Connessione della societÓ a Internet tramite un firewall ISA con Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 323387 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritta la procedura dettagliata per connettere a Internet i computer di un'azienda di piccole dimensioni con meno di 255 workstation in una rete basata su Windows esistente, utilizzando i servizi Microsoft Internet Security Acceleration (ISA) protetti da firewall.

Installazione di ISA Server

Per installare un firewall ISA, Ŕ necessario un computer con due schede di rete, una delle quali dovrÓ essere connessa alla rete interna e l'altra al provider di servizi Internet (ISP). ╚ possibile richiedere assistenza al provider per eseguire questa connessione. Un firewall agisce come una barriera di protezione tra la rete interna (o Intranet) e Internet, impedendo ad altri utenti su Internet di accedere alle informazioni riservate sulla rete Intranet o nel computer.

Pianificare l'installazione

  • ╚ possibile eseguire ISA Server Standard Edition in un computer autonomo, in un computer membro di un dominio Microsoft Windows NT o in un computer membro di un dominio Active Directory.
  • Per ottenere il massimo livello di protezione, eseguire ISA Server in un computer autonomo.
  • La configurazione delle schede di rete richiede l'impostazione dell'interfaccia esterna a Internet e dell'interfaccia interna alla rete Windows.
  • L'ISP dovrÓ fornire un indirizzo IP statico, una subnet mask, un gateway predefinito e uno o pi¨ server DNS (Domain Name System). Immettere queste informazioni nelle impostazioni TCP/IP della scheda di rete connessa all'ISP. Alcuni ISP preferiscono assegnare queste informazioni mediante protocollo DHCP (Dynamic Host Configuration Protocol).
  • SarÓ necessario digitare un indirizzo permanente e la subnet mask appropriata per la rete interna nella scheda interna (non utilizzare il protocollo DHCP per questa interfaccia). Lasciare sempre vuota la casella relativa al gateway predefinito. Il computer ISA Server richiede un solo gateway predefinito, quello configurato per l'interfaccia o le interfacce esterne. La configurazione di un gateway predefinito sulla scheda interna pu˛ provocare l'errato funzionamento di ISA.

Configurare le schede di rete del server

  1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete.
  2. Fare clic con il pulsante destro del mouse sulla connessione Internet, scegliere Rinomina e digitare Connessione Internet.

    Ci˛ consentirÓ di ricordare quale scheda di rete Ŕ connessa a Internet.
  3. Fare clic con il pulsante destro del mouse sulla connessione Internet, quindi scegliere ProprietÓ.
  4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona nell'area di notifica quando connesso.

    Quando l'interfaccia trasferisce i dati, viene visualizzata una piccola icona intermittente sulla barra delle applicazioni.
  5. Deselezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft.

    Questi protocolli verranno automaticamente bloccati. Deselezionando le caselle di controllo si ottiene una maggiore disponibilitÓ di memoria.
  6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi effettuare una delle operazioni descritte di seguito:
    • Se l'ISP utilizza DHCP per assegnare gli indirizzi IP, fare clic sulle opzioni Ottieni automaticamente un indirizzo IP e Ottieni indirizzo server DNS automaticamente nella finestra di dialogo ProprietÓ TCP/IP. Procedere al passaggio 7.
    • Se Ŕ necessario immettere manualmente le informazioni sull'indirizzo IP ottenute dall'ISP, selezionare Utilizza il seguente indirizzo IP nella finestra di dialogo ProprietÓ TCP/IP, quindi digitare le informazioni sull'indirizzo, sulla subnet mask e sul gateway predefinito fornite dall'ISP. Selezionare la casella di controllo Utilizza i seguenti indirizzi server DNS, quindi digitare il nome del server o dei server DNS fornito dall'ISP.
  7. Scegliere il pulsante Avanzate, quindi scegliere la scheda DNS. Deselezionare la casella di controllo Registra nel DNS gli indirizzi di questa connessione.
  8. Scegliere quindi la scheda WINS. Nell'impostazione NETBIOS fare clic su Disabilita NetBIOS su TCP/IP.

Configurare l'interfaccia interna alla rete

  1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Connessioni di rete.
  2. Fare clic con il pulsante destro del mouse sulla connessione LAN, scegliere Rinomina e digitare Rete locale.
  3. Fare clic con il pulsante destro del mouse su Rete locale e scegliere ProprietÓ.
  4. Nella scheda Generale selezionare la casella di controllo Mostra un'icona sulla barra delle applicazioni quando connesso.
  5. Selezionare le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft se non sono selezionate.
  6. Fare doppio clic su Protocollo Internet (TCP/IP), quindi selezionare la casella di controllo Utilizza il seguente indirizzo IP.
  7. Nella casella Indirizzo IP digitare un indirizzo IP interno e una subnet mask adeguata allo schema di indirizzi della rete interna utilizzato. Lasciare vuota la casella Gateway predefinito. In Server DNS preferito digitare l'indirizzo IP del server o dei server DNS di rete.

    NOTA: per reti molto piccole con meno di 255 computer, se si sta utilizzando la configurazione TCP/IP predefinita di Windows 2000 e la rete non dispone di un server DNS, i computer utilizzano APIPA (Automatic Private IP Address Assignment) per l'assegnazione degli indirizzi IP. Microsoft consiglia di eseguire la migrazione da APIPA e iniziare a utilizzare indirizzi statici sulle workstation client. Per ciascun computer della rete sarÓ necessario un indirizzo IP univoco. Quando si configura l'interfaccia interna di ISA Server, Ŕ necessario utilizzare un indirizzo statico. Utilizzare 192.168.0.254 e la subnet mask 255.255.255.0. Lasciare vuota la casella Gateway predefinito. Digitare il server DNS dell'ISP nei campi Server DNS.

    Configurare ora gli indirizzi statici su ogni client:
    1. Per il primo computer utilizzare l'indirizzo 192.168.0.1, una subnet mask 255.255.255.0 e un gateway predefinito 192.168.0.254. Per DNS digitare il nome del server o dei server DNS dell'ISP.
    2. Per il secondo computer utilizzare l'indirizzo 192.168.0.2 e gli stessi valori indicati nei precedenti passaggi puntati. A parte l'indirizzo, che andrÓ aumentato per ciascun computer aggiuntivo, gli altri valori rimangono invariati. Creare un elenco dei computer e dei relativi indirizzi utilizzati.
  8. Riavviare il computer quando viene richiesto.

Installazione di Microsoft Internet Security and Acceleration Server

Utilizzare l'installazione guidata di ISA Server

  1. In Esplora risorse fare doppio clic sull'unitÓ CD-ROM.

    NOTA: l'installazione guidata di ISA Server viene avviata automaticamente, a meno che la funzionalitÓ di notifica di avvio automatico non sia disattivata. Se l'installazione guidata non viene avviata automaticamente, passare alla directory principale del CD-ROM e fare doppio clic sul file ISAAutorun.exe per eseguirlo. Per avviare il processo, fare clic sull'opzione per installareISA Server.
  2. Nella schermata iniziale scegliere Continua. Digitare il numero di serie del prodotto nella casella appropriata. ╚ possibile individuare questo numero sul retro della custodia del CD.
  3. Leggere le condizioni del Contratto di Licenza e scegliere Accetto.
  4. Fare clic su Installazione tipica come tipo di installazione. Con questo tipo di installazione verranno installati i servizi ISA e gli strumenti di amministrazione.
  5. Fare clic sull'opzione relativa alla modalitÓ firewall. Verranno interrotti tutti i servizi pertinenti del computer.
  6. Configurare la tabella degli indirizzi locali (LAT, Local Address Table) per ISA. La configurazione della LAT richiede particolare attenzione. ╚ possibile scegliere tra due opzioni: creare una LAT o utilizzare la procedura guidata di installazione. Scegliere l'opzione desiderata in base alle seguenti condizioni:
    • Se si conoscono la subnet o le subnet utilizzate sulla rete interna, digitarle ora.

      ATTENZIONE: non fare clic sul pulsante per la costruzione della tabella. Cosý facendo, le informazioni sulla LAT immesse verranno sovrascritte.
    • Se non si conoscono le subnet locali, fare clic sul pulsante per la costruzione della tabella. Verranno determinate le subnet locali in base alla tabella di routing del computer.
      • Selezionare la casella di controllo relativa all'aggiunta di intervalli di indirizzi privati, se non Ŕ giÓ selezionata.
      • Selezionare l'opzione relativa all'aggiunta di intervalli di indirizzi in base alla tabella di routing di Windows Server 2003, se non Ŕ giÓ selezionata.
      • Deselezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia esterna (Internet) del server.
      • Selezionare la casella di controllo contenente la subnet che corrisponde all'interfaccia interna (LAN) del server.
  7. Al termine dell'installazione, avviare la procedura guidata introduttiva dell'amministratore e leggere attentamente la sezione seguente prima di completare la procedura guidata.
Al termine dell'installazione di ISA Server viene bloccato qualsiasi accesso a e da Internet. Si tratta di una procedura consigliata considerato che si sta impostando un firewall. La funzione principale di un firewall Ŕ di agire come punto di controllo tra due reti. Il funzionamento di ISA Server consiste nel bloccare qualsiasi attivitÓ non specificatamente consentita dai criteri di protezione.

Configurare lo stato successivo all'installazione di ISA

Per configurare i seguenti componenti dei criteri di accesso in modo tale da consentire l'accesso a Internet ai client, tenere presente quanto segue:
  • ╚ necessario configurare almeno una regola per il sito e il contenuto che determinerÓ a quali risorse gli utenti potranno accedere e che tipo di contenuto potranno recuperare.
  • SarÓ inoltre necessario configurare almeno un protocollo per indicare il tipo di traffico consentito attraverso ISA Server.
Al termine dell'installazione, viene creata una regola predefinita per il sito e il contenuto che consentirÓ a tutti i client di accedere a tutti i contenuti di tutti i siti in qualsiasi momento. Tuttavia ci˛ non sarÓ sufficiente per consentire agli utenti di esplorare Internet, poichÚ non Ŕ ancora stata definita una regola per il protocollo. Senza questa definizione, non Ŕ consentito alcun tipo di traffico tramite ISA.

Procedura guidata introduttiva

  1. Nella procedura guidata introduttiva fare clic sull'opzione relativa alla configurazione dei protocolli. L'elenco dei protocolli viene visualizzato in Microsoft Management Console (MMC).
  2. Fare clic sull'opzione relativa alla creazione di una regola protocollo. Digitare un nome, quale ad esempio "Tutti i protocolli".
  3. Fare clic sull'opzione per consentire l'azione della regola, (impostazione predefinita).
  4. Fare clic su Traffico su tutti gli IP per l'elenco dei protocolli (impostazione predefinita).
  5. Fare clic su Sempre per la pianificazione (impostazione predefinita).
  6. Fare clic sull'opzione relativa a qualsiasi richiesta per il tipo di client (impostazione predefinita).
  7. Scegliere Fine.

Creare criteri per la connessione degli utenti a Internet

ISA Server non solo consente a tutti i client l'accesso a tutti i contenuti e a tutti i siti in qualsiasi momento mediante i protocolli precedentemente definiti, ma anche di creare i criteri di accesso che Ŕ possibile utilizzare per definire esattamente il tipo di accesso a Internet da parte degli utenti.

I criteri di accesso di ISA sono composti dai tre elementi seguenti:
  • Regole per il sito e il contenuto.
  • Regole per i protocolli.
  • Filtri per i pacchetti IP.
A loro volta, le regole sono composte dai seguenti elementi di criteri:
  • Pianificazioni.
  • Insiemi di destinazioni.
  • Insiemi di indirizzi client.
  • Definizioni di protocolli.
  • Gruppi di contenuti.
Prima di iniziare la creazione dei criteri ISA, Ŕ necessario comprendere le dipendenze esistenti tra i vari elementi. Nella tabella che segue vengono descritti gli elementi dei criteri e le corrispondenti regole dei criteri:
Riduci questa tabellaEspandi questa tabella
Regole per il sito e il contenutoRegole dei protocolli
Insiemi di destinazioniDefinizioni di protocolli
Gruppi di contenuti Pianificazioni
PianificazioniInsiemi di indirizzi client
Insiemi di indirizzi client

Accedere a Internet dal computer ISA

Per quanto riguarda l'accesso a Internet dal computer ISA stesso, se ci si trova fisicamente al computer ISA e si desidera accedere a un sito Web particolare, i protocolli e le regole per il sito e il contenuto creati si applicano esclusivamente ai client che si trovano al di lÓ del server ISA. Quando un client tenta di accedere a Internet, presupponendo che la richiesta sia consentita dalle regole create, viene creato un filtro di pacchetti dinamico per la richiesta della connessione. Tuttavia, se si sta utilizzando il computer ISA e si desidera accedere a Internet, Ŕ necessario creare filtri di pacchetti statici in base ai tipi di traffico che verranno generati. Ad esempio, per accedere a un sito Web, attenersi alla seguente procedura:
  1. In ISA Management espandere Server, espandere nome server, fare clic sull'opzione relativa aicriteri di accesso, quindi su Filtri pacchetti IP.
  2. Fare clic sull'opzione per la creazione di un filtro di pacchetto per avviare una procedura guidata.
  3. Assegnare al filtro di pacchetti il nome Accesso Web.
  4. Fare clic sull'opzione per consentire la trasmissione di pacchetti, quindi su quella relativa alla personalizzazione.
  5. Fare clic su TCP come protocollo IP, su In uscita per la direzione, su Tutte le porte per la porta locale e infine sull'opzione relativa alla porta fissa per la porta remota. Digitare 80 nella casella Numero porta.
  6. Selezionare gli indirizzi IP predefiniti per ciascuna interfaccia esterna presente nel server ISA.
  7. Fare clic sull'opzione relativa a tutti i computer remoti.
SarÓ ora possibile accedere ai siti Web dal server ISA. Microsoft consiglia di ripetere la procedura, ma di utilizzare Accesso SSL al passaggio 3 e 443 (al posto di 80) al passaggio 5, poichÚ alcuni server Web utilizzano il protocollo SSL. Per consentire un numero ancora maggiore di protocolli, seguire la stessa procedura utilizzando tuttavia un nome adeguato al punto 3 e le voci appropriate al punto 5.

Risoluzione dei problemi

I problemi pi¨ comuni riguardano la mancata comprensione delle interazioni tra gli elementi dei criteri, le regole dei criteri e i filtri di pacchetti. Prima di intraprendere operazioni pi¨ complesse rispetto all'utilizzo generico dei criteri di accesso creati, seguendo la procedura descritta nella sezione "Creare criteri per la connessione degli utenti a Internet" in questo articolo, leggere attentamente la sezione "Installazione di Microsoft Internet Security and Acceleration Server". Consultare inoltre la Guida in linea di Microsoft Internet Security and Acceleration Server. Creare quindi alcuni criteri e verificarli. La comprensione dei criteri di accesso risulta inoltre pi¨ semplice se si acquisisce familiaritÓ con la terminologia di ISA Server e le interazioni dei componenti.

NOTA: con ISA Server Ŕ impossibile effettuare connessioni dirette tra gli elementi inclusi nella LAT e l'esterno. A tale scopo, Ŕ necessario creare alcuni criteri che descrivano il tipo di accesso che si desidera consentire.

Riferimenti

Per assistenza nella risoluzione dei problemi relativi a ISA Server, vedere la Guida in linea di Microsoft Internet Security and Acceleration Server.

ProprietÓ

Identificativo articolo: 323387 - Ultima modifica: giovedý 27 febbraio 2014 - Revisione: 7.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Chiavi:á
kbnosurvey kbarchive kbhowto kbhowtomaster kbnetwork KB323387
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com