ISA Server 2006防火墻安裝與管理指南

第1章  ISA Server 2006簡介 1
1-1  ISA Server 2006的主要功能 1
1-2  緩存的運作方式與緩存的種類 2
ISA Server緩存的運作方式 2
ISA Server緩存的種類 3
1-3  防火墻的設(shè)置種類 5
Edge Firewall（邊緣防火墻） 5
3-Leg Perimeter Firewall（3向外圍防火墻） 5
Back-to-Back Perimeter Firewall（背對背外圍防火墻） 6
單一網(wǎng)絡(luò)適配器（網(wǎng)卡） 7
1-4  ISA Server與VPN的集成 7
1-5  多重網(wǎng)絡(luò)的支持 8
1-6  數(shù)據(jù)包篩選基本概念 10
1-7  ISA Server 2006企業(yè)版的特色 11
第2章  安裝與測試ISA Server 2006 13
2-1  安裝ISA Server前的環(huán)境規(guī)劃 13
建立ISA Server 2006的測試環(huán)境 13
利用VMware Workstation建立測試環(huán)境 16
利用Microsoft Virtual Server建立測試環(huán)境 26
2-2  安裝ISA Server 2006 36
更改ISA Server虛擬機的SID 36
更改網(wǎng)絡(luò)名稱與設(shè)置IP地址 36
安裝ISA Server 2006 37
2-3  測試ISA Server防火墻是否安裝成功 40
被ISA Server防火墻阻擋的測試 40
第3章  網(wǎng)頁緩存 47
3-1  高速緩存與硬盤配置 47
緩存硬盤的大小設(shè)置 48
高速緩存的大小設(shè)置 50
3-2  設(shè)置緩存規(guī)則 51
緩存規(guī)則的設(shè)置 51
創(chuàng)建緩存規(guī)則 55
3-3  Web鏈 55
3-4  高級緩存設(shè)置 59
3-5  定時自動下載網(wǎng)頁內(nèi)容 61
3-6  刪除緩存區(qū)的數(shù)據(jù) 63
第4章  徹底剖析ISA Server客戶端 67
4-1  ISA Server客戶端概述 67
4-2  測試環(huán)境的搭建 69
利用VMware Workstation搭建客戶端計算機 70
利用Microsoft Virtual Server搭建客戶端計算機 70
4-3  ISA Server的配置 71
防火墻規(guī)則的開放 71
確認可接收“Web代理客戶端”的請求 72
4-4  “Web代理客戶端”的配置 73
4-5  “SecureNAT客戶端”的配置 75
“SecureNAT客戶端”的配置 75
開放DNS流量 75
將“SecureNAT客戶端”配置成“Web代理客戶端” 80
4-6  “防火墻客戶端”的配置 80
“防火墻客戶端”的配置 80
內(nèi)部網(wǎng)絡(luò)計算機的定義 83
4-7  自動發(fā)現(xiàn)（Automatic Discovery） 84
“自動發(fā)現(xiàn)”概論 84
將ISA Server配置為WPAD服務器 85
利用DHCP服務器來支持“自動發(fā)現(xiàn)”功能 86
利用DNS服務器來支持“自動發(fā)現(xiàn)”功能 89
防火墻客戶端的自動配置值 93
“Web代理客戶端”的配置 95
4-8  驗證用戶身份 96
訪問HTTP對象的驗證方式 96
訪問“非HTTP”對象的驗證方式 97
驗證身份實例演練 98
選擇適當?shù)尿炞C方法 105
4-9  自動安裝Microsoft Firewall Client 106
4-10  選擇適當?shù)目蛻舳?110
第5章  開放訪問因特網(wǎng)與系統(tǒng)監(jiān)視 111
5-1  開放訪問網(wǎng)頁、FTP與電子郵件 111
創(chuàng)建網(wǎng)頁、FTP與電子郵件的訪問規(guī)則 111
開放FTP寫入的功能 113
開放非標準連接端口 114
5-2  系統(tǒng)監(jiān)視 115
制作報告 116
連接性驗證程序的配置 117
第6章  開放與阻擋實時通信與P2P軟件 119
6-1  實時通信與P2P軟件簡介 119
6-2  開放與阻擋Windows Live Messenger、MSN Web Messenger、Windows Messenger 120
Windows Live Messenger等軟件登錄時所使用的連接端口 120
開放Windows Live Messenger等軟件的流量 122
阻擋Windows Live Messenger等軟件的流量 123
常見的應用程序簽名 128
6-3  開放與阻擋其他實時通信與P2P軟件 129
開放與阻擋Yahoo 實時通 129
開放與阻擋AOL Instant Messenger（AIM） 131
開放與阻擋ICQ 133
開放與阻擋Skype、Google Talk、QQ 133
開放與阻擋IRC（Internet Relay Chat） 134
開放與阻擋Net2Phone 134
開放與阻擋eDonkey、eMule 135
6-4  通過要求驗證用戶身份來阻擋 135
6-5  利用組策略來限制實時通信軟件的執(zhí)行 137
通過“系統(tǒng)”來限制實時通信軟件的執(zhí)行 139
利用“軟件限制策略”來限制實時通信軟件的執(zhí)行 140
6-6  利用“防火墻客戶端”的應用程序設(shè)置來阻擋 143
6-7  追蹤與分析實時通信與P2P軟件的數(shù)據(jù)包特性 145
第7章  開放訪問內(nèi)部網(wǎng)絡(luò)的資源 147
7-1  內(nèi)部網(wǎng)絡(luò)的發(fā)布概論 147
7-2  發(fā)布內(nèi)部DNS服務器 148
DNS服務器的設(shè)置 149
發(fā)布內(nèi)部DNS服務器 150
測試DNS服務器是否發(fā)布成功 151
7-3  發(fā)布內(nèi)部網(wǎng)站與網(wǎng)站服務器場 152
DNS服務器的配置 154
發(fā)布內(nèi)部DNS服務器 155
發(fā)布內(nèi)部網(wǎng)站 155
測試網(wǎng)站是否發(fā)布成功 159
開放可以直接利用IP來連接網(wǎng)站 161
非標準端口的網(wǎng)站 162
鏈接轉(zhuǎn)換（link translation） 164
發(fā)布內(nèi)部網(wǎng)站服務器場 165
一次同時發(fā)布多個網(wǎng)站 170
7-4  發(fā)布內(nèi)部SSL網(wǎng)站與SSL網(wǎng)站服務器場 172
測試環(huán)境的網(wǎng)絡(luò)架構(gòu) 173
DNS服務器的配置與建立測試網(wǎng)頁 174
安裝CA與IIS 176
申請與安裝證書 178
發(fā)布內(nèi)部SSL網(wǎng)站 191
測試SSL網(wǎng)站是否發(fā)布成功 197
將對內(nèi)的HTTPS改為HTTP 200
發(fā)布內(nèi)部SSL網(wǎng)站服務器場 200
7-5  發(fā)布內(nèi)部郵件服務器 206
DNS服務器的設(shè)置 207
開放內(nèi)部到外部的DNS請求 209
發(fā)布內(nèi)部DNS服務器 209
發(fā)布內(nèi)部郵件服務器 209
開放內(nèi)部到外部的SMTP 與POP3 請求 211
測試郵件服務器是否發(fā)布成功 211
7-6  發(fā)布內(nèi)部SMTP Relay 214
SMTP Relay與SMTP服務器 215
建立Active Directory域 218
DNS服務器的設(shè)置 218
內(nèi)部SMTP Relay的設(shè)置 220
內(nèi)部電子郵件服務器的設(shè)置 224
發(fā)布內(nèi)部SMTP Relay 227
測試SMTP Relay 231
發(fā)布內(nèi)部SSL/TLS SMTP Relay 235
7-7  發(fā)布Exchange SSL OWA網(wǎng)站 237
測試環(huán)境的網(wǎng)絡(luò)架構(gòu) 237
安裝CA與IIS 240
申請與安裝證書 241
發(fā)布內(nèi)部SSL OWA網(wǎng)站 242
測試Exchange OWA網(wǎng)站是否發(fā)布成功 247
第8章  開放訪問三向防火墻的DMZ資源 249
8-1  建立DMZ網(wǎng)絡(luò)與配置網(wǎng)絡(luò)規(guī)則 249
網(wǎng)絡(luò)規(guī)則概論 249
建立DMZ網(wǎng)絡(luò) 251
8-2  發(fā)布DMZ內(nèi)的DNS服務器 261
8-3  發(fā)布DMZ內(nèi)的網(wǎng)站與網(wǎng)站服務器場 262
發(fā)布DMZ內(nèi)的網(wǎng)站 263
發(fā)布DMZ內(nèi)的網(wǎng)站服務器場 263
建立DMZ網(wǎng)絡(luò)與配置網(wǎng)絡(luò)規(guī)則 264
DNS服務器的配置 264
建立網(wǎng)站的測試網(wǎng)頁 265
建立網(wǎng)站服務器場 266
發(fā)布DMZ DNS服務器 269
發(fā)布DMZ網(wǎng)站服務器場 269
測試DMZ網(wǎng)站服務器場是否發(fā)布成功 273
其他配置 274
8-4  發(fā)布DMZ內(nèi)的SSL網(wǎng)站與網(wǎng)站服務器場 274
測試環(huán)境的網(wǎng)絡(luò)架構(gòu) 274
建立DMZ網(wǎng)絡(luò)與配置網(wǎng)絡(luò)規(guī)則 275
DNS服務器的配置與建立測試網(wǎng)頁 275
安裝CA與IIS 276
申請與安裝證書 276
發(fā)布DMZ內(nèi)的SSL網(wǎng)站 277
測試DMZ內(nèi)的SSL網(wǎng)站是否發(fā)布成功 278
8-5  發(fā)布DMZ內(nèi)的SMTP Relay 280
SMTP Relay與SMTP服務器 281
建立DMZ網(wǎng)絡(luò)與配置網(wǎng)絡(luò)規(guī)則 284
建立Active Directory域 284
DNS服務器的配置 286
DMZ SMTP Relay的配置 287
內(nèi)部電子郵件服務器的配置 291
發(fā)布DMZ內(nèi)的SMTP Relay 294
測試DMZ SMTP Relay 299
發(fā)布DMZ SSL/TLS SMTP Relay 300
第9章  開放前后端防火墻之間的DMZ資源 301
9-1  建立Back-to-Back防火墻測試環(huán)境 301
網(wǎng)絡(luò)規(guī)則的配置 302
建立DMZ網(wǎng)絡(luò) 303
9-2  發(fā)布Back-to-Back防火墻的DMZ SMTP Relay 305
SMTP Relay與SMTP服務器 306
前端防火墻的安裝與配置 308
后端防火墻的安裝與配置 311
Active Directory域的建立 312
DNS服務器的配置 315
DMZ SMTP Relay的配置 317
內(nèi)部電子郵件服務器的配置 317
發(fā)布DMZ內(nèi)的SMTP Relay 317
測試SMTP Relay 323
發(fā)布DMZ SSL/TLS SMTP Relay 324
第10章  架設(shè)ISA Server虛擬專用網(wǎng)絡(luò)（VPN） 325
10-1  VPN基本概念 325
10-2  啟用ISA Server VPN服務器 327
域控制器的安裝與配置 327
ISA Server VPN服務器的配置 334
測試VPN連接 339
VPN客戶端“網(wǎng)上鄰居”為何看不到內(nèi)部網(wǎng)絡(luò)的計算機 343
VPN客戶端為何無法上網(wǎng) 344
10-3  啟用L2TP/IPSec VPN服務器 346
使用IPSec證書來建立L2TP/IPSec VPN 347
使用“預共享密鑰”來建立L2TP/IPSec VPN 354
10-4  隔離的VPN客戶端 356
啟用VPN隔離控制功能 356
在ISA Server安裝“RQS偵聽器” 357
在ISA Server安裝“連接管理器管理工具包”與RQC 360
建立隔離腳本 360
建立連接管理器配置文件 361
測試隔離的VPN客戶端 365
10-5  Back-to-Back防火墻+VPN服務器 368
10-6  建立L2TP/IPSec與PPTP的站對站VPN 370
在域控制器安裝各服務器軟件 371
總公司VPN服務器的配置 372
分公司VPN服務器的配置 383
測試站對站VPN連接 389
10-7  建立IPSec隧道模式的站對站VPN 390
在域控制器安裝各服務器軟件 392
總公司VPN服務器的配置 392
分公司VPN服務器的配置 398
測試IPSec隧道模式站對站VPN連接 402
10-8  站對站VPN+VPN客戶端訪問 404
10-9  Back-to-Back防火墻+站對站VPN 405
第11章  入侵檢測 409
11-1  ISA Server支持的入侵檢測項目 409
一般攻擊的入侵檢測 409
DNS攻擊的入侵檢測 410
POP入侵檢測 411
阻止包含IP選項的數(shù)據(jù)包 411
阻止IP片段的數(shù)據(jù)包 411
淹沒緩解 411
11-2  啟用入侵檢測與警報設(shè)置 411
啟用入侵檢測 412
警報設(shè)置 413
阻止IP選項與IP片段數(shù)據(jù)包 416
啟用淹沒緩解功能 417
第12章  遠程管理 ISA Server 419
12-1  遠程管理 – 利用“遠程桌面連接” 419
在ISA Server創(chuàng)建訪問規(guī)則 420
在ISA Server開放遠程桌面連接 422
利用遠程桌面連接管理ISA Server 423
12-2  遠程管理 – 利用“ISA Server管理控制臺” 423
在ISA Server開放遠程管理功能 424
客戶端的配置 425
第13章  CARP與NLB的構(gòu)建 429
13-1  CARP與NLB基本概念 429
CARP基本概念 429
NLB基本概念 431
13-2  NLB構(gòu)建實例演示 435
NLB測試環(huán)境的構(gòu)建 436
建立Active Directory域 437
DNS服務器的設(shè)置 438
在DNS Server1安裝“配置存儲服務器（CSS）” 439
建立ISA Server陣列 441
建立Intra-Array網(wǎng)絡(luò) 443
開放可以遠程管理ISA Server 444
在兩臺ISA Server上安裝防火墻服務 446
通過ISA Server管理控制臺來啟用NLB 449
發(fā)布內(nèi)部DNS服務器與網(wǎng)站 452
測試NLB是否構(gòu)建成功 454
停用NLB 460
13-3  CARP構(gòu)建實例演示 463
在ISA Server陣列啟用CARP 464
客戶端的設(shè)置 469
CARP的故障轉(zhuǎn)移功能 470
13-4  ISA Server隸屬于工作組的環(huán)境構(gòu)建 470
NLB環(huán)境的構(gòu)建 471
建立Active Directory域 471
DNS服務器的設(shè)置 472
替“配置存儲服務器（CSS）”申請證書 472
將證書導出保存 472
在DNS Server1安裝“配置存儲服務器（CSS）” 473
建立ISA Server陣列 473
建立Intra-Array網(wǎng)絡(luò) 474
到ISA Server1與ISA Server2執(zhí)行信任CA的步驟 474
開放可以遠程管理ISA Server 474
在兩臺ISA Server上安裝防火墻服務 475
設(shè)置兩臺ISA Server之間連接所需的賬戶 475
打開ISA Server管理員與連接CSS 476
通過ISA Server管理控制臺來啟用NLB 478
發(fā)布內(nèi)部DNS服務器與網(wǎng)站 478
測試NLB是否構(gòu)建成功 478
停用NLB 478
附錄A  建立Active Directory域 479
A-1  建立域的必要條件 479
A-2  建立Active Directory域 480
A-3  將域控制器降級 482
附錄B  常見的端口 485
B-1  Active Directory可能會用到的端口 485
客戶端計算機加入域、用戶登錄時會用到的端口 486
計算機登錄時會用到的端口 486
建立域信任時會用到的端口 487
驗證域信任時會用到的端口 487
訪問文件資源時會用到的端口 488
執(zhí)行DNS查詢時會用到的端口 488
執(zhí)行Active Directory復制時會用到的端口 488
其他可能需要開放的協(xié)議 489
限制動態(tài)RPC端口的范圍 489
讓Active Directory使用指定的端口 490
B-2  端口與協(xié)議列表 491
P172
   可否直接在圖7-51中就輸入www.sayisa.com與support.sayisa.com，然后在圖7-53中不輸入后綴?
   它所建立的規(guī)則與圖7-54修改后的規(guī)則看起來相同，所以應該可以才對，可是實際上客戶端卻無法正常連接網(wǎng)站，所以答案是不可以!