利用ISA防火墻實(shí)現(xiàn)安全快速上網(wǎng)

本次接上回，上次咱們在windows域環(huán)境中部署了ISA Server 2006,安全性確實(shí)提高了，但也有點(diǎn)“太高了”，因?yàn)楝F(xiàn)在用戶只能在局域網(wǎng)里活動，連最基本的上網(wǎng)服務(wù)都無法使用。
這次就來解決這個問題，利用ISA防火墻策略及緩存實(shí)現(xiàn)用戶安全快速上網(wǎng)。我們分兩部分來說，第一部分先使用防火墻策略，把內(nèi)網(wǎng)用戶上網(wǎng)的問題解決了。第二部分再來優(yōu)化部署加快訪問速度，提高效率。下面是拓?fù)鋱D：

可以看到基本上還是上次的圖，DMZ區(qū)咱們先不看。后面說服務(wù)器發(fā)布時(shí)才會說到的。在外網(wǎng)上多了一臺web服務(wù)器，主機(jī)名為：www.IT.com IP為61.134.1.10/8，（注意公網(wǎng)DNS我也做到這上面了）現(xiàn)在我們要做的就是能讓內(nèi)網(wǎng)用戶通過域名的方式成功的訪問web主機(jī)，并通過配置緩存加快其訪問外網(wǎng)的速度。

下面開使實(shí)施：

第一部分：配置放火墻策略使內(nèi)網(wǎng)用戶能夠訪問Internet

1.在ISA服務(wù)器管理的控制臺中，選中防火墻，現(xiàn)在可以看到是空的，我們將要在這里添加訪問策略。如圖：

２．右擊防火墻策略，選擇新建然后選擇訪問規(guī)則。如圖：

３．在彈出的新建訪問規(guī)則向?qū)е?#xff0c;鍵入訪問規(guī)則的名稱。我們這里因?yàn)槭墙o內(nèi)網(wǎng)用戶訪問Internet用的，所以我們鍵入一個名稱“內(nèi)網(wǎng)用戶到Internet”來做一個標(biāo)識。

4.這里選擇允許，就是說我們允許符合這個規(guī)則的對象去做什么。如果要拒絕某個對象，比如我們不讓財(cái)務(wù)部的小財(cái)訪問Internet。我們就可建一條拒絕的策略。

5.現(xiàn)在是讓我們選擇協(xié)議。因?yàn)槲覀冎挥猩暇W(wǎng)的需求，所以只須選擇DNS、HTTP、HTTPS就可以了。如果要收發(fā)郵件或使用FTP啊其它什么的，就可以都添加進(jìn)來就是了。有很多協(xié)議可以選。

6.現(xiàn)在讓我們選擇訪問規(guī)則源，也就是說從什么地方來的。我們這里就選擇內(nèi)部。因?yàn)槲覀儸F(xiàn)在是一個從內(nèi)網(wǎng)到外網(wǎng)的訪問過程。

7.剛才是打哪兒來，現(xiàn)在是到哪兒去，當(dāng)然是選擇外部嘍！如圖：

8. 現(xiàn)在是讓我們選擇這個規(guī)則將會應(yīng)用到哪些用戶集，這里可以選擇“所有通過身份驗(yàn)證的用戶”、“系統(tǒng)和網(wǎng)絡(luò)服務(wù)”、“所有用戶”，咱這里選擇所有用戶，因?yàn)槲覀兡康氖亲屗袃?nèi)網(wǎng)用戶訪問Internet.

9.好了現(xiàn)在這條策略就設(shè)置好了，應(yīng)用一下點(diǎn)擊確定就可以了。如圖：

現(xiàn)在我們到客戶機(jī)上來看看能否訪問。我們用這臺IP為192.168.1.11/24的內(nèi)網(wǎng)用戶測試一下。

看到下圖，說明策略生效了，內(nèi)網(wǎng)用戶可以使用域名成功的訪問Web主機(jī)。

注意：我這里用了一臺Linux服務(wù)器模擬web服務(wù)器，并且安裝了DNS。為了內(nèi)網(wǎng)用戶能夠使用域名訪問Web主機(jī)，還得在內(nèi)網(wǎng)的DNS服務(wù)器（我這是和DC集成到一起的）上做轉(zhuǎn)發(fā)器轉(zhuǎn)到外網(wǎng)的DNS上。

現(xiàn)在上網(wǎng)的問題解決了，可能過不了多久就會有員工像你抱怨。上網(wǎng)速度太慢了，能否加快一點(diǎn)。這時(shí)我們可以通過啟用ISA Server的緩存功能來實(shí)現(xiàn)這個需求。

第二部分：加快內(nèi)網(wǎng)用戶訪問Internet的速度

1. 在“ISA服務(wù)器管理”的控制臺樹中，單擊“緩存”。然后在詳細(xì)信息窗格中，選擇“緩存驅(qū)動器”選項(xiàng)卡，位置如圖所示：

2. 然后在緩存驅(qū)動器選項(xiàng)卡里選擇要設(shè)置的驅(qū)動器，咱這里C盤是系統(tǒng)，那就用D盤吧，

把緩存大小設(shè)置為2000MB，單擊設(shè)置，再確定就好了。

注意：緩存的大小要根據(jù)實(shí)際情況來設(shè)置

3. 現(xiàn)在可能會彈出一個警告對話框，我們選擇第二項(xiàng)“保存更改，并重新啟動服務(wù)”。點(diǎn)擊確定之后，應(yīng)用策略。

4．現(xiàn)在到緩存規(guī)則選項(xiàng)卡中，點(diǎn)擊任務(wù)欄中的“配置緩存設(shè)置”。如圖：

5. 選擇高級選項(xiàng)卡中的“在內(nèi)存中緩存的URL的最大大小（字節(jié)）”的文本框，設(shè)置信息如圖所示，還是比較好理解的，就不啰嗦了啊！

設(shè)置完畢后我們到D盤下，會看到系統(tǒng)自動生成了一個用于存放緩存內(nèi)容的數(shù)據(jù)庫文件（注意這個文件是無法打開的）。

好了，經(jīng)過這樣一設(shè)置之后。內(nèi)網(wǎng)用戶訪問Internet時(shí)速度會因?yàn)榫彺娑蟠筇岣摺?nèi)網(wǎng)用戶會訪問到實(shí)時(shí)的信息，因?yàn)榫彺媸莿討B(tài)更新的。

本次就說到這里吧！希望大家能活學(xué)活用，ISA Server策略非常的多，而且運(yùn)用起來千變?nèi)f化，但原理都是一樣。只要始終記得從哪里來，到哪里去，使用什么協(xié)議、端口是拒絕還是允許就覺得很簡單了。

下次將會看到利用ISA Server 2006發(fā)布DMZ區(qū)中的Web服務(wù)器及郵件服務(wù)器。

本文出自 “zpp” 博客，請務(wù)必保留此出處http://zpp2009.blog.51cto.com/730423/282597

本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/lzy821218/287041

總結(jié)

以上是生活随笔為你收集整理的Windows域环境下部署ISA Server 2006防火墙（二）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。