ISA Server 2006防火墻安裝與管理指南

第1章  ISA Server 2006簡介 1
1-1  ISA Server 2006的主要功能 1
1-2  緩存的運作方式與緩存的種類 2
ISA Server緩存的運作方式 2
ISA Server緩存的種類 3
1-3  防火墻的設置種類 5
Edge Firewall（邊緣防火墻） 5
3-Leg Perimeter Firewall（3向外圍防火墻） 5
Back-to-Back Perimeter Firewall（背對背外圍防火墻） 6
單一網絡適配器（網卡） 7
1-4  ISA Server與VPN的集成 7
1-5  多重網絡的支持 8
1-6  數(shù)據包篩選基本概念 10
1-7  ISA Server 2006企業(yè)版的特色 11
第2章  安裝與測試ISA Server 2006 13
2-1  安裝ISA Server前的環(huán)境規(guī)劃 13
建立ISA Server 2006的測試環(huán)境 13
利用VMware Workstation建立測試環(huán)境 16
利用Microsoft Virtual Server建立測試環(huán)境 26
2-2  安裝ISA Server 2006 36
更改ISA Server虛擬機的SID 36
更改網絡名稱與設置IP地址 36
安裝ISA Server 2006 37
2-3  測試ISA Server防火墻是否安裝成功 40
被ISA Server防火墻阻擋的測試 40
第3章  網頁緩存 47
3-1  高速緩存與硬盤配置 47
緩存硬盤的大小設置 48
高速緩存的大小設置 50
3-2  設置緩存規(guī)則 51
緩存規(guī)則的設置 51
創(chuàng)建緩存規(guī)則 55
3-3  Web鏈 55
3-4  高級緩存設置 59
3-5  定時自動下載網頁內容 61
3-6  刪除緩存區(qū)的數(shù)據 63
第4章  徹底剖析ISA Server客戶端 67
4-1  ISA Server客戶端概述 67
4-2  測試環(huán)境的搭建 69
利用VMware Workstation搭建客戶端計算機 70
利用Microsoft Virtual Server搭建客戶端計算機 70
4-3  ISA Server的配置 71
防火墻規(guī)則的開放 71
確認可接收“Web代理客戶端”的請求 72
4-4  “Web代理客戶端”的配置 73
4-5  “SecureNAT客戶端”的配置 75
“SecureNAT客戶端”的配置 75
開放DNS流量 75
將“SecureNAT客戶端”配置成“Web代理客戶端” 80
4-6  “防火墻客戶端”的配置 80
“防火墻客戶端”的配置 80
內部網絡計算機的定義 83
4-7  自動發(fā)現(xiàn)（Automatic Discovery） 84
“自動發(fā)現(xiàn)”概論 84
將ISA Server配置為WPAD服務器 85
利用DHCP服務器來支持“自動發(fā)現(xiàn)”功能 86
利用DNS服務器來支持“自動發(fā)現(xiàn)”功能 89
防火墻客戶端的自動配置值 93
“Web代理客戶端”的配置 95
4-8  驗證用戶身份 96
訪問HTTP對象的驗證方式 96
訪問“非HTTP”對象的驗證方式 97
驗證身份實例演練 98
選擇適當?shù)尿炞C方法 105
4-9  自動安裝Microsoft Firewall Client 106
4-10  選擇適當?shù)目蛻舳?110
第5章  開放訪問因特網與系統(tǒng)監(jiān)視 111
5-1  開放訪問網頁、FTP與電子郵件 111
創(chuàng)建網頁、FTP與電子郵件的訪問規(guī)則 111
開放FTP寫入的功能 113
開放非標準連接端口 114
5-2  系統(tǒng)監(jiān)視 115
制作報告 116
連接性驗證程序的配置 117
第6章  開放與阻擋實時通信與P2P軟件 119
6-1  實時通信與P2P軟件簡介 119
6-2  開放與阻擋Windows Live Messenger、MSN Web Messenger、Windows Messenger 120
Windows Live Messenger等軟件登錄時所使用的連接端口 120
開放Windows Live Messenger等軟件的流量 122
阻擋Windows Live Messenger等軟件的流量 123
常見的應用程序簽名 128
6-3  開放與阻擋其他實時通信與P2P軟件 129
開放與阻擋Yahoo 實時通 129
開放與阻擋AOL Instant Messenger（AIM） 131
開放與阻擋ICQ 133
開放與阻擋Skype、Google Talk、QQ 133
開放與阻擋IRC（Internet Relay Chat） 134
開放與阻擋Net2Phone 134
開放與阻擋eDonkey、eMule 135
6-4  通過要求驗證用戶身份來阻擋 135
6-5  利用組策略來限制實時通信軟件的執(zhí)行 137
通過“系統(tǒng)”來限制實時通信軟件的執(zhí)行 139
利用“軟件限制策略”來限制實時通信軟件的執(zhí)行 140
6-6  利用“防火墻客戶端”的應用程序設置來阻擋 143
6-7  追蹤與分析實時通信與P2P軟件的數(shù)據包特性 145
第7章  開放訪問內部網絡的資源 147
7-1  內部網絡的發(fā)布概論 147
7-2  發(fā)布內部DNS服務器 148
DNS服務器的設置 149
發(fā)布內部DNS服務器 150
測試DNS服務器是否發(fā)布成功 151
7-3  發(fā)布內部網站與網站服務器場 152
DNS服務器的配置 154
發(fā)布內部DNS服務器 155
發(fā)布內部網站 155
測試網站是否發(fā)布成功 159
開放可以直接利用IP來連接網站 161
非標準端口的網站 162
鏈接轉換（link translation） 164
發(fā)布內部網站服務器場 165
一次同時發(fā)布多個網站 170
7-4  發(fā)布內部SSL網站與SSL網站服務器場 172
測試環(huán)境的網絡架構 173
DNS服務器的配置與建立測試網頁 174
安裝CA與IIS 176
申請與安裝證書 178
發(fā)布內部SSL網站 191
測試SSL網站是否發(fā)布成功 197
將對內的HTTPS改為HTTP 200
發(fā)布內部SSL網站服務器場 200
7-5  發(fā)布內部郵件服務器 206
DNS服務器的設置 207
開放內部到外部的DNS請求 209
發(fā)布內部DNS服務器 209
發(fā)布內部郵件服務器 209
開放內部到外部的SMTP 與POP3 請求 211
測試郵件服務器是否發(fā)布成功 211
7-6  發(fā)布內部SMTP Relay 214
SMTP Relay與SMTP服務器 215
建立Active Directory域 218
DNS服務器的設置 218
內部SMTP Relay的設置 220
內部電子郵件服務器的設置 224
發(fā)布內部SMTP Relay 227
測試SMTP Relay 231
發(fā)布內部SSL/TLS SMTP Relay 235
7-7  發(fā)布Exchange SSL OWA網站 237
測試環(huán)境的網絡架構 237
安裝CA與IIS 240
申請與安裝證書 241
發(fā)布內部SSL OWA網站 242
測試Exchange OWA網站是否發(fā)布成功 247
第8章  開放訪問三向防火墻的DMZ資源 249
8-1  建立DMZ網絡與配置網絡規(guī)則 249
網絡規(guī)則概論 249
建立DMZ網絡 251
8-2  發(fā)布DMZ內的DNS服務器 261
8-3  發(fā)布DMZ內的網站與網站服務器場 262
發(fā)布DMZ內的網站 263
發(fā)布DMZ內的網站服務器場 263
建立DMZ網絡與配置網絡規(guī)則 264
DNS服務器的配置 264
建立網站的測試網頁 265
建立網站服務器場 266
發(fā)布DMZ DNS服務器 269
發(fā)布DMZ網站服務器場 269
測試DMZ網站服務器場是否發(fā)布成功 273
其他配置 274
8-4  發(fā)布DMZ內的SSL網站與網站服務器場 274
測試環(huán)境的網絡架構 274
建立DMZ網絡與配置網絡規(guī)則 275
DNS服務器的配置與建立測試網頁 275
安裝CA與IIS 276
申請與安裝證書 276
發(fā)布DMZ內的SSL網站 277
測試DMZ內的SSL網站是否發(fā)布成功 278
8-5  發(fā)布DMZ內的SMTP Relay 280
SMTP Relay與SMTP服務器 281
建立DMZ網絡與配置網絡規(guī)則 284
建立Active Directory域 284
DNS服務器的配置 286
DMZ SMTP Relay的配置 287
內部電子郵件服務器的配置 291
發(fā)布DMZ內的SMTP Relay 294
測試DMZ SMTP Relay 299
發(fā)布DMZ SSL/TLS SMTP Relay 300
第9章  開放前后端防火墻之間的DMZ資源 301
9-1  建立Back-to-Back防火墻測試環(huán)境 301
網絡規(guī)則的配置 302
建立DMZ網絡 303
9-2  發(fā)布Back-to-Back防火墻的DMZ SMTP Relay 305
SMTP Relay與SMTP服務器 306
前端防火墻的安裝與配置 308
后端防火墻的安裝與配置 311
Active Directory域的建立 312
DNS服務器的配置 315
DMZ SMTP Relay的配置 317
內部電子郵件服務器的配置 317
發(fā)布DMZ內的SMTP Relay 317
測試SMTP Relay 323
發(fā)布DMZ SSL/TLS SMTP Relay 324
第10章  架設ISA Server虛擬專用網絡（VPN） 325
10-1  VPN基本概念 325
10-2  啟用ISA Server VPN服務器 327
域控制器的安裝與配置 327
ISA Server VPN服務器的配置 334
測試VPN連接 339
VPN客戶端“網上鄰居”為何看不到內部網絡的計算機 343
VPN客戶端為何無法上網 344
10-3  啟用L2TP/IPSec VPN服務器 346
使用IPSec證書來建立L2TP/IPSec VPN 347
使用“預共享密鑰”來建立L2TP/IPSec VPN 354
10-4  隔離的VPN客戶端 356
啟用VPN隔離控制功能 356
在ISA Server安裝“RQS偵聽器” 357
在ISA Server安裝“連接管理器管理工具包”與RQC 360
建立隔離腳本 360
建立連接管理器配置文件 361
測試隔離的VPN客戶端 365
10-5  Back-to-Back防火墻+VPN服務器 368
10-6  建立L2TP/IPSec與PPTP的站對站VPN 370
在域控制器安裝各服務器軟件 371
總公司VPN服務器的配置 372
分公司VPN服務器的配置 383
測試站對站VPN連接 389
10-7  建立IPSec隧道模式的站對站VPN 390
在域控制器安裝各服務器軟件 392
總公司VPN服務器的配置 392
分公司VPN服務器的配置 398
測試IPSec隧道模式站對站VPN連接 402
10-8  站對站VPN+VPN客戶端訪問 404
10-9  Back-to-Back防火墻+站對站VPN 405
第11章  入侵檢測 409
11-1  ISA Server支持的入侵檢測項目 409
一般攻擊的入侵檢測 409
DNS攻擊的入侵檢測 410
POP入侵檢測 411
阻止包含IP選項的數(shù)據包 411
阻止IP片段的數(shù)據包 411
淹沒緩解 411
11-2  啟用入侵檢測與警報設置 411
啟用入侵檢測 412
警報設置 413
阻止IP選項與IP片段數(shù)據包 416
啟用淹沒緩解功能 417
第12章  遠程管理 ISA Server 419
12-1  遠程管理 – 利用“遠程桌面連接” 419
在ISA Server創(chuàng)建訪問規(guī)則 420
在ISA Server開放遠程桌面連接 422
利用遠程桌面連接管理ISA Server 423
12-2  遠程管理 – 利用“ISA Server管理控制臺” 423
在ISA Server開放遠程管理功能 424
客戶端的配置 425
第13章  CARP與NLB的構建 429
13-1  CARP與NLB基本概念 429
CARP基本概念 429
NLB基本概念 431
13-2  NLB構建實例演示 435
NLB測試環(huán)境的構建 436
建立Active Directory域 437
DNS服務器的設置 438
在DNS Server1安裝“配置存儲服務器（CSS）” 439
建立ISA Server陣列 441
建立Intra-Array網絡 443
開放可以遠程管理ISA Server 444
在兩臺ISA Server上安裝防火墻服務 446
通過ISA Server管理控制臺來啟用NLB 449
發(fā)布內部DNS服務器與網站 452
測試NLB是否構建成功 454
停用NLB 460
13-3  CARP構建實例演示 463
在ISA Server陣列啟用CARP 464
客戶端的設置 469
CARP的故障轉移功能 470
13-4  ISA Server隸屬于工作組的環(huán)境構建 470
NLB環(huán)境的構建 471
建立Active Directory域 471
DNS服務器的設置 472
替“配置存儲服務器（CSS）”申請證書 472
將證書導出保存 472
在DNS Server1安裝“配置存儲服務器（CSS）” 473
建立ISA Server陣列 473
建立Intra-Array網絡 474
到ISA Server1與ISA Server2執(zhí)行信任CA的步驟 474
開放可以遠程管理ISA Server 474
在兩臺ISA Server上安裝防火墻服務 475
設置兩臺ISA Server之間連接所需的賬戶 475
打開ISA Server管理員與連接CSS 476
通過ISA Server管理控制臺來啟用NLB 478
發(fā)布內部DNS服務器與網站 478
測試NLB是否構建成功 478
停用NLB 478
附錄A  建立Active Directory域 479
A-1  建立域的必要條件 479
A-2  建立Active Directory域 480
A-3  將域控制器降級 482
附錄B  常見的端口 485
B-1  Active Directory可能會用到的端口 485
客戶端計算機加入域、用戶登錄時會用到的端口 486
計算機登錄時會用到的端口 486
建立域信任時會用到的端口 487
驗證域信任時會用到的端口 487
訪問文件資源時會用到的端口 488
執(zhí)行DNS查詢時會用到的端口 488
執(zhí)行Active Directory復制時會用到的端口 488
其他可能需要開放的協(xié)議 489
限制動態(tài)RPC端口的范圍 489
讓Active Directory使用指定的端口 490
B-2  端口與協(xié)議列表 491
P172
   可否直接在圖7-51中就輸入www.sayisa.com與support.sayisa.com，然后在圖7-53中不輸入后綴?
   它所建立的規(guī)則與圖7-54修改后的規(guī)則看起來相同，所以應該可以才對，可是實際上客戶端卻無法正常連接網站，所以答案是不可以!