前序

　　随着当今信息社会的迅猛发展，信息化浪潮已遍布各行各业。同时由于电子商务和电子政务的推行，使得社会信息化发展得更快，因此这就需要各个单位进快汇入信息化的大潮中，否则就有可能被社会所淘汰。然而就在企业连上互联网的那一刻开始，网络安全的问题就摆在了各个单位面前。那么我们怎样才能既安全又高效的连上互联网上呢？或许安装ISA+瑞星网络版杀毒软件是一个不错的办法，下面我将结合我单位网络建设中怎样利用ISA+瑞星网络版杀毒软件来构筑安全网络的事例来阐述其构成。

　　关键词
　　ISA 瑞星 网络版杀毒软件 网络安全 防火墙 代理服务

　　正文

　　一、为什么要用ISA+瑞星网络版杀毒软件来构造安全网络

　　自从网络用户连上互联网的那一刻开始，网络安全问题就放在了我们面前。如果不做好网络安全防卫工作，那么就可能造成网络内部数据被盗或丢失、网络瘫痪、病毒泛滥等，这样就使得网络用户不能正常工作。

　　安全问题是每个单位都不敢掉以轻心的，只要任何一个单位在网络上存在，那么必须对自己进行保护，免受恶意和敌意的入侵与攻击的伤害。伴随着Internet的成长，黑客和黑客工具无论在数量还是质量上都逐渐发展状大。为了解决这个问题，市面上的防火墙产品也呈爆炸性增长趋势。但所有软件各有千秋，其功能和价格也不一样，因此就其实用性来说，我们选择了ISA，因为它不但具有防火墙的功能，而且更主要的是有代理和高速缓存的功能。同时它还可以按照用户的要求量身定做的开放相应的协议和端口，因而网络安全就更胜一筹。同时由于瑞星杀毒软件的强大防毒和杀毒功能，以及瑞星的时时在线升级功能，使得瑞星在杀毒方面技胜一筹，因此我们就选用了ISA+瑞星网络版杀毒软件来构造安全网络。

　　二、ISA的安装与配置

　　1、ISA的安装

　　当我们买回ISA软件后，首先应该阅读一下软件安装说明，这对我们正确安装软件百利而无一弊。同时要特别注意ISA标准版和企业版的异同之处。ISA标准版需要安装到一台独立的Windows2000服务器上，而且只能使用本地安全策略，它不需要Active Directory的支持。而企业版必需要Active Directory的支持，它同Active Directory紧密地集成在一起，它还利用Active Directory保存配置和策略信息。由于我们单位的网络是一个中型网络，所以我们用不着去买ISA企业版（因为企业版要比标准版贵很多），因此我们最后选用了ISA标准版。

　　在安装ISA之前，首先要安装好Server 2000操作系统，且保证所装区域为NTFS格式。在装好系统后，必须要确保所装服务器上有两块网卡，并且两块网卡都设置好，一块网卡配置外部IP地址，另一块网卡配置内部IP地址。同时要配置好两块网卡的各自网关和DNS地址。要注意的是内部网卡的网关地址请不要填写。同时去掉操作系统中的IIS和其它不相关的程序，只保留一个纯Server2000操作系统。在做好这些基础工作之后，就可以将ADSL专线（我单位申请的是ADSL专线）插在外部网卡上，同时在服务器上测试线路的连通信，以确保服务器现在能连上互联网。否则得重新检查硬件和软件的安装，以确保服务器必须能连上互联网。在做好这些基本工作后就可以安装ISA软件了。

　　当我们把ISA光盘放入光驱之后，它会自动弹出一个界面让用户去选择。首先它须确保操作系统能满足它的安装要求。否则用户就得更新系统，以符合安装要求。ISA Server有三种安装模式：防火墙模式、高速缓存模式、综合模式。在综合模式下，防火墙和缓存功能会被整合到一起，以便同时利用网络安全和Web缓存方面的功能。因此我们选用了综合模式。

　　在安装期间配置LAT时，必须注意要根据内部网络实际使用的地址来配置，必须要配置正确，否则就不能正常运行。这可根据主控服务器的设置来进行配置。例如我单位在装主控服务器时就设定了内部网络地址为：192.168.0.0～192.168.0.255，因此我们在LAT中就填入该内部IP地址。在设置Web缓存时，最好能选择剩余区间最大且不与程序文件同一个分区的磁盘分区，其缓存文件大小可根据实际情况来决定，但其大小最好能大一些，我单位就配置了一个1G大小的Web缓存文件。

　　2、ISA协议的配置

　　在装好程序文件后，就得配置相应的访问规则，这样内部用户才能访问英特网。其中最主要的是访问Web协议和访问邮件服务协议，其它象访问FTP、QQ、NetMeeting、证券之星等程序的协议可根据实际情况来决定是否开放。

　　访问Web协议的开放可以通过以下来完成：在ISA Management中，展开计算机，找到Access Policy/Protocol Rules/Create a Protocol Rule for internet Access，点击它，一路按默认值进行配置，即Protocol中有FTP、FTP Download only、Gopher、Http、Https，Action为Allow，Schedule为always、Applies to为Any Request。

　　要访问邮件服务器上的邮件就得开放与DNS相关的协议，如DNS Query、DNS Query Server、Dns Zone Transfer、Dns Zone Transfer Server四个协议。

　　3、WEB服务器和邮件服务器的发布

　　要进行WEB发布，可按以下步骤进行：在ISA Management控制台中，展开计算机名，找到Policy Elements/Destination Sets/Create a Destination Set，点击它，在name中输入所添加目标的名字，最好输好记的名字，如域名等。然后在include these destinations/add/ Destination中输入单位网站网址。然后就OK了。接着找到Publishing节点。右击Web Publishing Rules节点，点击New，然后选Rule。在向导的第一页输入该规则的名字，可命名为Exeter Web，点Next；在目标集合页中，在Apply this rule to下拉框中选择Specified destination set，在Name下拉框中选择我们前面已经建立好的目标的名字，例如前面建设好的域名，点击Next。在Client Type中选择Any Reqest。因为我们开放网站的目的就是要让外界所有人看，所以就选择此项，再点击Next，在Rule Action中可以根据不同的情况选用不同的方式，我们选用了第二种方式Redirect the request to this internal Web server(name or IP address)，在其中最好能输入网站服务器的IP地址。因为我单位网站放在内部，其IP为192.168.0.3，所以我们就将其输上。同时我们应在下面的send the original host header to the publishing server instead of the actual one(specified above)前面的方框内画上勾，其下面各小项的值最好不要改动，使用其默认值。最后一页可以看一下所有配置，如果正确就点击Finish就完成了网站的发布。

　　邮件服务器的发布可通过以下步骤来进行：在ISA Management中，展开Publishing节点，右击Server Publishing Rules节点，点击Secure Mail Server。在对话框中，选中Default Authentication和SSL Authentication中的所有选项，然后点击Next，在ISA Server′s External IP addressd页中，输入ISA所在服务器的外部接口的IP地址，即互联网上的IP地址，然后点击Next。在Internal Mail Server页中选择At this IP address，在其中输入内部邮件服务器的IP地址（192.168.0.1），然后点击Next。在向导的最后一页，如果我们确认所有设置无误后就可以点击Finish以完成配置，系统自动创建许多新的服务器发布规则。这样邮件服务器就发布完成。

　　4、客户端的安装

　　ISA Server客户机类型有三种：SecureNAT、防火墙客户机、Web代理客户机。但为了能充分利用ISA本身所具有防火墙功能，我们选用了防火墙客户机来安装客户端。客户端的安装路径为：\\ISA服务器名\mspclnt \setup.exe。

[1] [2] 下一页