ISA , 服務(wù)器, 架設(shè), 體會(huì), 朋友ISA 在中小企業(yè)環(huán)境中的布署早幾天幫一個(gè)朋友架設(shè)ISA 服務(wù)器，順便又要交作業(yè)了，所以把一些個(gè)人實(shí)際心得寫出來，有不對的地方還請大家一起討論！可能很多朋友并

ISA , 服務(wù)器, 架設(shè), 體會(huì), 朋友

ISA 在中小企業(yè)環(huán)境中的布署

早幾天幫一個(gè)朋友架設(shè)ISA 服務(wù)器，順便又要交作業(yè)了，所以把一些個(gè)人實(shí)際心得寫出來，有不對的地方還請大家一起討論！

可能很多朋友并不熟悉什么是ISA ，所以在開始之前還是介紹一下什么是ISA ，ISA 是Microsoft 公司出品的一款企業(yè)級的防火墻以及WEB 緩存服務(wù)器程序，所以在很多企業(yè)它充當(dāng)?shù)亩际谴矸?wù)器與防火墻的作用！并且因?yàn)樗墓δ軓?qiáng)大，操作簡單，價(jià)格便宜（其實(shí)網(wǎng)上有破解的所以實(shí)際不要錢的），所以許多企業(yè)都選用ISA ！

首先介紹下我朋友公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

路

由

器

︱

I

S

A

服

務(wù)

器

︱

三

層

交

換

機(jī)

︱

內(nèi)

部

W

E

B

M

A

I

L

服

務(wù)

器

內(nèi)

部

辦

公

網(wǎng)

絡(luò)

一ISA2004的安裝

在安裝之前有幾點(diǎn)是要注意的：

1建議安裝在WIN2000與WIN2003的系統(tǒng)上面（畢竟是要提供服務(wù)用的，XP 應(yīng)該也可以裝，但是沒試過） ！

2 ISA服務(wù)器的配置當(dāng)然越高越好 但是建議還是能有1G 的內(nèi)存，畢竟如果客戶端電腦比較多的話 ISA 服務(wù)器的負(fù)荷還是很大，朋友公司電腦大概為300以內(nèi)，他的ISA 服務(wù)器配置為P42.8 1G內(nèi)存 40G 硬盤！

3硬盤用NTFS 進(jìn)行格式，因?yàn)镮SA 的緩存空間設(shè)置只支持NTFS ！ 4安裝過程中必須是ADMINISTRATOR 組的成員才能進(jìn)行安裝。

有了以上準(zhǔn)備就可以開始安裝了，安裝的過程比較簡單，基本上就是下一步下一步就OK 了，主要注意的地方是安裝過程中有一個(gè)需要設(shè)置內(nèi)網(wǎng)網(wǎng)絡(luò)地址范圍的地方，我朋友公司網(wǎng)絡(luò)范圍為172.16.0.1—172.16.5.254。

二 ISA2004的基本配置

1防火墻策略的設(shè)置

代理服務(wù)器已經(jīng)安裝好了，但是你會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)還不是通的，這就是因?yàn)镮SA 默認(rèn)安裝以后，在防火墻策略上有一條默認(rèn)的訪問規(guī)則“禁止任何網(wǎng)絡(luò)到任何網(wǎng)絡(luò)以各種形式的訪問”所以說內(nèi)網(wǎng)是無法通過ISA 訪問外網(wǎng)的，并且這條規(guī)則是默認(rèn)不能被刪除的，因此需要對防火墻策略上新建訪問策略，ISA 內(nèi)部有許多默認(rèn)的協(xié)議，這些協(xié)議通俗上說就是開放端口端口的作用，如果你不了解端口作用的話，那么建議你使用一個(gè)ALL TO ALL的協(xié)議，即內(nèi)網(wǎng)用戶到外網(wǎng)的訪問將允許任何協(xié)議，當(dāng)然這樣做的話，內(nèi)部網(wǎng)絡(luò)肯定是BT 電爐橫行在線電視網(wǎng)絡(luò)游戲不斷，因此建議你需要什么服務(wù)就開什么端口這樣才能更好的保證網(wǎng)絡(luò)的穩(wěn)

定！另外特別要注意ISA 防火墻的策略運(yùn)行是從上而下的級別關(guān)系！ 2緩存的設(shè)置

其實(shí)通過以上的設(shè)置就內(nèi)部網(wǎng)絡(luò)已經(jīng)可以訪問外部了，但是為什么還要設(shè)置緩存呢？首先我來解釋下緩存是什么，舉個(gè)例子，內(nèi)網(wǎng)用戶A 和B ，A 先訪問54master .COM 這個(gè)網(wǎng)站，然后B 接著也訪問54master .com 這個(gè)網(wǎng)站，在沒有緩存情況下，A 和B 都是分別從遠(yuǎn)端服務(wù)器上下載頁面下來，而在有緩存的情況下，A 先訪問了54master .com ，ISA 就能把A 訪問的內(nèi)容緩存下來，然后當(dāng)B 開始訪問的時(shí)候，B 不會(huì)從54MaSTER.COM 的服務(wù)器上下載頁面了，而是直接從ISA 緩存中讀取頁面了，這樣就能節(jié)約帶寬提高速度！緩存大小網(wǎng)上有多種說法，個(gè)人覺得象300個(gè)用戶的話我一般就設(shè)置2G 左右的空間，當(dāng)然你可以在日志中自己尋找最好的結(jié)合點(diǎn)，也有人說緩存設(shè)得越大肯定速度就越快，這種說法我覺得不對，也許緩存大了確實(shí)節(jié)約了帶寬，但是同時(shí)肯定會(huì)影響ISA 服務(wù)器本身的性能的，我個(gè)人覺得穩(wěn)定比犧牲小量帶寬要?jiǎng)澋脕淼枚?！另外需要注意的一點(diǎn)是，緩存并不是可以緩存任何內(nèi)容，一般應(yīng)用上是緩存網(wǎng)頁之類的一些內(nèi)容，同時(shí)它能動(dòng)態(tài)更新緩存內(nèi)容！

3 WEB與MAIL 服務(wù)器的發(fā)布

ISA 集成了WEB 與MAIL 的發(fā)布向?qū)院苋菀讓?shí)現(xiàn)對外網(wǎng)的發(fā)布!

我朋友公司網(wǎng)絡(luò)TCP/IP情況如下:

EXCHANGE:

IP:172.16.2.3 MASK:255.255.255.0 GW:172.16.2.2 IIS:

IP:172.16.2.4 MASK:255.255.255.0 GW:172.16.2.2 ISA:

內(nèi)IP:172.16.2.2 外IP:192.168.0.10

在發(fā)布之前首先在本地先測試好EXCHANGE 和IIS 是服務(wù)正常的, 這樣才能發(fā)布出去!

首先發(fā)布WEB, 在防火墻策略上新建一個(gè)WEB 發(fā)布規(guī)則, 然后選擇允許, 在下一步中填I(lǐng)P 的地方寫入172.16.2.4(也可以填計(jì)算機(jī)名稱, 但是要保證可以正確解析), 然后再下面PATH 的地方填寫WEB 文件的路徑, 如果是整個(gè)服務(wù)器的話就留空, 然后接下來填寫申請的域名, 接下來因?yàn)槭堑谝淮伟惭b, 所以要新建一個(gè)WEB 監(jiān)聽器, 它的設(shè)置很簡單, 按主要設(shè)置一些綁定網(wǎng)卡, 端口, 然后選擇好訪問對象之后WEB 就發(fā)布成功了.

然后就可以發(fā)布EXCHANGE 了, 步驟和WEB 差不多, 所以就不再多說, 總的來說, 因?yàn)镮SA 的向?qū)ё饔? 所以很多服務(wù)都可以通過向?qū)б徊揭徊皆O(shè)置的!

三 ISA 相關(guān)注意

1 企業(yè)網(wǎng)絡(luò)的管理 , 因?yàn)楹芏嗥髽I(yè)都會(huì)在網(wǎng)絡(luò)中對員工上網(wǎng)進(jìn)行一些限制,ISA 能很容易的對其做設(shè)置, 一般的P2P 的封鎖可以用通過在防火墻上做策略的方法來實(shí)現(xiàn)拒絕訪問, 當(dāng)然也可以用關(guān)鍵字的方法進(jìn)行過濾, 或者對HTTP 頭進(jìn)行設(shè)置達(dá)到封鎖的目的, 對于網(wǎng)站的封鎖,ISA 提供了URL 集的功能, 能很好控制對于網(wǎng)站訪問的控制, 另外防火墻客戶端的用戶還可以通過在客戶設(shè)置中限制連接數(shù)來達(dá)到對流量的控制的! 在對防火墻進(jìn)行策略設(shè)置的時(shí)候應(yīng)該注意, 策略越多, 相對的ISA 性能會(huì)有降低, 所以建議用最少的策略達(dá)到最好的效果是最好的!

2 ISA 的日志,ISA 提供了完善的日志記錄, 無論是日志報(bào)告還是實(shí)時(shí)報(bào)告我們都應(yīng)該仔細(xì)的去分析, 這樣才能更好的了解我們的ISA 的一個(gè)性能狀況, 所以建議大家要好利用起來!