单网卡实现ISA2004校园网管理

Microsoft ISA Server是基于Windows 2000 Server平台的，具有防火墙和WEB缓存的服务器软件，ISA2004中文版的问世无疑对传统代理软件有着重大的冲击，因为它有更简单明的中文介面和更加强大的功能，更加适用于企业级或大型网吧的局域网。为了学习这个软件的使用，我找了很多教程，但都太复杂。本文是我通过自己试用以后写出来的体会，与大家分享，希望正在迷茫的朋友少走些弯路。

现在大部分高校都有自己的校园网，为了更好的管理和安全，我们学校采用了10.8.X.X之类的虚拟地址，内部可以直接以IP地址访问，访问外部时转化为真实的公网IP，在这里我们的ISA服务器也是以一个节点的形式存在，不需要双网卡，单个的ISA只能控制一部分网络。我们信息中心的公用机房共有４个ISA代理服务器，分别控制200多台计算机的上网任务。服务器和客户机的网络是相互连通的，这４个ISA代理之外的IP地址都被屏蔽了，所以现在只能通用ISA服务器上网。

为了更好的使ISA2004发挥更大作用，我选用了Windows 2003+Microsoft ISA 2004 Server中文企业版(以下简称ISA2004)。

在Windows 2000上装ISA2004需要必须安装 Windows 2000 Service Pack 4或更高版本，同时必须安装Internet Explorer 6或更高版本。如果你使用的是Windows 2000 SP4整合安装，还要打KB821887补丁。

安装

    因为我们重点讲解的是应用于校园网的配置，因为是中文版所以安装步骤简单。安装ISA2004比较简单，点击 Install ISA Server 2004，就可以直接安装了。需要注意的是：

1. 安装的时候会让你添加私有IP地址的范围，或者用ISA2004已经定义好的范围（如图1所示）。

图1私有IP地址的范围 

2．在安装上应用过早期ISA2000的用户要记住（因为我们的客户机上有ISA2000的客户端）在安装过程如下图所示（如图2所示）。

图2  支持早期客户端

3．和ISA2000最大的区别在于，现在ISA2004只有一个防火墙模式。在安装完成后，我们就启动ISA2004的主程序，接下来我们来设置我们的访问规则：

安装完成之后，默认状态下WEB浏览的时候，会出现提示信息。这个是因为ISA2004默认有30个系统策略，所以要想访问外网，只能添加一个额外的策略才行。

配置上网规则

1．ISA2004本地主机访问规则

ISA 2004本机访问外界，需要建立从本地主机到外部网络的相应协议访问策略。所有网络（和本地主机）指的是所有的网络（内网和公网）本地主机指是就是我们的ISA服务器。如图3所示。

图3

本地主机允许通过所有出站去访问任何能连接到的网络，相对于安全的角度讲我们设置的外网（其它网络）访问本地主机的规则是只能过FTP和HTTP的21和80来访问我们的本地服务器主机。

2．允许所有内部用户访问Internet的所有服务

ISA2005和ISA2000相比，再也不要求必须为用户所访问的服务定义协议，现在，你只需要一条策略就可以让内部客户完全的访问Internet上的所有服务了。如图4所示。

图4

好了，有了这一条策略就可以上网了。本来讲到这里就完了，但还有些特殊情况下的对上网的客户端和上网的某个网站的控制，需在的朋友可以接着向下看。

3．使用访问规则来禁止对某些网站的访问

首先我们来建立这们的要禁止网站的域名集，在防火墙策略选项的右边工具栏中的网络对象中新建一个如图5所示的被禁的网站的域名集。

图5

    我们为防火墙策略新添加了名称为禁止上某一网站的规则，内容是这样的：拒绝所有受保护的网络（安装ISA时设定的地址范围和本地主机）访问被我们禁止的网站。这些站点主要考虑不健康网站或可能带木马网页的网页，为了安全我们不让客户端访问。如图6所示。

图6

    接下来是公用机房不需要上外部网站，只上校园网，比如说上课的时候不需要上外网，现在我们在网络对象中新建一个URL集，只要求我们我客户端上校园网络，在这里我们的校园网址为：http://www.xtvtc.edu.cn，在这里我们的URL集如图7所示。

图7

名为校园网的规则：只允许客户端能过出站通讯来访问我们的校园网。如图8所示。

图8

现在基本的防火墙策略已完成。

    使ISA更加安全

    为了使ISA服务器更加安全，我们需要做两个设置：第一个设置是其它网络访问本地主机的规则，然后在弹出的“为规则配置 HTTP 策略”对话框中右击，取消选择“阻止高位字符”和阻止包含Windows可执行内容的响应。如图9所示。

图9

第二：如果有必要的话，我们还可以控制响应文件的扩展名，在如图9所示中选择扩展名，然后进行编辑，大家可以发展自己的想象。

出于安全考虑，ISA Server 2004 默认是不允许FTP上传的（即不能写FTP服务器），无论你是怎么设置FTP读写权限的。取消的办法是：在允许访问FTP服务器的规则上（在这儿是无限制的Internet访问）上点击右键，然后选择“配置 FTP”，把“只读”选项去掉。

如果不想让某些客户端能过我们已建的规则访问设定的网站，除了修改和删除防火墙策略中的控制规则以外，最好的方法是可将其规则停止，如图10所示，内网无限制上网规则为停用。

图10

现在有人要问你上面控制的上网客户端怎么都是受保护的网络（其中主要包括本地主机和内部），这主要是方便上面的讲解。现在规则都明白了，我已在网络对象中那个多个地址范围，如图11所示，把这些特定的IP段替换我们上面的受保护的网络，就可以达到部分客户机上特定的网站的目的（X2xx是我以机房区域划分的IP段）。

图11

禁止使用 P2P 软件：QQ



现在大家关心的就是QQ这个问题，平时我们为怎么能上客户机上QQ而发愁，现在有些单位为怎么禁止员工在工作时间上QQ而发愁，现在我们就要实现个功能：

首先我们建一个规则，只能让客户机访问基本常用的FTP/HTTP/HTTPS等（这样用UDP通讯的QQ已不能上线），然后右击，在弹出的“为规则配置 HTTP 策略”对话框中，点击“签名”页，然后点击“添加”；在弹出的“签名”对话框中，输入名称为“QQ”，指定签名搜索条件为在“请求 URL”中搜索“tencent.com”，如果找到则阻止这个连接。然后点击“确定”，最后点击“应用”保存修改和更新防火墙就 OK 了！成功后就上不了QQ了！

通过以上几个步骤的设置，单网卡的ISA2004就能实现绝大部分校园网的管理了。行文仓促，不足之处万望指出！