Làm thế nào để công ty của bạn kết nối Internet bằng cách sử dụng một tường lửa ISA với Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

323387
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài từng bước này mô tả các doanh nghiệp nhỏ với ít hơn 255 máy trạm làm việc trong một cửa sổ dựa trên mạng lưới hiện có thể máy vi tính kết nối Internet bằng cách sử dụng Microsoft Internet Security Gia tốc (ISA) tường lửa bảo đảm dịch vụ.

back to the top

Cài đặt ISA Server

Để cài đặt một tường lửa ISA, bạn cần một máy tính với hai mạng bộ điều hợp. Bạn phải kết nối một trong các bộ điều hợp vào mạng nội bộ của bạn và các adapter khác tới nhà cung cấp dịch vụ Internet (ISP). ISP của bạn có thể giúp bạn làm cho kết nối này. Tường lửa hoạt động như một hàng rào an ninh giữa của bạn nội bộ mạng (hoặc mạng nội bộ) và Internet bằng cách ngăn chặn người dùng bên ngoài ngày Internet từ đạt được quyền truy cập vào thông tin bí mật trên của bạn mạng nội bộ hoặc máy tính của bạn.

back to the top

Kế hoạch tiến trình cài đặt

  • Bạn có thể chạy ISA Server Standard Edition trên một đứng một mình- máy tính trên một máy tính là một thành viên của một miền Microsoft Windows NT, hoặc trên máy tính là một thành viên của một miền Active Directory.
  • Để bảo mật tối đa, chạy ISA Server trên một đứng một mình- máy tính.
  • Cấu hình của bộ điều hợp mạng liên quan đến việc thiết lập lên giao diện bên ngoài Internet và sau đó thiết lập các nội bộ giao diện để Windows trên mạng của bạn.
  • ISP của bạn nên cung cấp một địa chỉ IP tĩnh, mặt nạ mạng con cổng mặc định, và máy chủ hệ thống tên miền (DNS) hoặc máy chủ. Nhập đây thông tin trong các thiết đặt TCP/IP của bộ điều hợp được kết nối đến của bạn ISP. Một số thích để gán thông tin này với máy chủ động Configuration Protocol (DHCP), đó là tốt.
  • Bạn sẽ cần một địa chỉ thường trú và mạng con thích hợp mặt nạ cho mạng nội bộ của bạn trên bộ điều hợp nội bộ (không dùng DHCP trên đây giao diện). Luôn luôn để lại này cổng mặc định trống. ISA máy tính cần chỉ có một cổng mặc định: một trong đó cấu hình trên bên ngoài giao diện hoặc giao diện. Cấu hình cổng mặc định trên bộ điều hợp nội bộ nguyên nhân ISA để hỏng.
back to the top

Cấu hình bộ điều hợp mạng của máy chủ

  1. Nhấp vào Bắt đầu, điểm đến Bảng điều khiển, sau đó bấm Kết nối mạng.
  2. Nhấp chuột phải vào kết nối Internet của bạn, hãy nhấp vào Đổi tên, rồi gõ Internet kết nối.

    Điều này sẽ giúp bạn nhớ mà mạng thẻ này được kết nối với Internet.
  3. Nhấp chuột phải kết nối Internet, và sau đó nhấp vào Thuộc tính.
  4. Trên các Tổng quát tab, nhấn vào đây để chọn các Hiện biểu tượng tại vùng thông báo khi kết nối hộp kiểm.

    Bất cứ khi nào chuyển giao các giao diện này dữ liệu, một biểu tượng nhỏ trên thanh tác vụ sẽ flash.
  5. Rõ ràng các Khách hàng cho mạng MicrosoftTệp và máy in chia sẻ cho mạng của Microsoft kiểm tra hộp.

    ISA Server tự động chặn những giao thức này; Theo bù các hộp kiểm tra, bạn tiết kiệm bộ nhớ.
  6. Bấm đúp Giao thức Internet (TCP/IP), và sau đó thực hiện một trong những cách sau:
    • Nếu ISP của bạn sử dụng dịch vụ DHCP để gán địa chỉ IP, bấm vào các Tự động thu địa chỉ IPCó được DNS máy chủ địa chỉ tự động -chọn ở các Thuộc tính Internet Protocol (TCP/IP) hộp thoại. Tiến hành bước 7.
    • Nếu bạn có để nhập thủ công địa chỉ IP thông tin từ ISP của bạn, bấm để chọn các Sử dụng IP sau đây Địa chỉ trong các Thuộc tính Internet Protocol (TCP/IP) hộp thoại hộp và sau đó gõ địa chỉ, mặt nạ mạng con và mặc định cổng thông tin mà ISP cung cấp. Nhấn vào đây để chọn các Sử dụng các Địa chỉ máy chủ DNS sau kiểm tra hộp, và sau đó gõ vào tên của hệ phục vụ DNS hoặc các máy chủ ISP của bạn cung cấp.
  7. Nhấp vào Nâng cao, sau đó bấm các DNS tab. Nhấp chuột để xóa các Đăng ký của kết nối này Địa chỉ trong DNS hộp kiểm.
  8. Bấm vào các ĐOẠT GIẢI tab tiếp theo. Theo các NETBIOS cài đặt, bấm vào Vô hiệu hoá Netbios qua TCP/IP.
back to the top

Cấu hình giao diện bên trong vào mạng của bạn

  1. Nhấp vào Bắt đầu, điểm đến Bảng điều khiển, sau đó bấm Kết nối mạng.
  2. Nhấp chuột phải vào kết nối khu vực địa phương của bạn, hãy nhấp vào Đổi tên, rồi gõ Mạng cục bộ.
  3. Nhấp chuột phải Mạng cục bộ, sau đó bấm Thuộc tính.
  4. Trên các Tổng quát tab, nhấn vào đây để chọn các Hiển thị biểu tượng trong thanh tác vụ khi kết nối hộp kiểm.
  5. Nhấn vào đây để chọn các Khách hàng cho Microsoft mạng lướiTệp và máy in chia sẻ cho Microsoft mạng lưới hộp kiểm tra nếu họ đang không được chọn.
  6. Bấm đúp Giao thức Internet (TCP/IP), sau đó bấm để chọn các Sử dụng IP sau đây Địa chỉ hộp kiểm.
  7. Trong các Địa chỉ IP hộp, gõ một IP nội bộ Địa chỉ và mạng con mặt nạ có ý nghĩa cho mạng nội bộ của bạn địa chỉ đề án. Để lại Cổng nối mặc định trống. Trong Ưa thích DNS hệ phục vụ, gõ địa chỉ IP của máy chủ DNS mạng của bạn hoặc các máy chủ.

    LƯU Ý: Đối với các mạng lưới rất nhỏ với máy vi tính ít hơn 255, nếu bạn bằng cách sử dụng Windows 2000 cấu hình TCP/IP mặc định và bạn không có một DNS máy chủ trong mạng của bạn, máy tính của bạn đang dựa trên IP riêng tự động Địa chỉ chuyển nhượng (APIPA). Microsoft khuyến cáo rằng bạn di chuyển ra khỏi bằng cách sử dụng APIPA và bắt đầu sử dụng địa chỉ tĩnh trên máy trạm làm việc khách hàng của bạn. Mỗi máy tính trong mạng của bạn sẽ cần một địa chỉ IP duy nhất. Khi bạn cấu hình các nội bộ giao diện của ISA Server, bạn phải gõ một địa chỉ tĩnh. Sử dụng192.168.0.254, và mặt nạ mạng con255.255.255.0. Để lại các Cổng nối mặc định hộp trống. Gõ hệ phục vụ DNS của ISP của bạn trong các DNS hệ phục vụ các lĩnh vực.

    Bây giờ cấu hình địa chỉ tĩnh trên mỗi khách hàng của bạn:
    1. Trên máy tính đầu tiên, sử dụng địa chỉ 192.168.0.1, một mặt nạ mạng con của 255.255.255.0, và một cổng mặc định của 192.168.0.254. Đối với DNS, gõ tên của hệ phục vụ DNS (hoặc các máy chủ) của ISP của bạn.
    2. Trên máy tính thứ hai, sử dụng địa chỉ 192.168.0.2, và sau đó sử dụng cùng các giá trị như trong dấu đầu dòng bước trước. Khác hơn so với địa chỉ, các giá trị khác luôn ở cùng, nhưng vẫn tiếp tục tăng địa chỉ cho mỗi bổ sung máy tính. Duy trì một danh sách các máy tính mà sử dụng địa chỉ đó.
  8. Khởi động lại máy tính của bạn, nếu bạn sẽ được nhắc để làm Vì vậy.
back to the top

Cài đặt bảo mật Internet của Microsoft và gia tốc Server

Sử dụng thuật sĩ thiết lập ISA Server

  1. Trong Windows Explorer, bấm đúp để mở của bạn đĩa CD-ROM ổ đĩa.

    LƯU Ý: The ISA Server Setup Wizard bắt đầu tự động trừ khi cácAuto-chèn thông báo tính năng bị tắt. Nếu thuật sĩ không bắt đầu tự động, điều hướng tới thư mục gốc của đĩa CD-ROM, và sau đó bấm đúp chuột vào các ISAAutorun.exe tập tin để chạy nó. Nhấp vào Cài đặt ISA Server để bắt đầu quá trình.
  2. Lúc màn hình Chào mừng, nhấp vào Tiếp tục. Nhập số nhận dạng sản phẩm vào ô thích hợp. Bạn có thể định vị con số này trên mặt sau của vụ án đĩa CD-ROM.
  3. Đọc các thỏa thuận Giấy phép, và sau đó nhấp vào Tôi đồng ý.
  4. Nhấp vào Cài đặt điển hình Đối với các cài đặt loại. Điều này cài đặt dịch vụ ISA và các hành chính công cụ.
  5. Nhấp vào Tường lửa của chế độ. ISA ngừng có liên quan dịch vụ trên máy tính.
  6. Cấu hình địa chỉ địa phương bảng (Lạt) cho ISA. Cấu hình LAT yêu cầu xem xét cẩn thận. Bạn sẽ được trình bày với hai sự lựa chọn: hoặc là xây dựng LAT hoặc dùng thuật sĩ cài đặt. Căn cứ của bạn lựa chọn về các điều kiện sau đây:
    • Nếu bạn biết các mạng con (hoặc mạng con) rằng nội bộ của bạn mạng sử dụng, gõ nó ở đây.

      THẬN TRỌNG: Không bấm vào các Xây dựng bảng nút! Nếu bạn làm thế, LAT thông tin mà bạn đã nhập sẽ ghi đè.
    • Nếu bạn không biết mạng con địa phương của bạn, bấm vào các Xây dựng bảng nút. Thuật sĩ thiết lập ISA sẽ xác định các mạng con địa phương dựa vào bảng định tuyến của máy tính.
      • Nhấn vào đây để chọn các Thêm dưới đây phạm vi tư nhân kiểm tra hộp nếu nó đã không được chọn.
      • Nhấn vào đây để chọn các Thêm địa chỉ phạm vi dựa vào bảng định tuyến Windows Server 2003 Nếu nó không phải là đã lựa chọn.
      • Nhấn vào đây để bỏ chọn hộp kiểm có chứa mạng con mà tương ứng với các máy chủ bên ngoài (Internet) giao diện.
      • Nhấn vào đây để chọn hộp kiểm có chứa các con mà tương ứng với các máy chủ nội bộ (LAN) giao diện.
  7. Khi thiết lập xong, bắt đầu nhận người quản trị Bắt đầu thuật sĩ, và sau đó đọc phần tiếp theo trước khi bạn hoàn thành điều này thuật sĩ.
ISA Server lưu bang chặn tất cả các truy cập vào và từ Internet. Đây là một điều tốt! Hãy nhớ rằng, bạn đang thiết lập một tường lửa. Chức năng chính của tường lửa là để phục vụ như là một điểm kiểm tra giữa hai mạng. ISA Server hành vi là để chặn tất cả mọi thứ đó không phải là đặc biệt cho phép thông qua chính sách.

back to the top

Cấu hình Post-Installation, bang vùng ISA

Để cấu hình các cấu phần sau hai của một chính sách truy cập như vậy rằng khách hàng của bạn có thể truy cập Internet, lưu ý sau đây:
  • Bạn phải cấu hình ít nhất một trang web và nội dung quy định, trong đó bạn chỉ rõ nơi người dùng có thể đi và những gì các loại nội dung mà họ có thể truy xuất.
  • Bạn phải cấu hình ít nhất một giao thức cai trị, mà chỉ định các loại lưu lượng truy cập được phép thông qua ISA Server.
Sau khi cài đặt, ISA tạo ra một quy tắc nào về trang web và nội dung mặc định mà giúp tất cả các khách hàng truy cập vào tất cả nội dung trên trang web này tất cả mọi lúc. Tuy nhiên, điều này là không đủ cho người sử dụng để bắt đầu lướt Internet: bạn vẫn không có định nghĩa một quy tắc giao thức. Nếu không có điều này, không có lưu lượng truy cập được phép thông qua ISA.

back to the top

Sự bắt đầu thuật sĩ

  1. Trong việc nhận được bắt đầu Wizard, bấm Cấu hình giao thức quy tắc. Danh sách quy tắc giao thức được hiển thị trong Microsoft Management Giao diện điều khiển (MMC).
  2. Nhấp vào Tạo một quy tắc giao thức. Gõ tên của tôi, chẳng hạn như "Mọi giao thức".
  3. Nhấp vào Cho phép Đối với các quy tắc hành động (đây là mặc định).
  4. Nhấp vào Tất cả các IP giao thông để có danh sách giao thức (đây là mặc định).
  5. Nhấp vào Luôn luôn cho lịch trình (đây là mặc định).
  6. Nhấp vào Bất cứ yêu cầu Đối với khách hàng loại (đây là mặc định).
  7. Nhấp vào Kết thúc.
back to the top

Tạo ra các chính sách liên quan đến như thế nào người dùng kết nối Internet

ISA máy chủ nhiều hơn là chỉ cho phép tất cả các khách hàng truy cập vào tất cả nội dung trên trang web này tất cả mọi lúc bằng cách sử dụng tất cả các giao thức (được định nghĩa). Tại ISA, bạn có thể tạo ra các chính sách truy cập mà bạn có thể sử dụng để xác định chính xác như thế nào của bạn người dùng có thể truy cập Internet.

Các chính sách truy cập ISA gồm ba yếu tố sau đây:
  • Trang web và nội dung quy định.
  • Giao thức quy tắc.
  • Các bộ lọc gói tin IP.
Các quy tắc, lần lượt, được tạo thành từ chính sách sau đây các yếu tố:
  • Lịch trình.
  • Điểm đến bộ.
  • Khách hàng địa chỉ bộ.
  • Giao thức định nghĩa.
  • Nội dung các nhóm.
Có những quan hệ phụ thuộc mà bạn phải hiểu trước khi bạn Hãy thử bất cứ điều gì phức tạp với các chính sách ISA. Bảng sau miêu tả mà các yếu tố chính sách thuộc mà chính sách quy tắc:
Trang web và nội dung quy tắcGiao thức quy tắc
Điểm đến bộGiao thức định nghĩa
Nội dung các nhóm Lịch biểu
Lịch biểuKhách hàng địa chỉ bộ
Khách hàng địa chỉ bộ
back to the top

Truy cập Internet từ máy tính ISA

Điều gì về truy cập Internet từ ISA máy tính riêng của mình? Nếu bạn không thể chất tại ISA máy tính và bạn muốn truy cập vào một cụ thể Trang web, giao thức quy tắc và quy định trang web và nội dung mà bạn đã tạo ra chỉ áp dụng cho khách hàng đang đứng sau ISA server. Khi một khách hàng cố gắng truy cập Internet (giả định yêu cầu được phép đúng luật), ISA tạo ra một bộ lọc gói tin năng động cho rằng yêu cầu kết nối. Tuy nhiên, nếu bạn tại ISA máy tính và bạn muốn truy cập Internet, bạn phải tạo các bộ lọc tĩnh gói theo điều các loại lưu lượng truy cập mà bạn sẽ tạo ra. Ví dụ, để truy cập vào một trang Web, hãy làm theo các bước sau:
  1. Trong quản lý ISA, mở rộng Các máy chủ, mở rộng tên máy chủ, bấm Chính sách truy nhập, sau đó bấm Các bộ lọc gói tin IP.
  2. Nhấp vào Tạo một bộ lọc gói để bắt đầu một thuật sĩ.
  3. Tên bộ lọc gói Web truy cập.
  4. Nhấp vào Cho phép truyền tải gói dữ liệu, và sau đó Nhấp vào Tuỳ chỉnh.
  5. Nhấp vào TCP như giao thức IP, nhấp vào Ra bên ngoài Đối với sự hướng dẫn, bấm vào Tất cả các cổng Đối với các địa phương Cảng, và sau đó nhấp vào Cố định cổng cho cổng từ xa. Loại80 trong các Số hiệu cổng hộp.
  6. Chọn địa chỉ IP mặc định cho mỗi giao diện bên ngoài đó là trên ISA server.
  7. Nhấp vào Tất cả các máy tính từ xa.
Bây giờ bạn có thể truy cập các trang Web từ máy chủ ISA. Microsoft khuyến cáo bạn lặp lại các bước này, nhưng sử dụng SSL truy cập như tên gọi trong bước 3 và 443(thay vì của 80) ở bước 5, bởi vì một số trang Web các máy chủ sử dụng giao thức SSL. Để cho phép các giao thức nhiều hơn, hãy làm theo cùng một bước nhưng sử dụng một tên thích hợp ở bước 3, và số thích hợp mục bước 5.

back to the top

Khắc phục sự cố

Những vấn đề phổ biến nhất liên quan đến không hoàn toàn hiểu biết về các tương tác giữa các yếu tố chính sách, chính sách quy tắc và các bộ lọc gói. Nếu bạn cố gắng để làm bất cứ điều gì hơn là sử dụng chính sách truy nhập chung chung mà bạn đầu tiên tạo (bằng cách làm theo các thủ tục trong những "tạo ra các chính sách liên quan đến cách Người dùng kết nối Internet"phần của bài viết này), chắc chắn rằng bạn hoàn toàn hiểu những "cài đặt Microsoft Internet an ninh và tăng tốc Server"phần. Ngoài ra, đọc Microsoft Internet Security và Tăng tốc hệ phục vụ trợ giúp trực tuyến. Tạo một số chính sách, và sau đó kiểm tra chúng. Ngoài ra, nó dễ dàng hơn để hiểu các chính sách truy cập nếu bạn hiểu ISA Hệ phục vụ từ vựng và thành phần tương tác.

LƯU Ý: ISA Server không trực tiếp kết nối giữa bất cứ điều gì trong các LAT và bên ngoài. Bạn cần phải tạo một số loại sách mô tả các truy cập mà bạn muốn cho phép.

back to the top
THAM KHẢO
Để giúp đỡ trong gỡ rối ISA Server, xem Microsoft Bảo mật Internet và gia tốc Server trợ giúp trực tuyến.

back to the top
kbnetwork

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 323387 - Xem lại Lần cuối: 02/21/2014 00:44:51 - Bản sửa đổi: 2.0

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • kbnosurvey kbarchive kbhowto kbhowtomaster kbmt KB323387 KbMtvi
Phản hồi