寬帶上網(wǎng)的發(fā)展只能用兩個(gè)字“驚人”來形容，人們能夠以各種方式選擇高速的上網(wǎng)方式。但總體上講，由于IPV4本身的地址數(shù)量有限，難以滿足所有網(wǎng)絡(luò)用戶的需要，所以對(duì)于很多寬帶上網(wǎng)的企業(yè)用戶來說，要通過一條寬帶線路為內(nèi)部眾多用戶提供上網(wǎng)解決方案，共享上網(wǎng)是一個(gè)必然要采用的方式。

　　我們可以通過多種方式實(shí)現(xiàn)共享上網(wǎng)，比如利用操作系統(tǒng)本身提供的網(wǎng)關(guān)或路由功能，使用電信部門提供的寬帶路由器，使用專業(yè)廠商生產(chǎn)的昂貴的網(wǎng)關(guān)產(chǎn)品等，但是究竟哪種方式更好呢?實(shí)際上，上述幾種方式都有其不足之處，利用操作系統(tǒng)本身的路由功能雖然可以實(shí)現(xiàn)共享上網(wǎng)，但是安全性較差，也不容易實(shí)現(xiàn)訪問控制;使用寬帶路由器，操作簡(jiǎn)單，但是性能不好，上網(wǎng)人數(shù)略微增加一些，訪問速度就會(huì)明顯減慢;使用昂貴的硬件設(shè)備倒是不存在性能上的問題，但是依然存在無法實(shí)現(xiàn)精細(xì)的控制和管理的缺陷。

　　ISA Server 2006(Internet Security and Acceleration)是微軟公司推出的一款重量級(jí)的網(wǎng)絡(luò)安全產(chǎn)品，被公認(rèn)為X86架構(gòu)下最優(yōu)秀的企業(yè)級(jí)路由軟件防火墻。ISA憑借其靈活的多網(wǎng)絡(luò)支持、易于使用且高度集成的VPN配置、可擴(kuò)展的用戶身份驗(yàn)證模型、深層次的HTTP過濾功能、經(jīng)過改善的管理功能，在企業(yè)中有著廣泛的應(yīng)用。 ISA2006分為標(biāo)準(zhǔn)版和企業(yè)版，兩種版本的結(jié)構(gòu)和功能都存在一定差異。標(biāo)準(zhǔn)版部署起來相對(duì)容易，推薦在中小企業(yè)網(wǎng)絡(luò)構(gòu)建時(shí)使用，企業(yè)版由于引入了配置存儲(chǔ)服務(wù)器，適合大中型企業(yè)應(yīng)用。

　　一、ISA Server 2006的安裝：

　　ISA2006標(biāo)準(zhǔn)版的安裝分為常規(guī)安裝和無人值守安裝。在此我們主要介紹常規(guī)安裝，整個(gè)安裝過程非常簡(jiǎn)單，下面咱們就開始安裝之旅：

　　拓?fù)鋱D如下所示：

▲

　　安裝要求：

▲

　　注意：安裝ISA2006的服務(wù)器上不能有進(jìn)程占用80和8080端口。80口在發(fā)布WEB服務(wù)器時(shí)會(huì)用到，8080端口WEB代理會(huì)用到。

　　步驟1：配置IP地址

　　為ISA Server上的每個(gè)網(wǎng)卡配置好IP地址、子網(wǎng)掩碼等參數(shù)，如果服務(wù)器上有多個(gè)網(wǎng)卡，通常僅輸入一個(gè)默認(rèn)網(wǎng)關(guān)，僅在外部網(wǎng)卡上配置默認(rèn)網(wǎng)關(guān)即可。如圖所示：

▲

　　步驟2：ISA 2006的安裝

　　將ISA 2006的安裝光盤放入光驅(qū)，會(huì)自動(dòng)彈出安裝程序，如下所示：

▲

　　點(diǎn)擊“安裝ISA Server 2006”。出現(xiàn)ISA2006的安裝向?qū)?，選擇“下一步”。同意軟件許可協(xié)議，選擇下一步。 輸入用戶名，單位及序列號(hào)等參數(shù)后，來到安裝類型界面，如下圖所示，選擇自定義安裝。

▲

　　選擇ISA2006的安裝組件，從下圖可知，只有ISA服務(wù)器和ISA服務(wù)器管理兩個(gè)組件。早期ISA2004中的ISA客戶端共享和消息篩選兩個(gè)組件已經(jīng)不再被支持，消息篩選被Forenfront取代，ISA客戶端共享需要用手工共享的方法實(shí)現(xiàn)。

▲

　　接下來設(shè)置內(nèi)網(wǎng)的地址范圍，點(diǎn)擊“添加”按鈕。設(shè)置內(nèi)網(wǎng)范圍時(shí)，點(diǎn)擊“添加適配器”，如下圖所示，選擇與內(nèi)網(wǎng)相連的網(wǎng)卡，點(diǎn)擊確定。這里建議大家最好把ISA上的網(wǎng)卡根據(jù)實(shí)際連接情況命名為內(nèi)網(wǎng)，外網(wǎng)，外圍等，以方便后續(xù)使用。

▲

　　在此需要注意，因?yàn)槲覀儍?nèi)網(wǎng)有八個(gè)部門，屬于不同的網(wǎng)段，那么就需要把相應(yīng)的IP地址段都加入到內(nèi)網(wǎng)中來。那就如下圖所示：

▲

　　接下來安裝程序詢問是否允許不加密的防火墻客戶端連接。不加密的防火墻客戶端指的是ISA2000之前的防火墻客戶端，ISA2000之后的防火墻客戶端支持?jǐn)?shù)據(jù)加密，安全性更好，由于在實(shí)驗(yàn)環(huán)境中不需要使用早期防火墻客戶端，因此我們不用勾選“允許不加密的防火墻客戶端連接”。

▲

　　安裝程序警告我們?cè)诎惭b過程中有些服務(wù)會(huì)重新啟動(dòng)，選擇“下一步”。

▲

　　完成了參數(shù)設(shè)置，終于開始安裝了。

▲

　　如下圖所示，點(diǎn)擊“完成”，結(jié)束了ISA2006的常規(guī)安裝。

▲

　　至此，我們完成了ISA2006的常規(guī)安裝。安裝過程并不復(fù)雜，只要結(jié)合網(wǎng)絡(luò)的拓?fù)鋱D區(qū)分好相應(yīng)網(wǎng)絡(luò)即可。

　　步驟3：正確配置路由

　　因?yàn)槲覀冊(cè)谄髽I(yè)中使用三層交換來將不同部門劃分到不同的VLAN中，但要實(shí)現(xiàn)各部門員工都能連接到外網(wǎng)，就需要實(shí)現(xiàn)各部門和ISA之間的路由。因?yàn)槲覀円呀?jīng)實(shí)現(xiàn)了各VLAN間的路由，所以現(xiàn)在只需要在三層交換機(jī)和ISA之間做設(shè)置即可，如下所示：

　　三層交換機(jī)只需要啟用路由加一條默認(rèn)路由即可，參考命令如下所示：

　　Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 在此192.168.1.1是ISA Server的內(nèi)網(wǎng)IP地址。

　　ISA上的設(shè)置：

　　1、把內(nèi)網(wǎng)各部門的地址范圍添加到內(nèi)網(wǎng)選擇中，這在步驟2中就已經(jīng)做好了，如果在安裝時(shí)沒有做的，安裝后也可以手動(dòng)添加，添加方法：打開ISA服務(wù)器管理

▲

　　直接在內(nèi)部屬性的地址選項(xiàng)卡中添加范圍也可以：

▲

　　2、ISA Server上也需要添加到內(nèi)網(wǎng)的路由：

▲

　　其中192.168.1.2 是三層交換機(jī)的VLAN接口虛地址。在此就充當(dāng)ISA Server 到達(dá)各內(nèi)網(wǎng)的下一跳地址。

二、ISA的代理功能

　　聽說過ISA的網(wǎng)友都知道ISA的兩個(gè)作用，一個(gè)是防火墻，另一個(gè)就是代理。我們就先來看看它的代理功能，也就是怎么讓內(nèi)網(wǎng)用戶利用它訪問外網(wǎng)。

　　首先我們來看一下ISA所支持的客戶端類型：Web代理客戶端、防火墻客戶端、SNAT客戶端。

　　簡(jiǎn)單來說：ISA的三種客戶端都能提供訪問互聯(lián)網(wǎng)的功能，Web代理只允許用戶使用瀏覽器訪問互聯(lián)網(wǎng)，而防火墻客戶端和SNAT則沒有功能方面的限制。如果需要對(duì)用戶進(jìn)行身份驗(yàn)證，Web代理和防火墻客戶端就可以大顯身手了，事實(shí)上，微軟推薦用戶同時(shí)使用Web代理和防火墻客戶端。為什么不單獨(dú)使用防火墻客戶端呢?因?yàn)閃eb代理可以使用ISA緩存，真正起到加速作用。如果你希望為用戶上網(wǎng)提供盡可能的便利，而且你也不愿意去設(shè)置客戶端的瀏覽器或在客戶機(jī)上安裝什么客戶端軟件，那么SNAT必然是你的最愛，只需配好DHCP就一切OK了。最后要提醒大家的是，Web代理和防火墻代理都有DNS轉(zhuǎn)發(fā)功能，而SNAT則不存在這個(gè)問題，下表就列出了三種客戶端的區(qū)別。

　　表：三種客戶端的特點(diǎn)及區(qū)別

▲　　

　　下面我們用幾個(gè)實(shí)例來分別看一下每種客戶端的設(shè)置方法，

　　實(shí)例：用戶通過WEB代理客戶端訪問外網(wǎng)

　　客戶端設(shè)置方法：

▲

　　客戶端通過在瀏覽器里填上代理的地址即可，我們以客戶端的IE瀏覽器為例：

　　其中192.168.1.1 就是ISA Server的內(nèi)網(wǎng)IP地址，8080就是WEB代理所使用的端口號(hào)。

　　我們來測(cè)試一下：訪問 http://www.baidu.com

▲

　　這是怎么回事?因?yàn)镮SA它同時(shí)又是一個(gè)防火墻，默認(rèn)情況下，這個(gè)請(qǐng)求是交給ISA了，如圖中的代碼已經(jīng)說的很清楚，是代理錯(cuò)誤，ISA Server拒絕了這個(gè)URL。那么我們就需要到ISA上設(shè)置一個(gè)訪問規(guī)則，讓它允許內(nèi)網(wǎng)到外網(wǎng)的訪問才可以。

　　ISA 上創(chuàng)建訪問規(guī)則：

▲

　　我們從這個(gè)圖中可以看到，當(dāng)前只有一個(gè)默認(rèn)規(guī)則，這個(gè)規(guī)則是六新不認(rèn)，統(tǒng)統(tǒng)是拒絕的。所以，我們需要添加一個(gè)訪問規(guī)則，在防火墻策略上右鍵—新建---訪問規(guī)則。

▲　圖：新建訪問規(guī)則

▲　圖：指定訪問規(guī)則的名稱及操作

▲　圖：指定訪問規(guī)則所使用的協(xié)議

▲　圖：指定規(guī)則源

　　
▲ 圖：指定規(guī)則目標(biāo)

▲　圖：指定規(guī)則所適用的用戶

▲ 圖：完成

▲　圖：應(yīng)用

　　我們?cè)俅蔚娇蛻魴C(jī)上訪問www.baidu.com

▲

　　OK了，說明操作成功了。使用WEB代理就是這么簡(jiǎn)單。但WEB代理所支持的協(xié)議非常有限，只支持http、https、FTP等協(xié)議，其他的協(xié)議則不再支持，那如果企業(yè)中需要應(yīng)用到其他協(xié)議，就不能使用WEB代理客戶端，可以選擇使用SNAT客戶端或防火墻客戶端。

　實(shí)例：SNAT客戶端

　　客戶端的設(shè)置更是簡(jiǎn)單，只要設(shè)置正確的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和DNS即可。內(nèi)網(wǎng)機(jī)器分別把三層交換機(jī)相應(yīng)的虛接口地址當(dāng)成自己的網(wǎng)關(guān)，但在此需要指定正確的DNS服務(wù)器地址，因?yàn)镾NAT客戶端不支持DNS轉(zhuǎn)發(fā)。在此以內(nèi)網(wǎng)的192.168.10.10機(jī)器為例:

　　如果客戶端過多的話，可以結(jié)合DHCP實(shí)現(xiàn)參數(shù)的自動(dòng)分配。在此可以刪除剛才所設(shè)置的WEB代理，以驗(yàn)證SNAT代理。

　　客戶端測(cè)試：

▲

　　實(shí)例：防火墻客戶端代理

　　由于Web代理只能使用瀏覽器訪問互聯(lián)網(wǎng)，功能不夠全面，SNAT又不支持身份驗(yàn)證。因此微軟在ISA中提供了防火墻客戶端代理。用戶只要安裝防火墻客戶端軟件，就能通過ISA的防火墻客戶端代理訪問所有基于Winsock的網(wǎng)絡(luò)服務(wù)。那該怎么安裝防火墻客戶端軟件呢?這個(gè)軟件在ISA2006安裝光盤的\Client目錄下，我們將Client目錄復(fù)制到ISA服務(wù)器的硬盤上，然后將目錄共享，共享名為Mspclnt。

▲

　　共享方法，可以參考《中小企業(yè)網(wǎng)絡(luò)構(gòu)建十步法之三：文件共享》

　　然后客戶機(jī)下載安裝即可。安裝成功后，注意觀察桌面：

▲

　　在桌面的右下角出現(xiàn)如上圖所示的提示：這是因?yàn)闆]有找到ISA服務(wù)器，那么在此有兩種解決方法，一是手動(dòng)指定，適應(yīng)小規(guī)模網(wǎng)絡(luò);另一個(gè)是使用WPAD功能，客戶機(jī)開機(jī)能自動(dòng)發(fā)現(xiàn)ISA服務(wù)器。當(dāng)然，在此我們只能是手動(dòng)指定了。

▲

　　就這么簡(jiǎn)單。OK了，那么就再去測(cè)試一下吧， 我們輸入：wireless.it168.com。

▲

　　看到這兒，三種客戶端使用就簡(jiǎn)單給大家介紹完了。其中也有一些更為深入的內(nèi)容如網(wǎng)絡(luò)規(guī)則、WPAD的實(shí)現(xiàn)等等，限于篇幅不再介紹。如果有疑問，可以隨時(shí)留言探討。