isa防火墻要怎么樣去配置，才能更好的使用呢?下面由學習啦小編給你做出詳細的isa防火墻配置介紹!希望對你有幫助!

　　isa防火墻配置一：

　　配置ISA Server網(wǎng)絡(luò)環(huán)境

　　網(wǎng)絡(luò)環(huán)境中是否有必要安裝ISA、是否可以安裝ISA、安裝前ISA保護的內(nèi)部網(wǎng)絡(luò)中的客戶如何進行配置、安裝后的訪問規(guī)則如何設(shè)置等問題，本文將具體闡述一下。 文章導讀 1、ISA server概述 2、邊緣防火墻模型 3、單網(wǎng)絡(luò)與多網(wǎng)絡(luò)模型

　　ISA Server 2004是目前世界上最好的路由級軟件防火墻，它可以讓你的企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的。

　　你可以在網(wǎng)絡(luò)的任何地方，如兩個或多個網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、單個主機上配置ISA Server 2004來對你的網(wǎng)絡(luò)或主機進行防護。

　　ISA Server 2004對于安裝的要求非常低，可以說，目前的服務(wù)器對于ISA Server 2004的硬件系統(tǒng)需求都是綽綽有余的。

　　ISA Server作為一個路由級的軟件防火墻，要求管理員要熟悉網(wǎng)絡(luò)中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等，它并不像其他單機防火墻一樣，只需安裝一下就可以很好的使用。在安裝ISA Server時，你需要對你內(nèi)部網(wǎng)絡(luò)中的路由及TCP/IP設(shè)置進行預先的規(guī)劃和配置，這樣才能做到安裝ISA Server后即可很容易的使用，而不會出現(xiàn)客戶不能訪問外部網(wǎng)絡(luò)的問題。

　　再談?wù)剬υ趩螜C上安裝ISA Server 2004的看法。ISA Server 2004可以安裝在單網(wǎng)絡(luò)適配器計算機上，它將會自動配置為Cache only的防火墻，同時，通過ISA Server 2004強大的IDS和應用層識別機制，對本機提供了很好的防護。但是，ISA Server 2004的核心是多網(wǎng)絡(luò)，它最適合的配置環(huán)境是作為網(wǎng)絡(luò)邊緣的防火墻;并且作為單機防火墻，它太過于龐大了，這樣會為服務(wù)器帶來不必要的性能消耗。

　　所以，我不推薦在單機上安裝ISA Server 2004。對于單機防火墻，我推薦Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等，它們都是非常好的單機防火墻。不過對于需要提供服務(wù)的主機，最好安裝Zonealarm或者Blackice，SPF Pro因為太過于強大，反而不適合作為服務(wù)器使用。對于基于IIS的Web服務(wù)器，你還可以安裝IISLockdown和UrlScan工具，這樣就可以做到比較安全了。對于單網(wǎng)絡(luò)適配器的ISA Server，我會在后面的實例中介紹。

　　至于安裝ISA Server前內(nèi)部的客戶如何進行配置，我以幾個實例來進行介紹:

　　1、邊緣防火墻模型

　　如下圖，ISA Server 2004上安裝有兩個網(wǎng)絡(luò)適配器，它作為邊緣防火墻，讓內(nèi)部客戶安全快速的連接到Internet，內(nèi)部的Lan我以192.168.0.0/24為例，不考慮接入Internet的方式(撥號或固定IP均可)。

　　ISA Server 2004上的內(nèi)部網(wǎng)絡(luò)適配器作為內(nèi)部客戶的默認網(wǎng)關(guān)，根據(jù)慣例，它的IP地址要么設(shè)置為子網(wǎng)最前的IP(如192.168.0.1)，或者設(shè)置為最末的IP(192.168.0.254)，在此我設(shè)置為192.168.0.1;對于DNS服務(wù)器，只要內(nèi)部網(wǎng)絡(luò)中沒有域，那么內(nèi)部可以不建立DNS服務(wù)器，不過推薦你建立。在此例中，我們假設(shè)外部網(wǎng)卡(或撥號連接)上已經(jīng)設(shè)置了DNS服務(wù)器，所以我們在此不設(shè)置DNS服務(wù)器的IP地址;還有默認網(wǎng)關(guān)，內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認網(wǎng)關(guān)，因為Windows主機同時只能使用一個默認網(wǎng)關(guān)，如果在外部和內(nèi)部網(wǎng)絡(luò)適配器上都設(shè)置了默認網(wǎng)關(guān)，那么ISA Server可能會出現(xiàn)路由錯誤。

　　接下來是客戶機的TCP/IP設(shè)置和代理設(shè)置。SNAT客戶和Web代理客戶有些區(qū)別，防火墻客戶兼容SNAT客戶和Web代理客戶的設(shè)置。在身份驗證不是必需的情況下，請盡量考慮使用SNAT客戶，因為它是標準的網(wǎng)絡(luò)路由，兼容性是最好的。

　　SNAT客戶的TCP/IP配置要求:

　　必須和ISA Server的內(nèi)部接口在同個子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　配置ISA Server的內(nèi)部接口為默認網(wǎng)關(guān);此時默認網(wǎng)關(guān)是192.168.0.1;

　　DNS根據(jù)你的網(wǎng)絡(luò)環(huán)境來設(shè)置，可以使用ISP的DNS服務(wù)器或者你自己在內(nèi)部建立一臺DNS服務(wù)器;但是，DNS服務(wù)器是必需的。

　　Web代理客戶和SNAT客戶相比，則要復雜一些:

　　IP地址必須和ISA Server的內(nèi)部接口位于同個子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　默認網(wǎng)關(guān)和DNS服務(wù)器地址都可以不配置;

　　必須在IE的代理屬性中配置ISA Server的代理，默認是內(nèi)部接口的8080端口，在此是192.168.0.1:8080;

　　對于其他需要訪問網(wǎng)絡(luò)的程序，必須設(shè)置HTTP代理(ISA Server)，否則是不能訪問網(wǎng)絡(luò);

　　至于關(guān)閉SNAT客戶的訪問，在ISA Server的訪問規(guī)則中不要允許所有用戶訪問，改為所有通過驗證的用戶即可。

　　防火墻客戶默認會配置IE為web代理客戶，然后對其他不能使用代理的Winsock應用程序進行轉(zhuǎn)換，然后轉(zhuǎn)發(fā)到所連接的ISA防火墻。對于防火墻客戶，你最好先按照SNAT客戶進行設(shè)置，然后安裝防火墻客戶端，安裝防火墻客戶端后它會自動配置客戶為Web代理客戶。

　　在安裝ISA Server時，內(nèi)部網(wǎng)絡(luò)配置為192.168.0.0/24。安裝好后，你可以根據(jù)你的需要，自行配置訪問規(guī)則。ISA Server中帶了五個網(wǎng)絡(luò)模型的模板，可以讓你只是點幾下鼠標就可以設(shè)置好訪問規(guī)則，但是希望你能手動設(shè)置規(guī)則，這樣可以讓你有更深的認識。

　　下圖中是一種特殊的情況，在內(nèi)部網(wǎng)絡(luò)中還有其他子網(wǎng)的內(nèi)部客戶。此時，你首先得將這些子網(wǎng)的地址包含在ISA Server的內(nèi)部網(wǎng)絡(luò)中，然后在ISA Server上配置到這些子網(wǎng)的路由，其他的就和單內(nèi)部網(wǎng)絡(luò)的配置一致了。

　　2、多網(wǎng)絡(luò)模型中的邊緣防火墻

　　如下圖，我只是簡單的設(shè)計了一個三周長的多網(wǎng)絡(luò)模型。ISA Server 2004是專為多網(wǎng)絡(luò)而設(shè)計的，所以，對于這種環(huán)境，配置起來非常得心應手。

　　在這種環(huán)境中，LAN(192.168.0.0)的客戶和ISA Server上連接LAN的網(wǎng)絡(luò)適配器，按照上面的方法進行配置，在此我重點給大家講解一下DMZ網(wǎng)絡(luò)的配置。

　　DMZ中的客戶以及ISA Server上連接DMZ網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器，也按照上面的辦法進行配置，但是，對于DMZ中的服務(wù)器，請配置為SNAT客戶，這樣可以得到最好的性能，配置為Web代理客戶可能會讓它不能正常工作，配置為防火墻客戶會導致它性能的降低。

　　在安裝ISA Server時，內(nèi)部網(wǎng)絡(luò)只是選擇192.168.0.0，安裝好后，在ISA管理控制臺的配置的網(wǎng)絡(luò)中，新建一個DMZ網(wǎng)絡(luò)，選擇172.16.0.0網(wǎng)段。另外對于多網(wǎng)絡(luò)，你還需要設(shè)置網(wǎng)絡(luò)規(guī)則。另外你利用ISA Server自帶的三周長網(wǎng)絡(luò)模板就可以很方便的實現(xiàn)DMZ網(wǎng)絡(luò)的配置。其他訪問則根據(jù)你的需要來自行設(shè)置。

　　3、單網(wǎng)絡(luò)適配器的環(huán)境

　　如下圖，ISA Server 2004安裝在一臺只有一個網(wǎng)絡(luò)適配器的Internet主機上，此時，ISA Server將自動配置為Cache only的防火墻，可以用做Web代理、緩存、Web發(fā)布、OWA發(fā)布等等，由于ISA Server 2004強大的IDS系統(tǒng)，它也可以為主機提供非常強大的保護。關(guān)于在這種環(huán)境下如何發(fā)布ISA Server上的Web服務(wù)。

　　在單網(wǎng)卡網(wǎng)絡(luò)適配器環(huán)境下安裝ISA Server的時候，會自動在內(nèi)部網(wǎng)絡(luò)中包含所有的IP地址，所以在你建立訪問規(guī)則時，一定要注意允許內(nèi)部訪問本地主機和允許本地主機訪問內(nèi)部(此時，外部網(wǎng)絡(luò)已經(jīng)沒有實際作用了)。同樣的，通過ISA Server自帶的單一網(wǎng)絡(luò)適配器模板，你也可以很輕松的完成單網(wǎng)絡(luò)適配器模型的ISA Server 2004的配置。

　　isa防火墻配置二：

　　防火墻策略->右鍵->新建->訪問規(guī)則->允許,所選擇協(xié)議,HTTP,源自:內(nèi)部,目標:新建URL,把網(wǎng)站放在URL中;

　　刪除其他訪問規(guī)則,只留最后一打默認規(guī)則

　　看了“ isa防火墻如何配置”文章的還看了：

1.h3c路由器防火墻怎么樣設(shè)置

2.部署防火墻策略原則

3.防火墻知識入門(2)

4.如何學習網(wǎng)絡(luò)安全

5.電腦連不上網(wǎng)該怎么辦