ISA Server 2006防火墙安装与管理指南

第1章  ISA Server 2006简介 1
1-1  ISA Server 2006的主要功能 1
1-2  缓存的运作方式与缓存的种类 2
ISA Server缓存的运作方式 2
ISA Server缓存的种类 3
1-3  防火墙的设置种类 5
Edge Firewall（边缘防火墙） 5
3-Leg Perimeter Firewall（3向外围防火墙） 5
Back-to-Back Perimeter Firewall（背对背外围防火墙） 6
单一网络适配器（网卡） 7
1-4  ISA Server与VPN的集成 7
1-5  多重网络的支持 8
1-6  数据包筛选基本概念 10
1-7  ISA Server 2006企业版的特色 11
第2章  安装与测试ISA Server 2006 13
2-1  安装ISA Server前的环境规划 13
建立ISA Server 2006的测试环境 13
利用VMware Workstation建立测试环境 16
利用Microsoft Virtual Server建立测试环境 26
2-2  安装ISA Server 2006 36
更改ISA Server虚拟机的SID 36
更改网络名称与设置IP地址 36
安装ISA Server 2006 37
2-3  测试ISA Server防火墙是否安装成功 40
被ISA Server防火墙阻挡的测试 40
第3章  网页缓存 47
3-1  高速缓存与硬盘配置 47
缓存硬盘的大小设置 48
高速缓存的大小设置 50
3-2  设置缓存规则 51
缓存规则的设置 51
创建缓存规则 55
3-3  Web链 55
3-4  高级缓存设置 59
3-5  定时自动下载网页内容 61
3-6  删除缓存区的数据 63
第4章  彻底剖析ISA Server客户端 67
4-1  ISA Server客户端概述 67
4-2  测试环境的搭建 69
利用VMware Workstation搭建客户端计算机 70
利用Microsoft Virtual Server搭建客户端计算机 70
4-3  ISA Server的配置 71
防火墙规则的开放 71
确认可接收“Web代理客户端”的请求 72
4-4  “Web代理客户端”的配置 73
4-5  “SecureNAT客户端”的配置 75
“SecureNAT客户端”的配置 75
开放DNS流量 75
将“SecureNAT客户端”配置成“Web代理客户端” 80
4-6  “防火墙客户端”的配置 80
“防火墙客户端”的配置 80
内部网络计算机的定义 83
4-7  自动发现（Automatic Discovery） 84
“自动发现”概论 84
将ISA Server配置为WPAD服务器 85
利用DHCP服务器来支持“自动发现”功能 86
利用DNS服务器来支持“自动发现”功能 89
防火墙客户端的自动配置值 93
“Web代理客户端”的配置 95
4-8  验证用户身份 96
访问HTTP对象的验证方式 96
访问“非HTTP”对象的验证方式 97
验证身份实例演练 98
选择适当的验证方法 105
4-9  自动安装Microsoft Firewall Client 106
4-10  选择适当的客户端 110
第5章  开放访问因特网与系统监视 111
5-1  开放访问网页、FTP与电子邮件 111
创建网页、FTP与电子邮件的访问规则 111
开放FTP写入的功能 113
开放非标准连接端口 114
5-2  系统监视 115
制作报告 116
连接性验证程序的配置 117
第6章  开放与阻挡实时通信与P2P软件 119
6-1  实时通信与P2P软件简介 119
6-2  开放与阻挡Windows Live Messenger、MSN Web Messenger、Windows Messenger 120
Windows Live Messenger等软件登录时所使用的连接端口 120
开放Windows Live Messenger等软件的流量 122
阻挡Windows Live Messenger等软件的流量 123
常见的应用程序签名 128
6-3  开放与阻挡其他实时通信与P2P软件 129
开放与阻挡Yahoo 实时通 129
开放与阻挡AOL Instant Messenger（AIM） 131
开放与阻挡ICQ 133
开放与阻挡Skype、Google Talk、QQ 133
开放与阻挡IRC（Internet Relay Chat） 134
开放与阻挡Net2Phone 134
开放与阻挡eDonkey、eMule 135
6-4  通过要求验证用户身份来阻挡 135
6-5  利用组策略来限制实时通信软件的执行 137
通过“系统”来限制实时通信软件的执行 139
利用“软件限制策略”来限制实时通信软件的执行 140
6-6  利用“防火墙客户端”的应用程序设置来阻挡 143
6-7  追踪与分析实时通信与P2P软件的数据包特性 145
第7章  开放访问内部网络的资源 147
7-1  内部网络的发布概论 147
7-2  发布内部DNS服务器 148
DNS服务器的设置 149
发布内部DNS服务器 150
测试DNS服务器是否发布成功 151
7-3  发布内部网站与网站服务器场 152
DNS服务器的配置 154
发布内部DNS服务器 155
发布内部网站 155
测试网站是否发布成功 159
开放可以直接利用IP来连接网站 161
非标准端口的网站 162
链接转换（link translation） 164
发布内部网站服务器场 165
一次同时发布多个网站 170
7-4  发布内部SSL网站与SSL网站服务器场 172
测试环境的网络架构 173
DNS服务器的配置与建立测试网页 174
安装CA与IIS 176
申请与安装证书 178
发布内部SSL网站 191
测试SSL网站是否发布成功 197
将对内的HTTPS改为HTTP 200
发布内部SSL网站服务器场 200
7-5  发布内部邮件服务器 206
DNS服务器的设置 207
开放内部到外部的DNS请求 209
发布内部DNS服务器 209
发布内部邮件服务器 209
开放内部到外部的SMTP 与POP3 请求 211
测试邮件服务器是否发布成功 211
7-6  发布内部SMTP Relay 214
SMTP Relay与SMTP服务器 215
建立Active Directory域 218
DNS服务器的设置 218
内部SMTP Relay的设置 220
内部电子邮件服务器的设置 224
发布内部SMTP Relay 227
测试SMTP Relay 231
发布内部SSL/TLS SMTP Relay 235
7-7  发布Exchange SSL OWA网站 237
测试环境的网络架构 237
安装CA与IIS 240
申请与安装证书 241
发布内部SSL OWA网站 242
测试Exchange OWA网站是否发布成功 247
第8章  开放访问三向防火墙的DMZ资源 249
8-1  建立DMZ网络与配置网络规则 249
网络规则概论 249
建立DMZ网络 251
8-2  发布DMZ内的DNS服务器 261
8-3  发布DMZ内的网站与网站服务器场 262
发布DMZ内的网站 263
发布DMZ内的网站服务器场 263
建立DMZ网络与配置网络规则 264
DNS服务器的配置 264
建立网站的测试网页 265
建立网站服务器场 266
发布DMZ DNS服务器 269
发布DMZ网站服务器场 269
测试DMZ网站服务器场是否发布成功 273
其他配置 274
8-4  发布DMZ内的SSL网站与网站服务器场 274
测试环境的网络架构 274
建立DMZ网络与配置网络规则 275
DNS服务器的配置与建立测试网页 275
安装CA与IIS 276
申请与安装证书 276
发布DMZ内的SSL网站 277
测试DMZ内的SSL网站是否发布成功 278
8-5  发布DMZ内的SMTP Relay 280
SMTP Relay与SMTP服务器 281
建立DMZ网络与配置网络规则 284
建立Active Directory域 284
DNS服务器的配置 286
DMZ SMTP Relay的配置 287
内部电子邮件服务器的配置 291
发布DMZ内的SMTP Relay 294
测试DMZ SMTP Relay 299
发布DMZ SSL/TLS SMTP Relay 300
第9章  开放前后端防火墙之间的DMZ资源 301
9-1  建立Back-to-Back防火墙测试环境 301
网络规则的配置 302
建立DMZ网络 303
9-2  发布Back-to-Back防火墙的DMZ SMTP Relay 305
SMTP Relay与SMTP服务器 306
前端防火墙的安装与配置 308
后端防火墙的安装与配置 311
Active Directory域的建立 312
DNS服务器的配置 315
DMZ SMTP Relay的配置 317
内部电子邮件服务器的配置 317
发布DMZ内的SMTP Relay 317
测试SMTP Relay 323
发布DMZ SSL/TLS SMTP Relay 324
第10章  架设ISA Server虚拟专用网络（VPN） 325
10-1  VPN基本概念 325
10-2  启用ISA Server VPN服务器 327
域控制器的安装与配置 327
ISA Server VPN服务器的配置 334
测试VPN连接 339
VPN客户端“网上邻居”为何看不到内部网络的计算机 343
VPN客户端为何无法上网 344
10-3  启用L2TP/IPSec VPN服务器 346
使用IPSec证书来建立L2TP/IPSec VPN 347
使用“预共享密钥”来建立L2TP/IPSec VPN 354
10-4  隔离的VPN客户端 356
启用VPN隔离控制功能 356
在ISA Server安装“RQS侦听器” 357
在ISA Server安装“连接管理器管理工具包”与RQC 360
建立隔离脚本 360
建立连接管理器配置文件 361
测试隔离的VPN客户端 365
10-5  Back-to-Back防火墙+VPN服务器 368
10-6  建立L2TP/IPSec与PPTP的站对站VPN 370
在域控制器安装各服务器软件 371
总公司VPN服务器的配置 372
分公司VPN服务器的配置 383
测试站对站VPN连接 389
10-7  建立IPSec隧道模式的站对站VPN 390
在域控制器安装各服务器软件 392
总公司VPN服务器的配置 392
分公司VPN服务器的配置 398
测试IPSec隧道模式站对站VPN连接 402
10-8  站对站VPN+VPN客户端访问 404
10-9  Back-to-Back防火墙+站对站VPN 405
第11章  入侵检测 409
11-1  ISA Server支持的入侵检测项目 409
一般攻击的入侵检测 409
DNS攻击的入侵检测 410
POP入侵检测 411
阻止包含IP选项的数据包 411
阻止IP片段的数据包 411
淹没缓解 411
11-2  启用入侵检测与警报设置 411
启用入侵检测 412
警报设置 413
阻止IP选项与IP片段数据包 416
启用淹没缓解功能 417
第12章  远程管理 ISA Server 419
12-1  远程管理 – 利用“远程桌面连接” 419
在ISA Server创建访问规则 420
在ISA Server开放远程桌面连接 422
利用远程桌面连接管理ISA Server 423
12-2  远程管理 – 利用“ISA Server管理控制台” 423
在ISA Server开放远程管理功能 424
客户端的配置 425
第13章  CARP与NLB的构建 429
13-1  CARP与NLB基本概念 429
CARP基本概念 429
NLB基本概念 431
13-2  NLB构建实例演示 435
NLB测试环境的构建 436
建立Active Directory域 437
DNS服务器的设置 438
在DNS Server1安装“配置存储服务器（CSS）” 439
建立ISA Server阵列 441
建立Intra-Array网络 443
开放可以远程管理ISA Server 444
在两台ISA Server上安装防火墙服务 446
通过ISA Server管理控制台来启用NLB 449
发布内部DNS服务器与网站 452
测试NLB是否构建成功 454
停用NLB 460
13-3  CARP构建实例演示 463
在ISA Server阵列启用CARP 464
客户端的设置 469
CARP的故障转移功能 470
13-4  ISA Server隶属于工作组的环境构建 470
NLB环境的构建 471
建立Active Directory域 471
DNS服务器的设置 472
替“配置存储服务器（CSS）”申请证书 472
将证书导出保存 472
在DNS Server1安装“配置存储服务器（CSS）” 473
建立ISA Server阵列 473
建立Intra-Array网络 474
到ISA Server1与ISA Server2执行信任CA的步骤 474
开放可以远程管理ISA Server 474
在两台ISA Server上安装防火墙服务 475
设置两台ISA Server之间连接所需的账户 475
打开ISA Server管理员与连接CSS 476
通过ISA Server管理控制台来启用NLB 478
发布内部DNS服务器与网站 478
测试NLB是否构建成功 478
停用NLB 478
附录A  建立Active Directory域 479
A-1  建立域的必要条件 479
A-2  建立Active Directory域 480
A-3  将域控制器降级 482
附录B  常见的端口 485
B-1  Active Directory可能会用到的端口 485
客户端计算机加入域、用户登录时会用到的端口 486
计算机登录时会用到的端口 486
建立域信任时会用到的端口 487
验证域信任时会用到的端口 487
访问文件资源时会用到的端口 488
执行DNS查询时会用到的端口 488
执行Active Directory复制时会用到的端口 488
其他可能需要开放的协议 489
限制动态RPC端口的范围 489
让Active Directory使用指定的端口 490
B-2  端口与协议列表 491
P172
   可否直接在图7-51中就输入www.sayisa.com与support.sayisa.com，然后在图7-53中不输入后缀?
   它所建立的规则与图7-54修改后的规则看起来相同，所以应该可以才对，可是实际上客户端却无法正常连接网站，所以答案是不可以!