我的回答到此结束,希望对你有帮助,谢谢!
1 服务器的安装与配置策略
基于ISA Server的服务器部署在网络边缘。即Internet与局域网内部核心层的交汇处。通常采用双网卡的服务器架构,一端连接Internet公网交换机,一端连接 内网核心层交换机。
服务器的安装和配置主要包括以下几个步骤:
1、构建一个安全稳定的服务器 *** 作系统平台。 为了确保运行的安全、稳定和高效,建议采用WindowsServer2003企业版作 为 *** 作系统平台。
配置高性能的多核心CPU处理器.、大容量内存和双千兆网卡的服务器硬件。同时加强服务器自身的安全性,在线升级和安装全部补丁程序。修复已知的各种漏洞。安装防病毒软件,防止感染计算机病毒、各种木马程序和有害插件等。
关闭默认的硬盘共享属性、禁用不必要的网络服务端。如关闭IIS的80端口、FTP的21端口、远程桌面的3389端口等。为管理员用户Administrator改名并设置复杂的密码,强制采用强密码策略,以减小词典攻击的可能性。
取消Microsoft网络的文件和打印机共享,仅保留Internet协议(TCP/IP)等,从整体上降 低网络入侵的风险。
2、安装ISA Server软件并启用服务器。 由于教职工在家中或者外地访问校园网内部资源主要采取“远程访问的连接”方式,所以根据网络架构,将连接Internet 公网交换机的网卡标识为WAN。
连接内部核心交换机的网卡标识为LAN,并配置网络参数。其中LAN口网卡不必设置默认网关和 DNS服务器地址,以防发生路由混淆。2块网卡的参数配置。
选用ISA Server2006标准版,按照系统推荐的方式默认安装。指定LAN口网卡 表1 标识ISA内部网络。ISA Server安装完成后,重新启动 *** 作系统。
默认状态下ISA Server的功能是禁用的,首先启用服务器并且做相关配置。进入ISA主界面,在“客户端任务”中,启用“客户端访问属性。主要设置2个选项,即服务器;“常规”一栏中的“客户端访问”.设置允许的最大客户端数量。
如设置200 个客户的同时连接数。在“协议”一栏中,启用“可用于远程访问连接的隧道协议”,PPTP为远程访问提供一个安全的连接方式, 即“启用TCP/IP协议”。其它两个栏目(组、用户映射)保留默认设置即可。
在虚拟专用网络()属性中,点击“远程访问客户端 连接”,选择客户端可以从中启动到服务器的连接网络为“外部”。在地址分配中,选择IP静态地址池,用于ISA Server服务器 通过DHCP方式为拨入用户动态分配IP地址。
由于上述指定了200个客户同时连接数,同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复。因此设置l0.0.0.1至10.0.0.200的A类IP地址池。
在“身份验证”栏目中,选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
由于上述指定了200个客户同时连接数,同时地址范围一定不能与已经 定义了的内部网络和DMZ网络重复.因此设置l0.0.0.1至10.0.0.200的A类IP地址池。
在“身份验证”栏目中,选择Microsoft加密 的身份验证版本(MS—CHAPv2)。基本配置完毕,点击“应用”保存修改的参数。
3、 建立防火墙策略与远程访问规则。 当ISA服务器处理网络数据传输请求时,首先严格检查网络规则和防火墙策略,以判断网络传输的合法性。ISA Server的多网络访问功能可以轻松设置网络间的访问规则,必须仔细规划防火墙策略与远程访问规则,才能实现安全的访问功能。
使用IP策略,阻止该ip访问你的任何端口。 下边是方法: 打开:控制面版--管理工具-本地安全设置。点左边的 IP安全策略,在本地计算机。 然后在右边点右键--创建IP安全策略,打开IP安全策略向导。 下一步,出现IP安全策略名称,随便起个就行。比如叫 阻止1921681163 下一步,出现激活默认响应规则,不要选中,把钩去掉。 下一步,选中编辑属性,完成。 然后出现了 IP安全策略属性,点下边的添加,出现规则属性,点击添加,出现IP策略器列表。把使用添加向导去掉,点右边的添加,出现筛选器属性。 寻址栏 原地址选 一个特定的IP 1921681163。目标IP是 我的IP地址。然后点击确定。 现在回到 IP 筛选器列表,点击确定,在规则属性里应该多了个列表,选中它。然后切换到筛选器 *** 作选项卡,把使用添加向导去掉,点击添加。在出现的筛选器 *** 作 属性里的安全措施选项卡中,选择 阻止,点击确定。在筛选器 *** 作选项卡中会多出一个阻止的选项,选中它。 总之,在IP筛选器列表中你要选中你建的那个列表,筛选器 *** 作中要选中阻止。然后点击应用以后关闭。 现在回到 IP安全策略 属性 这里,把你建的IP筛选器列表钩上,点击关闭。 这时,在你最开始打开的 本地安全设置里 会多出一个策略,就是你建立的 “阻止1921681163”。在它身上点右键,选择指派,就OK了。欢迎分享,转载请注明来源:内存溢出
评论列表(0条)