体验新版ISA Server
网络通信
最近微软推出了ISA Server 2004 Beta2版本,不管是从功能上,还是从管理界面上,ISA Server 2004都有了较大的突破,现在就用一个完整的ISA Server 2004部署实例来看看它到底新在哪里、强在哪里──用ISA Server 2004来实现内网ADSL的共享及安全上网。
一、部署环境
网络环境如图1所示,其中ISA Server上安装有两块网卡,一块接ADSL Modem(以下称为“外网卡”),一块接公司内网交换机(以下称为“内网卡”),内网卡的IP地址设为私有IP,比如为192.168.0.44,不设网关,DNS设为ISP提供的DNS服务器。如果内网有能够解析外网地址的DNS服务器,也可以把它设为内网的DNS服务器;外网卡的IP参数设置为自动获得。对于内部的客户端,只要把网关设为ISA服务器的内网卡地址,DNS与ISA服务器的设置一样即可。
二、安装ISA Server 2004
从http://www.microsoft.com/isaserver/beta/default.asp获得ISA Server 2004 Beta2进行安装:
1.在安装画面点选“Install ISA Server 2004”。
2.一路选“Next”,直到进入“Internal Network(内网)”设置窗口。在这里需要说明的是,在ISA Server 2004中“Internal Network”的概念与ISA Server 2000有所不同,在ISA Server 2000中,位于LAT(本地地址表)中的IP地址范围都算是内网,以外的都是外网,而ISA Server 2004不再简单地把网络仅仅分为内网和外网两大类,而是支持多网划分(Multi-networking),你可以根据自己的网络情况划分多个网络。
编辑点评:从此处开始可以看出新版本ISA的变化。它作用于每个网络之间的通信而不再局限于以前的“内网”和“外网”。
ISA Server 2004概念下至少有内网(Internal)、外网(External),ISA Servers(Local Host)和VPN Clients几类,其中后三种是内置的,不可删除,而内网(Internal)就是在这一步进行定义的,它的定义与以前构造LAT类似(注意在ISA Server 2004中已经没有了LAT的概念),也是通过选择ISA内网卡来自行构造的,外网(External)是除内网IP范围外的网络,比如Internet。而这里特别要注意的是ISA Servers被定义成了一个独立的网络Local Host(虽然它可能只有一台计算机),这样它与内网之间就不能像以前一样自由互访了,它要与其他网络通信就必须先创建访问策略(Access Rules)。在默认情况下,ISA Server 2004在安装时就会创建一些系统策略,定义了Local Host与其他网络通信时的一些策略,比如允许ISA Server访问外网或内网的DNS服务器,访问内网的域控制器等。支持多网划分是ISA Server 2004的一个重要的新增功能,也是一个重要的新概念,理解它是正常运行和安全配置ISA的关键。
至于定义内网,你可以在窗口中点击“Add”按钮,然后在新弹出的窗口点击“Configure Internal Network”按钮,此时就会弹出新窗口,去掉上面的“Add the following private ranges”项的被选中状态,然后在下面的“Add address ranges based on the windows routing table”栏勾选上内网卡就行了。
三、配置ISA Server 2004
这里要用ISA Server 2004来实现ADSL的共享及安全上网,用ISA术语来说,就是要让Internal访问External。为了保护内网不受侵犯,还应拒绝External对Internal的访问,为此,我们需要按下面的步骤来操作。
(一)创建ADSL连接
1.首先创建一个ADSL连接。
2.打开ISA Server 2004配置窗口,定位到“configuration/general”项,然后在右窗格中选择“Specify an automatic Dial-up connection”项,弹出新窗口(图2)。在“Allow automatic dialing to this network”下选择External项,在Dial-Up connection下选择第一步创建的ADSL连接,为了能够自动拨号,点击下方的“Set Account”按钮设置好ADSL连接的用户名和密码。
(二)定义访问策略
此处允许内网用户无限制访问Internet。
1.在ISA管理窗口中右击Firewall Policy项,选择“新建→Access Rules”,为这个规则取个名字,比如AllOUT,然后点击进入Rule Action配置窗口,这里选择Allow项;
2.在Protocols窗口中选择All outbound protocols项,这里的All outbound protocols是指所有外出(outbound)的协议,不过这里的All对不同的客户端含义并不一样。对防火墙客户端来说,All指所有的协议,而对安全NAT客户端来说,这里的All指所有ISA预定义了的协议。所以对安全NAT客户端来说,这种情况下工作站被限制使用QQ,因为ISA没有为QQ预定义协议,如果要使用QQ,可以自行在Firewall Policy窗口中的Toolbox标签下的Protocols项中定义新的协议;
3.进入Access Rule Sources(应用访问策略的源网络)选择窗口,点击Add按钮,在弹出的窗口中选择Network下的Internal项(图3)。
4.进入Access Rule destinations(目标网络)选择窗口,选择External项;
5.进入Users Sets选择窗口,选择All Users。
设置好了之后,点击上方的“Apply”按钮应用设置,这样你就可以网上畅游了。
上面讲了一个简单的例子,主要是想与大家一起“观摩”一下新的ISA Server 2004,更多更新的功能还需要大家自己去深入挖掘。