裝了又移除~反覆好幾遍~每次都會卡在本機電腦無法連外就放棄... :-( 





終於在上週完成,也發現原來Microsoft ISA Server 2006跟Nod32 3.0的Server端衝突。





只要移除了Nod32 Server就可以解決所有問題了... ;-) 





接下來再來貼圖敘述安裝的歷程~~











主機:Xeon 3.0GHz x1 / 512MB x4 / 36GB x3 / one Network Card










公司需求:已有對外的Fortinet Firewall,故只是拿ISA Server來取代我們原本的Proxy 2.0,作WebFilter之用。





公司政策:web白名單:全公司同仁都可觀看的網頁(政府機關、學校、往來廠商、往來客戶)





                     特殊可上網清單:僅有公司內主管與幾位經過申請核准的同仁,可以無限制瀏覽所有網頁












使用軟體:Microsoft ISA Server2006 std. (試用版180天)





架構:ISA與其他電腦都在同一層區網內





安裝步驟就不截圖,因為真的很簡單的下一步...XD





中間有一步驟是區分內部與外部網路設定,因為此安裝是單一網卡,故址選擇內部網卡即可!

























寄件者 ISA Server 2006






目前只設定了6個條件,7/8這兩條都沒有啟用,就可以運作嚕~





全部安裝好後,最優先要設定的是讓本機可以連外,第3條

























寄件者 ISA Server 2006






1.新增一個本機連外的防火牆原則,名稱任意

























寄件者 ISA Server 2006






2.套用到所有輸出流量:因為是本機連外,所以這邊不限制哪些服務,如果公司更嚴謹,也可以選擇某些服務。

























寄件者 ISA Server 2006






3.從本機主機:很直覺化的設定方式。

























寄件者 ISA Server 2006






4.到內部:因為此ISA只有單一網卡,所以內部=區域網路,也等於外網了...





    p.s.如果要開放區網連外,可以增設一條從內部到內部,某個通訊服務開啟即可

























寄件者 ISA Server 2006






5.使用者:可以選擇所有使用者,也可以新增自己建立的,或是ISA有加入網域,也可以新增AD帳號作認證(推薦)

























寄件者 ISA Server 2006






6.與AD帳號作連結,可以匯入AD的使用者或是群組





==================設定好本機連外分隔線









接下來,是為了一些Server在機房,而不想去機房吹冷氣冷到死,或是站到腳酸死的人開放的權限~

























寄件者 ISA Server 2006






一樣,再新增一條防火牆規則:"Remote Desktop"這樣才有辦法使用遠端桌面登入去修修改改,悠閒的坐在自己辦公桌前就可以了!





1.規則套用:RDP(終端機服務)

























寄件者 ISA Server 2006






2.從內部:意思是從內部網路or外網(當然,外網還有被公司的Firewall所保護著,除非Firewall有開port)

























寄件者 ISA Server 2006






3.到本機主機:指區網連接到ISA Server

























寄件者 ISA Server 2006






4.我這邊設定比較沒這麼嚴謹,也可以直接這邊也只限制Admin有權限登入





================設定好遠端桌面連線分隔線





接下來就是設定公司的黑白名單組了...





因為我們公司比較嚴格管制,所以只容許員工可以上某些網站(公司有往來的,或是民生必須的政府網站)

























寄件者 ISA Server 2006






1.URL組:右邊工具箱選新增URL組(白名單)

























寄件者 ISA Server 2006






2.黑白名單內容:一般慣例為"*.google.com"也可以直接打"www.google.com"





    因為URL組是檢查字母,"*"代替任何字元





    a.開放"*.google.com"等於開放了





        "translate.google.com" or "maps.google.com" or "picasaweb.google.com"





    b.開放"www.google.com" 僅限縮為網站的www主機





而網址後面的變化,則不受限制 ex:"www.google.com.tw" or "maps.google.com/taiwan...."

























寄件者 ISA Server 2006






================新增完白名單or黑名單的分隔線





接下來為允許白名單或阻擋黑名單連線設定





前面已敘述過防火牆規則的新增法,以下將無截圖





1.新增白名單URL防火牆原則





2.動作:允許





3.通訊協定:"http" and "https"這樣可限制此條件僅可允許白名單的連線僅止於此兩種服務,其餘依舊阻擋





4.從:內部(區域網路) 





5.到:白名單URL組(前面所新增的URL組)





6.使用者:可選全部使用者(則任何人只要接上區域網路透過ISA都可上白名單網站,選擇AD帳號,則需要登入AD才可連線白名單。





==================設定完成允許白名單的分隔線





黑名單設定法





1.新增黑名單URK防火牆原則





2.動作:阻擋





3.通訊協定:同上





4.同上





5.黑名單URL組





6.使用者:可選擇全部使用者





==================設定完成阻擋黑名單的分隔線

alunz 發表在 痞客邦 留言(0) 人氣()