Cómo conectar su empresa a Internet utilizado un servidor de seguridad ISA con Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 323387 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E323387
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo las pequeñas y medianas empresas con menos de 255 estaciones de trabajo conectadas a una red basada en Windows pueden conectar sus equipos a Internet mediante los servicios de servidor de seguridad de Microsoft Internet Security Acceleration (ISA).

Instalar el servidor ISA

Para instalar un servidor de seguridad ISA se requiere un equipo con dos adaptadores de red. Debe conectar uno de estos adaptadores a la red interna y el otro al proveedor de servicios Internet (ISP). Su ISP puede ayudarle a realizar esta conexión. Un servidor de seguridad actúa como una barrera entre la red interna (o intranet) e Internet impidiendo que otros usuarios externos conectados a Internet puedan tener acceso a la información confidencial almacenada en su red interna o en su equipo.

Planear la instalación

  • ISA Server Standard Edition puede ejecutarse en un equipo independiente, en un equipo que sea miembro de un dominio de Microsoft Windows NT o en un equipo que sea miembro de un dominio de Active Directory.
  • Para obtener el nivel de seguridad máximo, ejecute el servidor ISA en un equipo independiente.
  • La configuración de los adaptadores de red conlleva la configuración de la interfaz externa en Internet y la configuración de la interfaz interna en la red basada en Windows.
  • El proveedor de servicios Internet debe proporcionarle una dirección IP estática, una máscara de subred, una puerta de enlace predeterminada y el servidor o los servidores del Sistema de nombres de dominio (DNS). Escriba esta información en la configuración de TCP/IP del adaptador que esté conectado a su ISP. Algunos proveedores de servicios Internet prefieren asignar esta información con el Protocolo de configuración dinámica de host (DHCP), lo que no supone ningún problema.
  • Necesitará una dirección permanente y una máscara de subred apropiada para la red interna en el adaptador interno (no utilice DHCP en esta interfaz). Deje en blanco siempre el campo de puerta de enlace predeterminada. El equipo del servidor ISA sólo necesita una puerta de enlace predeterminada: la que está configurada en la interfaz o interfaces externas. Si se configura una puerta de enlace predeterminada en el adaptador interno, el servidor ISA no funciona correctamente.

Configurar los adaptadores de red del servidor

  1. Haga clic en Inicio, seleccione Panel de control y haga clic en Conexiones de red.
  2. Haga clic con el botón secundario del mouse (ratón) en su conexión a Internet, haga clic en Cambiar nombre y escriba Conexión a Internet.

    De este modo podrá recordar qué tarjeta de red está conectada a Internet.
  3. Haga clic con el botón secundario del mouse en la conexión a Internet y, a continuación, haga clic en Propiedades.
  4. En la ficha General, active la casilla de verificación Mostrar icono en el área de notificación cuando esté conectado.

    Siempre que esta interfaz transfiere datos, parpadea un pequeño icono situado en la barra de tareas.
  5. Desactive las casillas de verificación Cliente para redes Microsoft y Compartir impresoras y archivos para redes Microsoft.

    El servidor ISA bloquea automáticamente estos protocolos; al desactivar estas casillas de verificación se ahorra memoria.
  6. Haga doble clic en Protocolo Internet (TCP/IP) y realice uno de los pasos siguientes:
    • Si su proveedor de servicios Internet utiliza DHCP para asignar las direcciones IP, haga clic en las opciones Obtener una dirección IP automáticamente y Obtener la dirección del servidor DNS automáticamente en el cuadro de diálogo Propiedades de Protocolo Internet (TCP/IP). Continúe en el paso 7.
    • Si tiene que introducir manualmente la información de la dirección IP de su proveedor de servicios Internet, seleccione Usar la siguiente dirección IP en el cuadro de diálogo Propiedades de Protocolo Internet(TCP/IP) y, a continuación, escriba la información de dirección, máscara de subred y puerta de enlace predeterminada que le proporcione su proveedor de servicios Internet. Active la casilla de verificación Usar las siguientes direcciones de servidor DNS y escriba el nombre del servidor o los servidores DNS proporcionados por el proveedor de servicios Internet.
  7. Haga clic en Opciones avanzadas y, después, haga clic en la ficha DNS. Desactive la casilla de verificación Registrar estas direcciones de conexiones en DNS.
  8. Haga clic en la ficha WINS. En la configuración NETBIOS, haga clic en Deshabilitar Netbios sobre TCP/IP.

Configurar la interfaz interna en la red

  1. Haga clic en Inicio, seleccione Panel de control y haga clic en Conexiones de red.
  2. Haga clic con el botón secundario del mouse en su conexión de área local, haga clic en Cambiar nombre y escriba Red local.
  3. Haga clic con el botón secundario del mouse en Red local y, a continuación, haga clic en Propiedades.
  4. En la ficha General, active la casilla de verificación Mostrar icono en la barra de tareas cuando esté conectado.
  5. Active las casillas de verificación Cliente para redes Microsoft y Compartir impresoras y archivos para redes Microsoft, si no están activadas.
  6. Haga doble clic en Protocolo Internet (TCP/IP) y, después, active la casilla de verificación Utilizar la siguiente dirección IP.
  7. En el cuadro Dirección IP, escriba una dirección IP interna y una máscara de subred apropiadas para el esquema de asignación de direcciones de la red interna. Deje en blanco Puerta de enlace predeterminada. En Servidor DNS preferido, escriba la dirección IP del servidor o los servidores DNS de la red.

    Nota
    Para redes muy pequeñas, con menos de 255 equipos, si utiliza la configuración TCP/IP de Windows 2000 predeterminada y no dispone de un servidor DNS en la red, se empleará la asignación automática de direcciones IP privadas (APIPA). Microsoft recomienda dejar de usar el sistema de asignación APIPA y empezar a utilizar direcciones estáticas en las estaciones de trabajo cliente. Cada equipo de la red necesitará una dirección IP única. Al configurar la interfaz interna del servidor ISA, es necesario escribir una dirección estática. Utilice 192.168.0.254 y la máscara de subred 255.255.255.0. Deje en blanco el cuadro Puerta de enlace predeterminada. Escriba el servidor DNS del proveedor de servicios Internet en los campos Servidor DNS.

    Configure ahora las direcciones estáticas en cada uno de sus clientes:
    1. En el primer equipo, utilice la dirección 192.168.0.1, la máscara de subred 255.255.255.0 y la puerta de enlace predeterminada 192.168.0.254. En DNS, escriba el nombre del servidor (o servidores) DNS de su proveedor de servicios Internet.
    2. En el segundo equipo, utilice la dirección 192.168.0.2 y los mismos valores que se indican en el paso anterior. Excepto la dirección, el resto de valores permanece siempre igual, pero siga aumentando la dirección para cada equipo adicional que agregue. Mantenga una lista con las direcciones de los equipos.
  8. Reinicie el equipo cuando se le pida.

Instalar Microsoft Internet Security and Acceleration Server

Utilizar el Asistente para la instalación del servidor ISA

  1. En el Explorador de Windows, haga doble clic para abrir la unidad de CD-ROM.

    Nota
    El Asistente para la instalación del servidor ISA se inicia automáticamente, a menos que la característica insertar notificación automática esté desactivada. Si el asistente no se inicia automáticamente, vaya al directorio raíz del CD-ROM y haga doble clic en el archivo ISAAutorun.exe para ejecutarlo. Haga clic en Instalar servidor ISA para iniciar el proceso.
  2. En la pantalla de bienvenida, haga clic en Continuar. Escriba el número de identificación del producto en el cuadro adecuado. Este número se encuentra en la parte posterior de la caja del CD-ROM.
  3. Lea el contrato de licencia y haga clic en Acepto.
  4. Haga clic en Instalación típica para el tipo de instalación. Esto instalará los servicios ISA y las herramientas administrativas.
  5. Haga clic en Modo de servidor de seguridad. ISA detendrá los servicios importantes del equipo.
  6. Configure la tabla de direcciones locales (LAT) para ISA. La configuración de LAT debe realizarse con cuidado. Hay dos posibilidades: construir la LAT o utilizar el Asistente del instalador. Realice la selección en función de las condiciones siguientes:
    • Si conoce la subred (o subredes) que utiliza su red interna, escríbalas aquí.

      PRECAUCIÓN
      No haga clic en el botón Construir tabla. Si lo hace, la información de LAT que escribió se sobrescribirá.
    • Si desconoce las subredes locales, haga clic en el botón Construir tabla. El Asistente para la instalación de ISA determinará las subredes locales a partir de la tabla de enrutamiento del equipo.
      • Active la casilla de verificación Agregar los intervalos privados, si no está ya activada.
      • Active la casilla de verificación Agregar los intervalos de direcciones en base a la tabla de enrutamiento de Windows Server 2003, si no está ya activada.
      • Desactive la casilla de verificación que contenga la subred correspondiente a la interfaz externa (Internet) del servidor.
      • Active la casilla de verificación que contenga la subred correspondiente a la interfaz interna del servidor (red de área local).
  7. Cuando la instalación se haya completado, inicie el Asistente para la introducción al administrador y lea la próxima sección antes de completarlo.
El estado posterior a la instalación del servidor ISA bloquea todos los accesos hacia y desde Internet. Esta característica es muy útil. Recuerde que está instalando un servidor de seguridad. La función principal de un servidor de seguridad es actuar como punto de control entre dos redes. El comportamiento del servidor ISA es bloquear todo el tráfico que no tenga autorización expresa a través de una directiva.

Configurar el estado posterior a la instalación del servidor ISA

Para configurar los dos componentes siguientes de una directiva de acceso de manera que los clientes puedan tener acceso a Internet, tenga en cuenta lo siguiente:
  • Se debe configurar al menos una regla de sitio y contenido en la que se especifique los lugares a los que pueden tener acceso los usuarios, así como el tipo de contenido que pueden recuperar.
  • Debe configurar al menos una regla de protocolo que especifique los tipos de tráfico que están autorizados a pasar a través del servidor ISA.
Después de la instalación, ISA crea una regla de sitio y contenido predeterminada que permite a todos los clientes el acceso a todos los sitios y a cualquier contenido en todo momento. No obstante, esto no es suficiente para que los usuarios empiecen a explorar Internet: aún no ha definido ninguna regla de protocolo. Sin esta regla, no se autorizará ningún tipo de tráfico a través del servidor ISA.

El Asistente de introducción

  1. En el Asistente de introducción, haga clic en Configurar reglas de protocolo. La lista de reglas de protocolo se muestra en Microsoft Management Console (MMC).
  2. Haga clic en Crear una regla de protocolo. Escriba un nombre, por ejemplo "Todos los protocolos".
  3. Seleccione Permitir para la acción que desee utilizar con la regla (ésta es la opción predeterminada).
  4. Haga clic en Todo el tráfico IP para la lista de protocolos (ésta es la opción predeterminada).
  5. Seleccione Siempre para la programación (ésta es la opción predeterminada).
  6. Haga clic en Cualquier solicitud para el tipo de cliente (ésta es la opción predeterminada).
  7. Haga clic en Finalizar.

Crear directivas para definir cómo se conectan los usuarios a Internet

El servidor ISA realiza muchas más funciones además de permitir a todos los clientes el acceso al contenido de todos los sitios en cualquier momento y con todos los protocolos (definidos). En ISA puede crear directivas de acceso que permiten definir exactamente el modo de acceso de los usuarios a Internet.

Las directivas de acceso de ISA se componen de los tres elementos siguientes:
  • Reglas de sitio y contenido.
  • Reglas de protocolo.
  • Filtros de paquetes IP.
Las reglas, a su vez, se componen de los elementos de directiva siguientes:
  • Programaciones.
  • Conjuntos de destinos.
  • Conjuntos de direcciones de clientes.
  • Definiciones de protocolos.
  • Grupos de contenido.
Hay dependencias que debe conocer antes de intentar realizar cualquier operación compleja con las directivas ISA. En la tabla siguiente se describen los elementos de directiva que pertenecen a cada una de las reglas de directiva:
Contraer esta tablaAmpliar esta tabla
Reglas de sitio y contenidoReglas de protocolo
Conjuntos de destinosDefiniciones de protocolos
Grupos de contenidoProgramaciones
ProgramacionesConjuntos de direcciones de clientes
Conjuntos de direcciones de clientes

Tener acceso a Internet desde un equipo ISA

¿Qué ocurre si se tiene acceso a Internet desde el propio equipo ISA? Si se encuentra físicamente en un equipo ISA y desea tener acceso a un sitio Web determinado, las reglas de protocolo y las reglas de sitio y contenido que haya creado sólo se aplican a los clientes que estén situados detrás del servidor ISA. Cuando un cliente intenta tener acceso a Internet (suponiendo que la solicitud esté autorizada por las reglas), el servidor ISA crea un filtro de paquetes dinámico para esa solicitud de conexión. No obstante, si se encuentra en el equipo ISA y desea tener acceso a Internet, deberá crear filtros de paquetes estáticos según los tipos de tráfico que se estén generando. Por ejemplo, para tener acceso a un sitio Web, siga estos pasos:
  1. En Administración de ISA, expanda Servidores, expanda nombreDeServidor, haga clic en Directiva de acceso y, a continuación, haga clic en Filtros de paquetes IP.
  2. Haga clic en Crear un filtro de paquetes para iniciar un asistente.
  3. Asigne el nombre Acceso Web al filtro de paquetes.
  4. Haga clic en Permitir transmisión de paquetes y, a continuación, haga clic en Personalizado.
  5. Haga clic en TCPcomo protocolo IP, haga clic en Saliente para la dirección, haga clic en Todos los puertos para el puerto local y, después, haga clic en Puerto fijo para el puerto remoto. Escriba 80 en el cuadro Número de puerto.
  6. Seleccione las direcciones IP predeterminadas para cada interfaz externa que se encuentra en el servidor ISA.
  7. Haga clic en Todos los equipos remotos.
Ahora puede tener acceso a los sitios Web desde el servidor ISA. Microsoft recomienda repetir estos pasos, pero utilizando Acceso SSL como nombre en el paso 3 y 443 (en lugar de 80) en el paso 5, porque varios servidores Web utilizan el protocolo SSL. Para permitir más protocolos, siga los mismos pasos pero use un nombre apropiado en el paso 3 y la cantidad de entradas necesarias en el paso 5.

Solucionar problemas

Los problemas más habituales tienen que ver con la falta de conocimiento de las interacciones entre los elementos de las directivas, las reglas de directiva y los filtros de paquetes. Si intenta hacer algo más que utilizar la directiva de acceso genérico que creó en primer lugar (con el procedimiento de la sección "Crear directivas para definir cómo se conectan los usuarios a Internet" de este artículo), asegúrese de que entiende por completo la sección "Instalar Microsoft Internet Security and Acceleration Server". Lea también la Ayuda en pantalla de Microsoft Internet Security and Acceleration Server. Cree algunas directivas y pruébelas. Además, comprender las directivas de acceso es más fácil si se entiende el vocabulario del servidor ISA y las interacciones entre los componentes.

Nota
El servidor ISA no dirige las conexiones entre cualquier elemento de la LAT y el exterior. Debe crear algún tipo de directiva que describa el acceso que desea permitir.

Referencias

Para obtener ayuda en la solución de problemas con el servidor ISA, vea la Ayuda en pantalla de Microsoft Internet Security and Acceleration Server.

Propiedades

Id. de artículo: 323387 - Última revisión: jueves, 27 de febrero de 2014 - Versión: 7.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palabras clave: 
kbnosurvey kbarchive kbhowto kbhowtomaster kbnetwork KB323387

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com