isa防火墻要怎么樣去配置，才能更好的使用呢?下面由學習啦小編給你做出詳細的isa防火墻配置介紹!希望對你有幫助!

　　isa防火墻配置一：

　　配置ISA Server網(wǎng)絡環(huán)境

　　網(wǎng)絡環(huán)境中是否有必要安裝ISA、是否可以安裝ISA、安裝前ISA保護的內(nèi)部網(wǎng)絡中的客戶如何進行配置、安裝后的訪問規(guī)則如何設置等問題，本文將具體闡述一下。 文章導讀 1、ISA server概述 2、邊緣防火墻模型 3、單網(wǎng)絡與多網(wǎng)絡模型

　　ISA Server 2004是目前世界上最好的路由級軟件防火墻，它可以讓你的企業(yè)內(nèi)部網(wǎng)絡安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的。

　　你可以在網(wǎng)絡的任何地方，如兩個或多個網(wǎng)絡的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、單個主機上配置ISA Server 2004來對你的網(wǎng)絡或主機進行防護。

　　ISA Server 2004對于安裝的要求非常低，可以說，目前的服務器對于ISA Server 2004的硬件系統(tǒng)需求都是綽綽有余的。

　　ISA Server作為一個路由級的軟件防火墻，要求管理員要熟悉網(wǎng)絡中的路由設置、TCP/IP設置、代理設置等等，它并不像其他單機防火墻一樣，只需安裝一下就可以很好的使用。在安裝ISA Server時，你需要對你內(nèi)部網(wǎng)絡中的路由及TCP/IP設置進行預先的規(guī)劃和配置，這樣才能做到安裝ISA Server后即可很容易的使用，而不會出現(xiàn)客戶不能訪問外部網(wǎng)絡的問題。

　　再談談對在單機上安裝ISA Server 2004的看法。ISA Server 2004可以安裝在單網(wǎng)絡適配器計算機上，它將會自動配置為Cache only的防火墻，同時，通過ISA Server 2004強大的IDS和應用層識別機制，對本機提供了很好的防護。但是，ISA Server 2004的核心是多網(wǎng)絡，它最適合的配置環(huán)境是作為網(wǎng)絡邊緣的防火墻;并且作為單機防火墻，它太過于龐大了，這樣會為服務器帶來不必要的性能消耗。

　　所以，我不推薦在單機上安裝ISA Server 2004。對于單機防火墻，我推薦Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等，它們都是非常好的單機防火墻。不過對于需要提供服務的主機，最好安裝Zonealarm或者Blackice，SPF Pro因為太過于強大，反而不適合作為服務器使用。對于基于IIS的Web服務器，你還可以安裝IISLockdown和UrlScan工具，這樣就可以做到比較安全了。對于單網(wǎng)絡適配器的ISA Server，我會在后面的實例中介紹。

　　至于安裝ISA Server前內(nèi)部的客戶如何進行配置，我以幾個實例來進行介紹:

　　1、邊緣防火墻模型

　　如下圖，ISA Server 2004上安裝有兩個網(wǎng)絡適配器，它作為邊緣防火墻，讓內(nèi)部客戶安全快速的連接到Internet，內(nèi)部的Lan我以192.168.0.0/24為例，不考慮接入Internet的方式(撥號或固定IP均可)。

　　ISA Server 2004上的內(nèi)部網(wǎng)絡適配器作為內(nèi)部客戶的默認網(wǎng)關(guān)，根據(jù)慣例，它的IP地址要么設置為子網(wǎng)最前的IP(如192.168.0.1)，或者設置為最末的IP(192.168.0.254)，在此我設置為192.168.0.1;對于DNS服務器，只要內(nèi)部網(wǎng)絡中沒有域，那么內(nèi)部可以不建立DNS服務器，不過推薦你建立。在此例中，我們假設外部網(wǎng)卡(或撥號連接)上已經(jīng)設置了DNS服務器，所以我們在此不設置DNS服務器的IP地址;還有默認網(wǎng)關(guān)，內(nèi)部網(wǎng)卡上切忌不要設置默認網(wǎng)關(guān)，因為Windows主機同時只能使用一個默認網(wǎng)關(guān)，如果在外部和內(nèi)部網(wǎng)絡適配器上都設置了默認網(wǎng)關(guān)，那么ISA Server可能會出現(xiàn)路由錯誤。

　　接下來是客戶機的TCP/IP設置和代理設置。SNAT客戶和Web代理客戶有些區(qū)別，防火墻客戶兼容SNAT客戶和Web代理客戶的設置。在身份驗證不是必需的情況下，請盡量考慮使用SNAT客戶，因為它是標準的網(wǎng)絡路由，兼容性是最好的。

　　SNAT客戶的TCP/IP配置要求:

　　必須和ISA Server的內(nèi)部接口在同個子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　配置ISA Server的內(nèi)部接口為默認網(wǎng)關(guān);此時默認網(wǎng)關(guān)是192.168.0.1;

　　DNS根據(jù)你的網(wǎng)絡環(huán)境來設置，可以使用ISP的DNS服務器或者你自己在內(nèi)部建立一臺DNS服務器;但是，DNS服務器是必需的。

　　Web代理客戶和SNAT客戶相比，則要復雜一些:

　　IP地址必須和ISA Server的內(nèi)部接口位于同個子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　默認網(wǎng)關(guān)和DNS服務器地址都可以不配置;

　　必須在IE的代理屬性中配置ISA Server的代理，默認是內(nèi)部接口的8080端口，在此是192.168.0.1:8080;

　　對于其他需要訪問網(wǎng)絡的程序，必須設置HTTP代理(ISA Server)，否則是不能訪問網(wǎng)絡;

　　至于關(guān)閉SNAT客戶的訪問，在ISA Server的訪問規(guī)則中不要允許所有用戶訪問，改為所有通過驗證的用戶即可。

　　防火墻客戶默認會配置IE為web代理客戶，然后對其他不能使用代理的Winsock應用程序進行轉(zhuǎn)換，然后轉(zhuǎn)發(fā)到所連接的ISA防火墻。對于防火墻客戶，你最好先按照SNAT客戶進行設置，然后安裝防火墻客戶端，安裝防火墻客戶端后它會自動配置客戶為Web代理客戶。

　　在安裝ISA Server時，內(nèi)部網(wǎng)絡配置為192.168.0.0/24。安裝好后，你可以根據(jù)你的需要，自行配置訪問規(guī)則。ISA Server中帶了五個網(wǎng)絡模型的模板，可以讓你只是點幾下鼠標就可以設置好訪問規(guī)則，但是希望你能手動設置規(guī)則，這樣可以讓你有更深的認識。

　　下圖中是一種特殊的情況，在內(nèi)部網(wǎng)絡中還有其他子網(wǎng)的內(nèi)部客戶。此時，你首先得將這些子網(wǎng)的地址包含在ISA Server的內(nèi)部網(wǎng)絡中，然后在ISA Server上配置到這些子網(wǎng)的路由，其他的就和單內(nèi)部網(wǎng)絡的配置一致了。

　　2、多網(wǎng)絡模型中的邊緣防火墻

　　如下圖，我只是簡單的設計了一個三周長的多網(wǎng)絡模型。ISA Server 2004是專為多網(wǎng)絡而設計的，所以，對于這種環(huán)境，配置起來非常得心應手。

　　在這種環(huán)境中，LAN(192.168.0.0)的客戶和ISA Server上連接LAN的網(wǎng)絡適配器，按照上面的方法進行配置，在此我重點給大家講解一下DMZ網(wǎng)絡的配置。

　　DMZ中的客戶以及ISA Server上連接DMZ網(wǎng)絡的網(wǎng)絡適配器，也按照上面的辦法進行配置，但是，對于DMZ中的服務器，請配置為SNAT客戶，這樣可以得到最好的性能，配置為Web代理客戶可能會讓它不能正常工作，配置為防火墻客戶會導致它性能的降低。

　　在安裝ISA Server時，內(nèi)部網(wǎng)絡只是選擇192.168.0.0，安裝好后，在ISA管理控制臺的配置的網(wǎng)絡中，新建一個DMZ網(wǎng)絡，選擇172.16.0.0網(wǎng)段。另外對于多網(wǎng)絡，你還需要設置網(wǎng)絡規(guī)則。另外你利用ISA Server自帶的三周長網(wǎng)絡模板就可以很方便的實現(xiàn)DMZ網(wǎng)絡的配置。其他訪問則根據(jù)你的需要來自行設置。

　　3、單網(wǎng)絡適配器的環(huán)境

　　如下圖，ISA Server 2004安裝在一臺只有一個網(wǎng)絡適配器的Internet主機上，此時，ISA Server將自動配置為Cache only的防火墻，可以用做Web代理、緩存、Web發(fā)布、OWA發(fā)布等等，由于ISA Server 2004強大的IDS系統(tǒng)，它也可以為主機提供非常強大的保護。關(guān)于在這種環(huán)境下如何發(fā)布ISA Server上的Web服務。

　　在單網(wǎng)卡網(wǎng)絡適配器環(huán)境下安裝ISA Server的時候，會自動在內(nèi)部網(wǎng)絡中包含所有的IP地址，所以在你建立訪問規(guī)則時，一定要注意允許內(nèi)部訪問本地主機和允許本地主機訪問內(nèi)部(此時，外部網(wǎng)絡已經(jīng)沒有實際作用了)。同樣的，通過ISA Server自帶的單一網(wǎng)絡適配器模板，你也可以很輕松的完成單網(wǎng)絡適配器模型的ISA Server 2004的配置。

　　isa防火墻配置二：

　　防火墻策略->右鍵->新建->訪問規(guī)則->允許,所選擇協(xié)議,HTTP,源自:內(nèi)部,目標:新建URL,把網(wǎng)站放在URL中;

　　刪除其他訪問規(guī)則,只留最后一打默認規(guī)則

　　看了“ isa防火墻如何配置”文章的還看了：

1.h3c路由器防火墻怎么樣設置

2.部署防火墻策略原則

3.防火墻知識入門(2)

4.如何學習網(wǎng)絡安全

5.電腦連不上網(wǎng)該怎么辦