ISA在中小企业环境中的布署

ISA , 服务器, 架设, 体会, 朋友ISA 在中小企业环境中的布署早几天帮一个朋友架设ISA 服务器，顺便又要交作业了，所以把一些个人实际心得写出来，有不对的地方还请大家一起讨论！可能很多朋友并

ISA , 服务器, 架设, 体会, 朋友

ISA 在中小企业环境中的布署

早几天帮一个朋友架设ISA 服务器，顺便又要交作业了，所以把一些个人实际心得写出来，有不对的地方还请大家一起讨论！

可能很多朋友并不熟悉什么是ISA ，所以在开始之前还是介绍一下什么是ISA ，ISA 是Microsoft 公司出品的一款企业级的防火墙以及WEB 缓存服务器程序，所以在很多企业它充当的都是代理服务器与防火墙的作用！并且因为它的功能强大，操作简单，价格便宜（其实网上有破解的所以实际不要钱的），所以许多企业都选用ISA ！

首先介绍下我朋友公司的网络拓扑结构：

路

由

器

︱

I

S

A

服

务

器

︱

三

层

交

换

机

︱

内

部

W

E

B

M

A

I

L

服

务

器

内

部

办

公

网

络

一ISA2004的安装

在安装之前有几点是要注意的：

1建议安装在WIN2000与WIN2003的系统上面（毕竟是要提供服务用的，XP 应该也可以装，但是没试过） ！

2 ISA服务器的配置当然越高越好 但是建议还是能有1G 的内存，毕竟如果客户端电脑比较多的话 ISA 服务器的负荷还是很大，朋友公司电脑大概为300以内，他的ISA 服务器配置为P42.8 1G内存 40G 硬盘！

3硬盘用NTFS 进行格式，因为ISA 的缓存空间设置只支持NTFS ！ 4安装过程中必须是ADMINISTRATOR 组的成员才能进行安装。

有了以上准备就可以开始安装了，安装的过程比较简单，基本上就是下一步下一步就OK 了，主要注意的地方是安装过程中有一个需要设置内网网络地址范围的地方，我朋友公司网络范围为172.16.0.1—172.16.5.254。

二 ISA2004的基本配置

1防火墙策略的设置

代理服务器已经安装好了，但是你会发现网络还不是通的，这就是因为ISA 默认安装以后，在防火墙策略上有一条默认的访问规则“禁止任何网络到任何网络以各种形式的访问”所以说内网是无法通过ISA 访问外网的，并且这条规则是默认不能被删除的，因此需要对防火墙策略上新建访问策略，ISA 内部有许多默认的协议，这些协议通俗上说就是开放端口端口的作用，如果你不了解端口作用的话，那么建议你使用一个ALL TO ALL的协议，即内网用户到外网的访问将允许任何协议，当然这样做的话，内部网络肯定是BT 电炉横行在线电视网络游戏不断，因此建议你需要什么服务就开什么端口这样才能更好的保证网络的稳

定！另外特别要注意ISA 防火墙的策略运行是从上而下的级别关系！ 2缓存的设置

其实通过以上的设置就内部网络已经可以访问外部了，但是为什么还要设置缓存呢？首先我来解释下缓存是什么，举个例子，内网用户A 和B ，A 先访问54master .COM 这个网站，然后B 接着也访问54master .com 这个网站，在没有缓存情况下，A 和B 都是分别从远端服务器上下载页面下来，而在有缓存的情况下，A 先访问了54master .com ，ISA 就能把A 访问的内容缓存下来，然后当B 开始访问的时候，B 不会从54MaSTER.COM 的服务器上下载页面了，而是直接从ISA 缓存中读取页面了，这样就能节约带宽提高速度！缓存大小网上有多种说法，个人觉得象300个用户的话我一般就设置2G 左右的空间，当然你可以在日志中自己寻找最好的结合点，也有人说缓存设得越大肯定速度就越快，这种说法我觉得不对，也许缓存大了确实节约了带宽，但是同时肯定会影响ISA 服务器本身的性能的，我个人觉得稳定比牺牲小量带宽要划得来得多！另外需要注意的一点是，缓存并不是可以缓存任何内容，一般应用上是缓存网页之类的一些内容，同时它能动态更新缓存内容！

3 WEB与MAIL 服务器的发布

ISA 集成了WEB 与MAIL 的发布向导所以很容易实现对外网的发布!

我朋友公司网络TCP/IP情况如下:

EXCHANGE:

IP:172.16.2.3 MASK:255.255.255.0 GW:172.16.2.2 IIS:

IP:172.16.2.4 MASK:255.255.255.0 GW:172.16.2.2 ISA:

内IP:172.16.2.2 外IP:192.168.0.10

在发布之前首先在本地先测试好EXCHANGE 和IIS 是服务正常的, 这样才能发布出去!

首先发布WEB, 在防火墙策略上新建一个WEB 发布规则, 然后选择允许, 在下一步中填IP 的地方写入172.16.2.4(也可以填计算机名称, 但是要保证可以正确解析), 然后再下面PATH 的地方填写WEB 文件的路径, 如果是整个服务器的话就留空, 然后接下来填写申请的域名, 接下来因为是第一次安装, 所以要新建一个WEB 监听器, 它的设置很简单, 按主要设置一些绑定网卡, 端口, 然后选择好访问对象之后WEB 就发布成功了.

然后就可以发布EXCHANGE 了, 步骤和WEB 差不多, 所以就不再多说, 总的来说, 因为ISA 的向导作用, 所以很多服务都可以通过向导一步一步设置的!

三 ISA 相关注意

1 企业网络的管理 , 因为很多企业都会在网络中对员工上网进行一些限制,ISA 能很容易的对其做设置, 一般的P2P 的封锁可以用通过在防火墙上做策略的方法来实现拒绝访问, 当然也可以用关键字的方法进行过滤, 或者对HTTP 头进行设置达到封锁的目的, 对于网站的封锁,ISA 提供了URL 集的功能, 能很好控制对于网站访问的控制, 另外防火墙客户端的用户还可以通过在客户设置中限制连接数来达到对流量的控制的! 在对防火墙进行策略设置的时候应该注意, 策略越多, 相对的ISA 性能会有降低, 所以建议用最少的策略达到最好的效果是最好的!

2 ISA 的日志,ISA 提供了完善的日志记录, 无论是日志报告还是实时报告我们都应该仔细的去分析, 这样才能更好的了解我们的ISA 的一个性能状况, 所以建议大家要好利用起来!