如何連線到網際網路的公司與 Windows Server 2003 使用 ISA 防火牆

文章翻譯 文章翻譯
文章編號: 323387 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何小型企業與更少比 255 工作站在現有的 Windows 基礎網路可以連接電腦到網際網路使用 Microsoft 網際網路安全性加速 (ISA) 防火牆保護服務。

安裝 ISA Server

若要安裝 ISA 防火牆,您可以需要電腦具有兩個網路介面卡。您必須連線到您的內部網路這些介面卡及其他配接器的其中一個到網際網路服務提供者 (ISP)。您的 ISP 可以協助您建立這個連線。防火牆會做為您的內部網路 (或企業內部網路上) 之間的安全性屏障和網際網路以防止網際網路上的外部使用者存取您內部網路或您的電腦上的機密資訊。

規劃安裝

  • 您可以在 Microsoft Windows NT 網域的成員的電腦上的一個獨立電腦上執行 ISA Server 標準版或在電腦上的 Active Directory 網域的成員。
  • 最大安全性在獨立電腦上執行 ISA Server。
  • 網路介面卡組態牽涉到設定外部介面到網際網路並再設定內部介面,以 Windows 為基礎的網路。
  • 您的 ISP 應該提供靜態的 IP 位址、 子網路遮罩、 預設閘道及網域名稱系統 (DNS) 伺服器。已連線到您的 ISP 的介面卡的 TCP/IP 設定中輸入此資訊。某些 ISP 想要指派此資訊與動態主機設定通訊協定 (DHCP),這是很好。
  • 您將需要 [永久位址和適當的子網路遮罩為內部介面卡上您內部網路 (不要在這個介面上使用 DHCP)。永遠將此預設閘道留白。ISA Server 電腦必須只有一個預設閘道: 外部介面或介面設定一個。在內部介面卡上設定預設閘道會導致 ISA 運作失常。

設定伺服器的網路介面卡

  1. 按一下 [開始],並指向 [控制台],然後按一下 [網路連線
  2. 您的網際網路連線上按一下滑鼠右鍵、 按一下 [重新命名,] 然後鍵入 網際網路連線

    這將會幫助您記住哪個網路卡連線到網際網路。
  3. 網際網路的連線上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 在 [一般] 索引標籤上按一下以選取 [顯示連接時在通知區域圖示] 核取方塊。

    每當這個介面將傳輸資料,工作列上的小圖示將會閃爍。
  5. 清除 [Microsoft 網路的用戶端 」 及 「 檔案及印表機共用 Microsoft 網路] 核取方塊。

    ISA Server 會自動封鎖這些通訊協定 ; 您可以清除 [這些核取方塊儲存記憶體。
  6. 連按兩下 [網際網路通訊協定 (TCP/IP),然後執行下列其中一項動作:
    • 如果您的 ISP 使用 DHCP 來指派 IP 位址,按一下 [自動取得 IP 位址,及 取得 DNS 伺服器自動位址網際網路通訊協定 (TCP/IP) 內容] 對話方塊中的選項。繼續到步驟 7。
    • 如果必須手動輸入 IP 位址資訊從您的 ISP 按一下以選取 使用下列的 IP 位址網際網路通訊協定 (TCP/IP) 內容] 方塊及再鍵入該位址子網路遮罩和您的 ISP 所提供的預設閘道資訊中。按一下以選取 [使用下列的 DNS 伺服器位址] 核取方塊,然後鍵入 DNS 伺服器或您的 ISP 所提供的伺服器的名稱。
  7. 按一下 [進階],然後再按一下 [DNS] 標籤,按一下以清除 [在這個連線的 DNS 中登錄位址] 核取方塊。
  8. 接下來按一下 [WINS] 索引標籤。[NETBIOS] 設定下按一下 [停用 Netbios 透過 TCP/IP]。

設定您的網路的內部介面

  1. 按一下 [開始],並指向 [控制台],然後按一下 [網路連線
  2. 本機區域連線上按一下滑鼠右鍵、 按一下 [重新命名,然後鍵入 區域網路
  3. 區域網路 上, 按一下滑鼠右鍵,然後再按 [內容]
  4. 在 [一般] 索引標籤上按一下以選取 [顯示在連線時的工作列中的圖示] 核取方塊。
  5. 按一下以選取 Microsoft 的用戶端網路檔案及印表機共用 Microsoft 網路 若未選取的核取方塊。
  6. 連按兩下 網際網路通訊協定 (TCP/IP),然後再按一下以選取 使用下列的 IP 位址] 核取方塊。
  7. 在 [IP 位址] 方塊中,輸入內部 IP 適合您的內部網路的位址和子網路遮罩的定址配置。將 預設閘道 留白。在 慣用的 DNS 伺服器,輸入您的網路 DNS 伺服器或伺服器的 IP 位址。

    注意: 對於非常小型網路與少於 255 個電腦如果您使用的 Windows 2000 預設的 TCP/IP 設定,並且您沒有一個 DNS 中您的網路伺服器,您的電腦依賴自動私人 IP 定址 (APIPA) 工作分派。Microsoft 建議您從離使用 APIPA 移,並開始在用戶端工作站上使用靜態位址。在網路中的每一台電腦將需要唯一的 IP 位址。當您在設定 ISA Server 的內部介面時您必須輸入靜態位址。使用 192.168.0.254 及子網路遮罩 255.255.255.0。將 預設閘道] 方塊保留空白。鍵入 DNS 伺服器,您的 ISP 中的 DNS 伺服器 欄位。

    現在在每一份您的用戶端上設定靜態位址:
    1. 在 [第一部電腦使用位址 192.168.0.1,子網路遮罩為 255.255.255.0,然後使用 192.168.0.254 的預設閘道。若為 DNS,輸入您的 ISP 的 DNS 伺服器 (或伺服器) 的名稱。
    2. 第二部電腦上使用位址 192.168.0.2,],然後再使用相同的值,如前一個項目符號的步驟中所示]。地址以外這些其他的值,永遠保持相同,但繼續遞增的每個額外的電腦位址。維護一份清單的哪些電腦使用哪一個位址。
  8. 如果系統提示您執行這項操作,請重新啟動您的電腦]。

安裝 Microsoft 網際網路安全性與加速伺服器

使用 ISA 伺服器安裝精靈 」

  1. 在 Windows 檔案總管中連按兩下以開啟您的 CD-ROM 磁碟機。

    注意: 除非關閉 [自動插入通知] 功能,會自動啟動 「 ISA 伺服器安裝精靈。如果精靈不會自動啟動,瀏覽至該光碟片根目錄,然後再按兩下 [ISAAutorun.exe 檔案來執行它。按一下 [安裝 ISA Server 來啟動處理序]。
  2. 在 [歡迎畫面按一下 [繼續]。在適當的方塊中輸入產品識別碼。 您可以找出此光碟盒上的數字。
  3. 閱讀的授權合約,然後按一下 [我同意]。
  4. 按一下 [一般安裝] 做為安裝類型。這會安裝 ISA 服務和系統管理工具。
  5. 按一下 [防火牆模式]。ISA 會在電腦上停止相關服務。
  6. 為 ISA.設定本機位址表格 (LAT) 設定 LAT 需要仔細考慮。您會看到兩個選擇: [建構 LAT 或使用安裝程式精靈]。依據您的選擇在下列情況:
    • 如果知道您的內部網路使用子網路 (或子網路) 請在這裡輸入。

      警告: 不要按 [建構表格] 按鈕!如果您這麼做您輸入的 LAT 資訊將會被覆寫。
    • 如果不知道您本機的子網路按一下 [建構表格] 按鈕。ISA 安裝精靈將會決定本機電腦的路由資料表為基礎的子網路。
      • 按一下以選取 新增下列的私人範圍] 核取方塊,如果它尚未被選取。
      • 按一下以選取 [Windows Server 2003 路由資料表為基礎的新增位址範圍 (如果它尚未被選取。
      • 按一下以清除核取方塊,其中包含對應到伺服器的外部 (網際網路) 介面的子網路。
      • 按一下以選取核取方塊,其中包含對應到伺服器的內部 (LAN) 介面,子網路。
  7. 安裝完成時啟動系統管理員快速入門精靈,並在完成這個精靈之前,然後讀取下一節。
ISA Server 後續安裝狀態會封鎖所有與來自網際網路的存取。這是一件好事!請記住您正在設定防火牆。防火牆的主要功能是做為兩個網路之間的檢查點。ISA Server 行為是封鎖不特別允許透過原則的所有內容。

設定 ISA 的安裝後期的狀態

若要設定下列兩個存取原則元件,讓您的用戶端可以存取網際網路,請注意下列事項:
  • 您必須設定至少一個站台和您指定使用者可以前往及何種內容可以擷取的內容規則。
  • 您必須設定至少一個指定類型的允許通過 ISA Server 的流量的通訊協定規則。
安裝後, ISA 會建立預設的網站和內容規則,以允許所有的用戶端存取所有網站上的所有內容一直。 但是,這不足夠讓使用者開始瀏覽網際網路: 您仍有未定義的通訊協定規則。沒有這些,允許沒有流量通過 ISA.

快速入門精靈

  1. 在 [快速入門精靈,按一下 [設定通訊協定規則。通訊協定規則清單會顯示在 Microsoft 管理主控台 (MMC)。
  2. 按一下 [建立通訊協定規則。鍵入如 「 所有通訊協定 」 名稱。
  3. 為規則的動作 (此為預設值),請按一下 [允許]。
  4. (這是預設值) 的通訊協定清單,請按一下 [所有 IP 流量]。
  5. 按一下 [排程 (這是預設值) 的 [永遠]。
  6. 按一下 任何要求 用戶端型別 (此為預設值)。
  7. 按一下 [完成]。

建立原則取得關於使用者連線到網際網路

ISA Server 會更多只允許所有網站上的所有內容的所有用戶端存取隨時使用 (定義) 的所有通訊協定。在 ISA,您可以建立可用來定義完全如何您的使用者可以存取網際網路的存取原則。

ISA 存取原則是由下列三個元素所組成:
  • 網站和內容規則。
  • 通訊協定規則。
  • IP 封包篩選器。
規則依序組成下列的原則項目:
  • 排程。
  • 目的地集。
  • 用戶端位址集。
  • 通訊協定定義。
  • 內容的群組。
有必須瞭解您嘗試利用 ISA 原則複雜的任何項目之前的相依性。下表描述哪個原則元素屬於哪一個原則規則:
摺疊此表格展開此表格
網站和內容規則通訊協定規則
目的地集通訊協定定義
內容群組排程
排程用戶端位址集
用戶端位址集

從 ISA 電腦存取網際網路

呢從 ISA 電腦本身存取網際網路? 如果您是實際在 ISA 電腦上,而且您想要存取特定網站,通訊協定規則和您所建立的網站和內容規則只會套用到 ISA 伺服器背後的用戶端。當用戶端嘗試存取網際網路 (假設要求允許的規則) 時,ISA 會建立該連線要求的動態封包篩選器。不過,如果您是在 ISA 電腦上,而且您想要存取網際網路,您必須建立靜態封包篩選器,根據您將會產生的流量的種類。比方說如果要存取 Web 站台,請依照下列步驟執行:
  1. 在 [ISA 管理請展開 [伺服器],展開 server-name]、 按一下 [存取原則,然後再按一下 [IP 封包篩選器]。
  2. 按一下 [建立封包篩選器],以啟動精靈。
  3. 命名 Web 存取 的封包篩選器。
  4. 按一下 [允許封包傳輸,然後按一下 [自訂]。
  5. 按一下作為 IP 通訊協定的 TCP]、 按一下 輸出 的方向]、 按一下 [所有的連接埠 為本機連接埠],然後按一下 [遠端連接埠的 [固定連接埠。在 [連接埠號碼] 方塊中鍵入 80
  6. 選取在 ISA 伺服器上的每個外部介面的預設 IP 位址。
  7. 按一下 [所有遠端電腦
現在您可以從 ISA 伺服器存取網站。Microsoft 建議您重複這些步驟,但當作在步驟 3 及 443 (而非 80) 在步驟 5,名稱的 SSL 存取 因為許多 Web 伺服器使用 SSL 通訊協定。若要允許更多的通訊協定,遵循相同步驟,但使用在步驟 3 中適當的名稱和適當的步驟 5 中的項目數目。

疑難排解

最常見的問題牽涉到不完全瞭解原則項目、 原則規則和封包篩選器之間的互動。如果您嘗試執行任何動作更多比使用泛用的存取原則的第一次建立 (藉由遵循本文 」 建立原則取得關於如何使用者連接到網際網路 」 一節中的程序),請確定您完全了解安裝 Microsoft 網際網路安全性與加速伺服器 > 一節。此外,閱讀 Microsoft 網際網路安全性與加速伺服器線上說明。建立一些原則並測試它們。 而且,較為容易了解存取原則,如果您了解 [ISA Server 詞彙和元件互動。

注意: ISA Server 並不直接在 LAT 中的任何項目與外部之間的連線。您必須建立某種原則來描述您想要允許存取。

?考

有關疑難排解 ISA Server 中請參閱 Microsoft 網際網路安全性及加速伺服器線上說明]。

屬性

文章編號: 323387 - 上次校閱: 2014年2月27日 - 版次: 7.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
關鍵字:?
kbnosurvey kbarchive kbmt kbnetwork kbhowto kbhowtomaster KB323387 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:323387
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com