outlook Web Access發布嚮導可以很方便地建立Exchange服務

OWA發布嚮導
器的SSL訪問規則。
4
 仁寶電子有限公司資訊部內部文件 http://cetwww

FTP支持 允許訪問非標準端口的Internet FTP服務

多網絡
可以配置一個或多個網絡，幷使每個網絡都與其他網絡有明確
多網絡配置 的關係。訪問策略是相對于多個網絡而定義的，而不必相對于
給定的內部網絡。
ISA 服務器的多網絡功能使您可以限制客戶端（甚至您自己組
唯一的基于網絡的策略 織內部的客戶端）之間的通訊，從而防止網絡受到內部和外來
的安全威脅。
ISA 服務器包含與常見網絡拓撲對應的網絡模板。可以使用網
網絡模板
絡模板來爲網絡之間的通訊配置防火墻策略。
ISA Server 2004中可以根據網絡之間所允許的訪問和通訊
NAT 和路由網絡關係
類型來定義網絡關係。主要包括NAT和路由兩種關

監視和報告
實時日志監控 可以實時監控防火墻、Web Proxy和SMTP郵件的日志。

內建日志查詢工具 支持使用內建的日志查詢工具來查詢日志文件。
可以即時監控所有活動的防火墻會話，也可以使用內建的會話
對防火墻會話的實時監控和過濾
過濾工具來對會話進行過濾
你可以通過連接驗證器來驗證到一個指定的計算機或者URL之
間是否連通。你可以通過以下方式來决定連通性：Ping、連接
連接驗證器
到特定端口的TCP或者HTTP GET。你可以通過IP地址、計算機名
字或者URL來指定驗證的對象。
ISA Server 2004包含了一個增强的報告自定義特性，允許
自定義ISA Server 2004報告
你在報告中記錄更多信息。
ISA Server 2004報告生成工具可以自動保存一個副本在本
報告發布
地目錄或者網絡共享文件目錄，方便其他用戶訪問。
你可以配置報告生成工具在某個報告完成後給你發送一個電子
報告完成後的E-mail通知
郵件
ISA Server 2004可以讓你自定義報告所跨越的時限，這給你更
可以自定義報告跨越的時限
多的可擴展性。
你可以把日志記錄在內部網絡中另外一台運行SQL Server數據
增强的SQL服務器記錄
庫的計算機上。
日志可以存儲爲MSDE格式，記錄在本地數據庫增强了速度和擴
記錄到MSDE數據庫
展性

管理
5
 仁寶電子有限公司資訊部內部文件 http://cetwww

SA Server 2004包含了新的管理特性，新的用戶界面包含任務
管理 面板、幫助面板、一個改進的開始嚮導和和全新的防火墻策略
編輯器。
ISA Server 2004引入了導入和導出配置信息的能力，從而
導入和導出
大大簡化了重複的配置工作。
防火墻管理員權限委派嚮導幫助你給用戶或用戶組分配管理角
防火墻管理員權限委派嚮導 色。這些預定義的角色可以讓你委派不同級別的管理任務到用
戶。

VPN網絡
VPN客戶端被配置爲單獨的網絡，你可以爲VPN 客戶端創建單獨
VPN狀態過濾和檢測 的策略。規則引擎會有區別地檢查來自VPN客戶端的請求，對這
些請求進行狀態檢查，幷基于訪問策略動態地打開連接。
Site-to-Site的VPN隧道的通信狀 ISA Server 2004對Site-to-Site的VPN隧道連接引入了狀態檢
態檢查和過濾 查和過濾機制。
在確認符合公司的安全要求前，可以將VPN 客戶端隔離到.被隔
VPN隔離控制
離的VPN客戶端.網絡中。
使用ISA Server 2004服務器發布策略來發布VPN服務器，讓ISA
發布VPN服務器
Server 2004中智能的PPTP應用過濾器執行負責的連接管理
支持Site-to-Site VPN鏈路上的 ISA Server 2004中可以使用IPSec隧道模式作爲VPN協議，而且
IPSec隧道模式 它可以和許多第三方VPN解决方案一同工作。

2、全新的多網絡架構支持
ISA 2004 內置了五種網絡架構，分別是：邊緣放火墻、向外圍防火墻、前端防火墻、後端防火墻、
單一網絡適配器。

6
 仁寶電子有限公司資訊部內部文件 http://cetwww

3、更方便的管理

7
 仁寶電子有限公司資訊部內部文件 http://cetwww

二、安裝 ISA Server 2004

1、系統及網絡需求
要使用 ISA Server 2004服務器，您需要：
　 CPU：至少550 MHz，最多支持四個CPU（標準版），企業版無限制；
　 內存：至少256 MB（不過在實際情况中，64M的內存下都可以運行ISA Server 2004，只是性能沒有
那麽好）；
硬盤空間：150 MB，不含緩存使用的磁盤空間；
操作系統：Windows Server. 2003 或 Windows® 2000 Server 操作系統，强烈推薦在Windows Server.
2003 上安裝。如果在運行 Windows® 2000 Server 的計算機上安裝 ISA Server 2004 服務器，那麽必
須達到以下要求：
　 必須安裝 Windows 2000 Service Pack 4 或更高版本；
　 必須安裝 Internet Explorer 6 或更高版本；
　 如果您使用的是 Windows 2000 SP4 整合安裝，還要求打KB821887 補丁（關于Events for
Authorization Roles Are Not Logged in the Security Log When YouConfigure Auditing for Windows
2000 Authorization Manager Runtime，可在http://go.microsoft.com/fwlink/?LinkId=23371 下載）；
　 網絡適配器：必須爲連接到 ISA Server 2004 服務器的每個網絡單獨準備一個網絡適配器，至少需
8
 仁寶電子有限公司資訊部內部文件 http://cetwww

要一個網絡適配器。但是在單網絡適配器計算機上安裝的ISA Server 2004服務器通常是爲發布的服務

器提供一層額外的應用程序篩選保護或者緩存來自 Internet的內容使用。
　 DNS服務器：ISA Server 2004服務器不具備轉發DNS請求的功能，必須使用額外的DNS 服務器。你或
者在內部網絡中建立一個DNS 服務器，或者使用外網（Internet）的DNS服務器。
　 網絡：在安裝ISA Server 2004 服務器以前，應保證網絡正常工作，這樣可以避免一些未知的問題。

2、安裝演示如下：

http://cetwww/netteam/isa2004training/demo/installation.htm

三、配置允許所有內部用戶訪問Internet的所有服務的訪
問規則
1、系統策略
在安裝 ISA Server 2004 服務器時，會創建默認的系統策略。系統策略允許 ISAServer 2004 服
務器訪問它連接到的網絡的特定服務。在防火墻策略上點擊右鍵，點擊編輯系統策略

2、訪問策略
ISA Server 2004 安裝以後的默認配置是禁止所有通過ISA Server 的訪問流量，可以通過規則配
置嚮導爲客戶端設置基本的對外訪問規則，安裝演示如下：
9
 仁寶電子有限公司資訊部內部文件 http://cetwww

http://cetwww/netteam/isa2004training/demo/rule-1.htm

http://cetwww/netteam/isa2004training/demo/rule-2.htm

四、設置ISA Server 2004的緩存功能

1、ISA Server 2004提供了比ISA Server 2000更加强大，配置更爲簡明的緩存功能。
http://cetwww/netteam/isa2004training/demo/cache-1.htm

2、ISA Server 2004可以實現對某些特定站點內容的調度下載，以减輕訪問高峰時對服務器的壓力。

http://cetwww/netteam/isa2004training/demo/cache-2.htm

五、客戶端的部署
打開ISA2004，選擇『配置』－『網絡』－『內部』

10
 仁寶電子有限公司資訊部內部文件 http://cetwww

在『web代理』和『防火墻客戶端』兩項中設置使客戶端可以使用。

FireWall Client 客戶端安裝演示：

http://cetwww/netteam/isa2004training/demo/fwc-2.htm

六、ISA Server 的系統和網絡監控、報告

1、系統和網絡監控
和ISA Server 2000相比，在ISA Server 2004中監控系統和網絡是一件很輕鬆的事情。通過ISA控
制臺的監視節點，你可以瞭解到ISA的日志、內部客戶和ISA服務器之間的會話、ISA的系統服務運行情
况，你還可以通過日志來查詢當前的網絡活動，也可以配置連接性檢查和生成網絡活動的報告。通過新
增的儀錶板，你可以一目了然的看到ISA Server 當前的系統和網絡運行狀况。

11
 仁寶電子有限公司資訊部內部文件 http://cetwww

ISA Server 2004的日志系統采用的是SQL Server 的簡化版進行存儲，不但高效，而且性能卓越，

在日志中可用于查詢的條件達到了幾十項，如Client IP、連接狀態等等。例如，我們現在需要瞭解內
部網絡中IP 爲10.128.2.97 的客戶當前的網絡活動，則點擊『日志』－『面板』，然後點擊『編輯篩
選器』，只需要簡單的幾步，就可以排列出所有需要的相關的信息。

12
仁寶電子有限公司資訊部內部文件 http://cetwww

13
 仁寶電子有限公司資訊部內部文件 http://cetwww

2、報告
與ISA Server 2000相比，ISA Server 2004提供了更加靈活和强大的報表功能，具備了更强的可定
制性。演示如下
http://cetwww/netteam/isa2004training/demo/report.htm

七、發布內部網絡中的服務器
ISA Server 2004既可以通過經典的反向NAT方式發布位于內部網絡的服務器，也可以使用特有的應
用層服務器發布方法對外網提供內部網站資源，另外對于Excange Server 的發布還具有專門的支持。
演示如下：
通過ISA Server 2004 發布Web服務器
通過ISA Server 2004發布FTP服務器，在ISA Server 2004中新增了對端口映射的强大支持

八、遠程管理ISA Server 2004

作爲一個網管，你肯定會討厭親自到服務器面前去進行操作吧。ISA Server 2004 的人性化設計中
已經考慮到了這點，你可以不使用終端服務或者其他遠程桌面控制軟件就可以實現ISA Server 2004 的
遠程管理。只需要通過以下兩步就可以實現ISA Server 2004的遠程管理：
　 ● 允許某台（些）計算機可以遠程控制ISA Server 2004；
　 ● 授權用戶可以遠程管理ISA Server 2004；

1、允許計算機可以遠程控制ISA Server 2004

首先，我們得設置ISA Server 2004 允許被遠程管理。打開ISA 管理控制臺，右擊『防火墻策略』
選擇『編輯系統策略』

14
 仁寶電子有限公司資訊部內部文件 http://cetwww

點擊『遠程管理』下的『Microsoft管理控制臺（MMC）』，確定常規頁是『啓用』，然後點擊『從』
頁；

在『從』頁，你可以指定允許遠程控制ISA Server 2004 的一台或者多台計算機，這裏使用的是『內

部』

2、授權用戶遠程管理ISA Server 2004

演示如下：
http://cetwww/netteam/isa2004training/demo/delegation.htm

3、安裝管理工具
我們現在已經成功的配置了ISA Server 2004 防火墻以允許遠程管理，現在我們需要在遠程控制的
計算機上安裝管理工具。在控制計算機中放入ISA Server 2004安裝光盤，在ISA Server 2004 安裝中
選擇自定義安裝，在組件中只是選擇.ISA服務器管理即可。

15
仁寶電子有限公司資訊部內部文件 http://cetwww

16