Como ligar A empresa para a Internet utilizando um firewall ISA com o Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 323387 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo-a-passo descreve como pequenas empresas com menos de 255 estações de trabalho numa rede existente baseado no Windows podem ligar os computadores à Internet, utilizando os serviços de segurança do Firewall do Microsoft Internet Security Acceleration (ISA).

Instalar o ISA Server

Para instalar um firewall ISA, é necessário um computador com duas placas de rede. Tem de ligar uma destas placas à rede interna e a outra ao fornecedor de serviços Internet (ISP, Internet Service Provider). O ISP pode ajudá-lo a efectuar esta ligação.. Um firewall actua como uma barreira de segurança entre a rede interna (ou intranet) e a Internet, impedindo que utilizadores exteriores na Internet obtenham acesso a informações confidenciais na intranet ou no computador..

Planear a instalação

  • É possível executar o ISA Server Standard Edition num computador autónomo, num computador que seja membro de um domínio do Microsoft Windows NT ou num computador que seja membro de um domínio do Active Directory..
  • Para máxima segurança, execute o ISA Server num computador autónomo.
  • A configuração das placas de rede envolve a configuração da interface externa para a Internet e, em seguida, a configuração da interface interna para a rede baseada no Windows..
  • O ISP deve fornecer um servidor ou servidores de Sistema de nomes de domínio (DNS, Domain Name System), gateway predefinido, máscara de subrede e endereços IP estáticos.. Introduza estas informações nas definições de TCP/IP da placa ligada ao ISP.. Alguns ISP preferem atribuir estas informações com o protocolo DHCP (Dynamic Host Configuration Protocol), o que não constitui qualquer problema..
  • Necessitará de um endereço permanente e máscara de subrede apropriada para a rede interna na placa interna (não utilize o DHCP nesta interface).. Deixe sempre este gateway predefinido em branco.. O computador com o ISA Server necessita apenas de um gateway predefinido: o que está configurado na interface ou interfaces externas.. Configurar um gateway predefinido na placa interna provoca o mau funcionamento do ISA..

Configurar as placas de rede do servidor

  1. Clique em Iniciar , aponte para Painel de controlo , e em seguida, clique em Ligações de rede .
  2. Clique com o botão direito do rato na ligação à Internet, faça clique sobre Mudar o nome , e seguida, escreva Internet connection.

    Isto ajudá-lo-á a recordar qual a placa de rede que está ligada à Internet..
  3. Clique com o botão direito do rato a ligação da Internet e em seguida, clique em Propriedades .
  4. No separador Geral (General ), clique para seleccionar a caixa de verificação Mostrar ícone na área de notificação quando ligado .

    Sempre que esta interface transferir dados, piscará um pequeno ícone na barra de tarefas..
  5. Desmarque as caixas de verificação Cliente para Microsoft Network e Ficheiros e Impressoras partilha para redes Microsoft .

    O ISA Server bloqueia automaticamente estes protocolos; se desmarcar estas caixas de verificação, poupará memória..
  6. Faça duplo clique em TCP / IP (Protocolo Internet) , e seguida, efectue um dos seguintes procedimentos:
    • Se o ISP utilizar DHCP para atribuir endereços IP, clique nas opções Obter um endereço IP automaticamente e automaticamente o endereço do servidor DNS obter na caixa de diálogo Propriedades TCP / IP (Protocolo Internet) . Avance para o passo 7.
    • Se tiver de introduzir manualmente a partir do ISP, as informações de endereços IP clique para seleccionar a utilizar o endereço IP que se segue na caixa de diálogo Propriedades TCP / IP (Protocolo Internet) , e seguida, escreva o endereço, máscara de sub-rede, e informações gateway predefinidas fornecidas pelo ISP. Clique para seleccionar a caixa de verificação Utilizar os seguintes endereços de servidor de DNS , e seguida, escreva o nome do servidor de DNS ou servidores fornecidas pelo ISP.
  7. Clique em Avançadas e, em seguida, clique na. DNS clique para desmarcar a caixa de verificação Registar endereços desta ligação no DNS .
  8. Clique no separador WINS seguinte. Em definição NETBIOS , clique em Desactivar NetBios através de TCP / IP .

Configurar a interface interna para a rede

  1. Clique em Iniciar , aponte para Painel de controlo , e em seguida, clique em Ligações de rede .
  2. Clique com o botão direito do rato a ligação de área local, faça clique sobre Mudar o nome , e seguida, escreva Local network.
  3. Clique com o botão direito do rato de rede local , e em seguida, clique em Propriedades .
  4. No separador Geral (General ), clique para seleccionar a caixa de verificação Mostrar ícone na barra de tarefas quando ligado .
  5. Clique para seleccionar as caixas verificação Cliente para redes Microsoft e Partilha de ficheiros e impressoras para redes Microsoft se não estiverem seleccionadas.
  6. Faça duplo clique em TCP / IP (Protocolo Internet) , e em seguida, clique para seleccionar a caixa de verificação Utilizar o seguinte endereço IP .
  7. Na caixa Endereço IP , escreva um IP interno máscara de sub-rede e endereço que faça sentido para esquema de endereçamento da rede interna. Deixe Gateway predefinido em branco. No servidor de DNS preferido , escreva o endereço IP do servidor ou servidores DNS da rede.

    NOTA : Para redes muito pequenas com menos de 255 computadores, se estiver a utilizar a configuração de TCP / IP predefinida do Windows 2000 e não tiver um servidor de DNS na rede, os computadores são confiar na automática privada IP endereço atribuição (APIPA, Automatic Private IP ADDRESSING). A Microsoft recomenda que pare de utilizar o APIPA e comece a utilizar endereços estáticos nas estações de trabalho clientes.. Cada computador da rede necessitará de um endereço IP exclusivo.. Quando configura a interface interna do ISA Server, terá de escrever um endereço estático. Utilização 192.168.0.254 e a máscara de sub-rede 255.255.255.0 . Deixe a caixa Gateway predefinido em branco. Escreva o servidor de DNS do ISP nos campos do servidor de DNS .

    Configure os endereços estáticos em cada um dos clientes::
    1. No primeiro computador, utilize o endereço 192.168.0.1 uma máscara de sub-rede de 255.255.255.0 e um gateway predefinido do 192.168.0.254 . Para o DNS, escreva o nome do servidor (ou servidores) de DNS do ISP..
    2. No segundo computador, utilize o endereço 192.168.0.2 e em seguida, utilize os mesmos valores tal como no passo anterior com marcas. Ao contrário do endereço, estes valores permanecem sempre iguais, mas continuam a incrementar o endereço para cada computador adicional.. Mantenha uma lista dos computadores com os respectivos endereços..
  8. Reinicie o computador, se tal lhe for pedido..

Instalar o Microsoft Internet Security and Acceleration Server

Utilizar o ISA Server Setup Wizard

  1. No Explorador do Windows, faça duplo clique na unidade de CD-ROM..

    NOTA : O ISA Server Setup Wizard inicia automaticamente a não ser que a funcionalidade de Notificação de inserir automática é desactivada. Se o assistente não for iniciado automaticamente, navegue para o directório raiz do CD-ROM, e faça duplo seguida, clique no ficheiro ISAAutorun.exe para executá-lo. Faça clique sobre Install ISA Server para iniciar o processo.
  2. No ecrã de boas-vindas, clique em ' continuar ' . Escreva o número de identificação do produto na caixa apropriada.. É possível localizar este número na parte de trás do caso de CD-ROM.
  3. Leia o contrato de licenças e, em seguida, clique em CONCORDO .
  4. Clique em Instalação Típica para o tipo de instalação. Isto instala os serviços e as ferramentas administrativas do ISA..
  5. Clique modo firewall . O ISA pára serviços relevantes no computador..
  6. Configure a tabela de endereços locais (LAT, local address table) do ISA.. A configuração da LAT requer muita atenção.. Ser-lhe-ão apresentadas com duas opções: construir tabela LAT ou utilizar o Assistente do Installer. Baseie a selecção nas seguintes condições::
    • Se souber qual a subrede (ou subredes) que a rede interna utiliza, escreva-a aqui..

      ATENÇÃO : Não clique no botão Construct Table ! Se o fizer, as informações da LAT introduzidas serão substituídas..
    • Se não souber as sub-redes locais, clique no botão Construct Table . O assistente de configuração do ISA vai determinar as sub-redes locais com base na tabela de encaminhamento do computador..
      • Clique para seleccionar a caixa de verificação Adicionar os seguintes intervalos privados se esta ainda não tiver sido seleccionada.
      • Clique para seleccionar os Adicionar intervalos de endereços baseados na tabela de encaminhamento do Windows Server 2003 se esta ainda não tiver sido seleccionada.
      • Clique para desmarcar a caixa de verificação que contém a sub-rede que corresponde à interface externa (Internet) do servidor..
      • Clique para seleccionar a caixa de verificação que contém a sub-rede que corresponde à interface interna (LAN) do servidor..
  7. Quando a configuração estiver concluída, inicie o Administrator Getting Started Wizard e, em seguida, leia a secção seguinte antes de concluir este assistente..
O estado de pós-instalação do ISA Server bloqueia todo o acesso de e a partir da Internet.. Esta é uma boa funcionalidade!! Lembre-se de que está a configurar um firewall.. A função principal de um firewall é a de funcionar como um ponto de verificação entre duas redes.. O comportamento do ISA Server é bloquear tudo o que não seja especificamente permitido através da política..

Configurar o estado POST-Installation do ISA

Tenha em para configurar seguintes dois componentes de uma política de acesso de modo a que os clientes podem aceder à Internet, conta os seguintes aspectos:
  • Tem de configurar pelo menos uma regra de site e de conteúdo, na qual especificará onde os utilizadores podem ir e que tipos de conteúdo podem obter..
  • Tem de configurar, pelo menos, uma regra de protocolo que especifica os tipos de tráfego permitidos através do ISA Server..
Após a instalação, o ISA cria uma regra de local e de conteúdo predefinida que permite sempre o acesso de todos os clientes a todos os conteúdos, em todos os locais.. No entanto, isto é insuficiente para que os utilizadores possam iniciar navegar na Internet: you ainda não ter definido uma regra de protocolo. Sem isto, não é permitido qualquer tráfego através do ISA..

O assistente de introdução

  1. Na Getting Started Wizard, clique em Configurar regras do protocolo . A lista de regras de protocolo é apresentada na consola de gestão da Microsoft (MMC, Microsoft Management Console)..
  2. Clique em Criar uma regra de protocolo . Escreva um nome, tal como "Todos os protocolos"..
  3. Clique em Permitir Para acção da regra (esta é a predefinição).
  4. Clique em tráfego IP ALL para obter a lista de protocolo (esta é a predefinição).
  5. Clique em Sempre para a agenda (esta é a predefinição).
  6. Clique em Any request para o tipo de cliente (esta é a predefinição).
  7. Clique em Concluir .

Criar políticas que dizem respeito ao modo como os utilizadores ligam à Internet

O ISA Server faz muito mais do que permitir apenas tudo acesso os clientes a todo o conteúdo em todos os sites sempre através da utilização de todos os protocolos (definidos). No ISA, pode criar políticas de acesso que podem ser utilizadas para definir exactamente o modo como os utilizadores podem aceder à Internet..

As políticas de acesso do ISA são compostas pelos seguintes três elementos::
  • Regras de site e de conteúdo.
  • Regras de protocolos.
  • Filtros de pacotes.
As regras, por sua vez, são compostas pelos seguintes elementos de política::
  • Agendas.
  • Conjuntos de destinos.
  • Conjuntos de endereços de clientes.
  • Definições de protocolos.
  • Grupos de conteúdo.
Existem dependências que necessita de compreender antes de tentar algo complexo com as políticas do ISA.. A tabela seguinte descreve os elementos de política pertencentes a cada regra de política::
Reduzir esta tabelaExpandir esta tabela
Regras de site e de conteúdoRegras de protocolos
Conjuntos de destinosDefinições de protocolos
Grupos de conteúdo Agendas
AgendasConjuntos de endereços de clientes
Conjuntos de endereços de clientes

Aceder à Internet a partir do computador ISA

Como aceder à Internet a partir do próprio computador do ISA?? Se estiver fisicamente no computador do ISA e pretender aceder a um determinado Web site, as regras de protocolo e as regras de site e de conteúdo criadas anteriormente aplicam-se apenas a clientes protegidos pelo ISA Server.. Quando um cliente tenta aceder à Internet (pressupondo que o pedido é permitido pelas regras), o ISA cria um filtro de pacotes dinâmico para esse pedido de ligação.. No entanto, se estiver no computador ISA e pretender aceder à Internet, terá de criar filtros de pacotes estáticos de acordo com os tipos de tráfego que irá gerando.. Por exemplo, para aceder a um Web site, siga estes passos::
  1. Em ISA Management, expanda Servers , expanda Servidor-a-nome , clique em Política de acesso , e em seguida, clique em Filtros de pacotes IP .
  2. Clique em Criar um filtro de pacotes para iniciar um assistente.
  3. Atribua o seguinte nome ao filtro de pacotes: Web access.
  4. Clique em Permitir a transmissão de pacotes , e em seguida, clique em Personalizado
  5. Clique em TCP como o protocolo IP, faça clique sobre Saída para a direcção, faça clique sobre Todas as portas para a porta local, e seguida, clique em Porta fixa para a porta remota. Tipo 80 Na caixa Número da porta .
  6. Seleccione os endereços IP predefinidos para cada interface externa do ISA Server..
  7. Clique em Todos os computadores remotos .
Agora já pode aceder a Web sites a partir do ISA Server.. A Microsoft recomenda que repita estes passos, mas utilizar SSL access Como o nome no passo 3 e 443 (em vez de 80 no passo 5, uma vez que um número de servidores Web utilizam o protocolo SSL. Para permitir ainda mais protocolos, siga os mesmos passos mas utilizar um nome adequado no passo 3 e o número apropriado de entradas no passo 5.

A resolução de problemas

Os problemas mais comuns estão relacionados com uma compreensão incompleta das interacções entre elementos de política, regras de políticas e filtros de pacotes.. Se tentar fazer algo mais do que utilizar a política de acesso genérica que criou (seguindo o procedimento na secção "Criar políticas que dizem respeito ao modo como os utilizadores ligam à Internet" deste artigo), certifique-se de que compreende totalmente a secção "Instalar o Microsoft Internet Security and Acceleration Server".. Além disso, leia a ajuda online do Microsoft Internet Security and Acceleration Server.. Crie algumas políticas e, em seguida, teste-as.. Para além disso, é mais fácil compreender as políticas de acesso se compreender as interacções de vocabulário e componente ISA Server.

NOTA : ISA Server não direccionar ligações entre nada na LAT e o exterior. Tem de criar uma espécie de política que descreva o acesso que pretende permitir..

Referências

Para obter ajuda na resolução de problemas do ISA Server, consulte a ajuda online do Microsoft Internet Security and Acceleration Server..

Propriedades

Artigo: 323387 - Última revisão: 27 de fevereiro de 2014 - Revisão: 7.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbnosurvey kbarchive kbnetwork kbhowto kbhowtomaster KB323387 KbMtpt kbmt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Pedíamos-lhe o favor de preencher o formulário existente no fundo desta página caso venha a encontrar erros neste artigo e tenha possibilidade de colaborar no processo de aperfeiçoamento desta ferramenta. Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 323387

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com