ISA部署方案--初步

 

ISA部署方案

 

1.       ISA实施前准备工作

1)        现有的网络拓扑结构和环境
光纤4M带宽，访问Internet用户（客户端）共有60个左右

 

2)        ISA部署后的网络拓扑结构和环境

 

3)        前端防火墙的配置要求

A.        分配一个私有静态IP地址

B.        分配一个网关IP地址

C.        分配一个DNS的IP地址

D.       开放所有正常端口与ISA，关闭DHCP服务

4)        ISA所需的硬件需求

A.        需要有三块的网卡

a)         推荐使用D-Link

B.        需要同型号内存

5)        ISA部署所需的软件

A.        Windows 2003 Enterprise Service Pack 2

B.        ISA 2006 Standard

C.        Bandwidth Splitter 1.21

D.       SQL Server 2000 Enterprise

6)        ISA网络规划和管理策略

A.        编排本公司IP静态地址（见附件1）

a)         内网共享网络打印机IP地址和其它事务服务器建议编排至部门名下

B.        客户端分组策略

a)         建议按照部门分组

C.        日常管理策略

a)         建议形成管理策略

2.       ISA实施过程

1)        ISA服务器硬件安装

A.        建议接上UPS备用电源

B.        配置使用高品质兼容网卡

2)        ISA服务器软件安装

A.        格式化硬盘分为C（66G）、D（88G）、E（rest）、使用NTFS格式的文件系统。

B.        安装Microsoft Windows Server 2003 Enterprise Edition Service Pack 2后，计算机名称为Labway-Inc，打上安全补丁，关闭自动更新，打开远程桌面和协助、并配置虚拟内存空间为C（3072MB~8192MB）。

C.        安装虚拟光驱和便捷的中文输入法。

D.       配置服务器网络适配器

a)         WAN: IP 172.16.1.6/21 DG 172.16.1.1 DNS 202.96.209.6

b)        LAN1:IP 192.168.66.1/24 DG None DNS None（Labway）

c)        LAN2:IP 192.168.88.1/24 DG None DNS None（Others）

E.        安装DNS服务器

a)         接口侦听：LAN1和LAN2

b)        转发器的IP地址列表：202.96.209.6；202.96.209.5

F.        安装DHCP服务器

a)         配置作用域Labway：地址池起始地址192.168.66.200/24~192.168.66.254/24，排除地址范围192.168.66.1/24~192.168.66.88/24，DHCP客户端的租约期限8天，DG为192.168.66.1，DNS为192.168.66.1

b)        配置作用域Others：地址池起始地址192.168.88.10/24~192.168.88.254/24，DHCP客户端的租约期限：8天，DG为192.168.88.1，DNS为192.168.88.1。

G.       安装SQL Server 2000 企业版并升级SP4补丁。

H.        ISA2006 Standard安装

a)         选取内网适配器LAN1和LAN2作为内网保护对象。

b)        安装ISA补丁包括：ISA2006-KB943462-X86-CHS.msp、ISA2006-KB925403-X86-CHS.msp、ISA2006-KB939455-X86-CHS.msp。

c)        安装Bandwidth Splitter 1.21并打上客户端补丁。

d)        选取后端防火墙模板并建立开放所有出站协议。

e)         ISA 2006 如何启用WPAD自动发现模式，这是DHCP的方式

f)         在网络的内网属性中配置防火墙客户端支持的ISA服务器IP地址（根据实际情况而定）。

g)        设置防火墙客户端中OUTLOOK的Disable属性为0。

h)        在SQL Server 2000中新建数据库ISA并添加fwsrv.sql与w3proxy.sql脚本，同时赋予以上两个新建表和存储过程以可读写权限。

i)          通过注册表停止ISA防火墙服务对MSDE的服务名MSSQL$MSFW的依赖。

j)          日志服务中配置防火墙日志和web代理服务日志为SQL形式，数据库文件和日志文件建立在D:"ISA"中。

k)        配置警报处理，当服务关闭时开启防火墙服务和计划工作服务。

l)          定义web缓存，在E盘中分出2G的缓存空间，并定义缓存小于1MB的网页。

m)      添加用户名称和计算机IP地址等相关管理策略。

3)        ISA客户端的部署

A.        插上电脑后，固定IP地址用户添加IP为192.168.66.[10~88]/24，DG为192.168.66.1，DNS 192.168.66.1。动态用户自动获取IP。

B.        静态客户安装ISA client并测试自动发现ISA服务器。

C.        测试网络服务。

3.       ISA实施后的维护与管理

1)        设置server 2003 用户管理机制

A.        新建一个用户而不是直接使用administrator

B.        设置10位密码管理策略。

C.        单远程用户管理。

2)        建立所有用户的IP地址记录对象

3)        建立协议作用时间

4)        建立网络对象集合

5)        建立arp 脚本

6)        建立DHCP 保留脚本

7)        配置SQL server 服务器内存使用大小

A.        内存最小为0MB

B.        内存最大为512MB

8)        服务器维护

A.        每个月需要重新启动服务器一次

B.        每一年需要对日志文件进行压缩清理