一、為什么要用ISA+瑞星網(wǎng)絡(luò)版殺毒軟件來構(gòu)造安全網(wǎng)絡(luò)

　　自從網(wǎng)絡(luò)用戶連上互聯(lián)網(wǎng)的那一刻開始，網(wǎng)絡(luò)安全問題就放在了我們面前。如果不做好網(wǎng)絡(luò)安全防衛(wèi)工作，那么就可能造成網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)被盜或丟失、網(wǎng)絡(luò)癱瘓、病毒泛濫等，這樣就使得網(wǎng)絡(luò)用戶不能正常工作。

　　安全問題是每個(gè)單位都不敢掉以輕心的，只要任何一個(gè)單位在網(wǎng)絡(luò)上存在，那么必須對(duì)自己進(jìn)行保護(hù)，免受惡意和敵意的入侵與攻擊的傷害。伴隨著Internet的成長，黑客和黑客工具無論在數(shù)量還是質(zhì)量上都逐漸發(fā)展?fàn)畲蟆榱私鉀Q這個(gè)問題，市面上的防火墻產(chǎn)品也呈爆炸性增長趨勢。但所有軟件各有千秋，其功能和價(jià)格也不一樣，因此就其實(shí)用性來說，我們選擇了ISA，因?yàn)樗坏哂蟹阑饓Φ墓δ埽腋饕氖怯写砗透咚倬彺娴墓δ堋Ｍ瑫r(shí)它還可以按照用戶的要求量身定做的開放相應(yīng)的協(xié)議和端口，因而網(wǎng)絡(luò)安全就更勝一籌。同時(shí)由于瑞星殺毒軟件的強(qiáng)大防毒和殺毒功能，以及瑞星的時(shí)時(shí)在線升級(jí)功能，使得瑞星在殺毒方面技勝一籌，因此我們就選用了ISA+瑞星網(wǎng)絡(luò)版殺毒軟件來構(gòu)造安全網(wǎng)絡(luò)。

二、ISA的安裝與配置

　　1、ISA的安裝

　　當(dāng)我們買回ISA軟件后，首先應(yīng)該閱讀一下軟件安裝說明，這對(duì)我們正確安裝軟件百利而無一弊。同時(shí)要特別注意ISA標(biāo)準(zhǔn)版和企業(yè)版的異同之處。ISA標(biāo)準(zhǔn)版需要安裝到一臺(tái)獨(dú)立的Windows2000服務(wù)器上，而且只能使用本地安全策略，它不需要Active Directory的支持。而企業(yè)版必需要Active Directory的支持，它同Active Directory緊密地集成在一起，它還利用Active Directory保存配置和策略信息。由于我們單位的網(wǎng)絡(luò)是一個(gè)中型網(wǎng)絡(luò)，所以我們用不著去買ISA企業(yè)版（因?yàn)槠髽I(yè)版要比標(biāo)準(zhǔn)版貴很多），因此我們最后選用了ISA標(biāo)準(zhǔn)版。

　　在安裝ISA之前，首先要安裝好Server 2000操作系統(tǒng)，且保證所裝區(qū)域?yàn)镹TFS格式。在裝好系統(tǒng)后，必須要確保所裝服務(wù)器上有兩塊網(wǎng)卡，并且兩塊網(wǎng)卡都設(shè)置好，一塊網(wǎng)卡配置外部IP地址，另一塊網(wǎng)卡配置內(nèi)部IP地址。同時(shí)要配置好兩塊網(wǎng)卡的各自網(wǎng)關(guān)和DNS地址。要注意的是內(nèi)部網(wǎng)卡的網(wǎng)關(guān)地址請(qǐng)不要填寫。同時(shí)去掉操作系統(tǒng)中的IIS和其它不相關(guān)的程序，只保留一個(gè)純Server2000操作系統(tǒng)。在做好這些基礎(chǔ)工作之后，就可以將ADSL專線（我單位申請(qǐng)的是ADSL專線）插在外部網(wǎng)卡上，同時(shí)在服務(wù)器上測試線路的連通信，以確保服務(wù)器現(xiàn)在能連上互聯(lián)網(wǎng)。否則得重新檢查硬件和軟件的安裝，以確保服務(wù)器必須能連上互聯(lián)網(wǎng)。在做好這些基本工作后就可以安裝ISA軟件了。

　　當(dāng)我們把ISA光盤放入光驅(qū)之后，它會(huì)自動(dòng)彈出一個(gè)界面讓用戶去選擇。首先它須確保操作系統(tǒng)能滿足它的安裝要求。否則用戶就得更新系統(tǒng)，以符合安裝要求。ISA Server有三種安裝模式：防火墻模式、高速緩存模式、綜合模式。在綜合模式下，防火墻和緩存功能會(huì)被整合到一起，以便同時(shí)利用網(wǎng)絡(luò)安全和Web緩存方面的功能。因此我們選用了綜合模式。

　　在安裝期間配置LAT時(shí)，必須注意要根據(jù)內(nèi)部網(wǎng)絡(luò)實(shí)際使用的地址來配置，必須要配置正確，否則就不能正常運(yùn)行。這可根據(jù)主控服務(wù)器的設(shè)置來進(jìn)行配置。例如我單位在裝主控服務(wù)器時(shí)就設(shè)定了內(nèi)部網(wǎng)絡(luò)地址為：192.168.0.0～192.168.0.255，因此我們?cè)贚AT中就填入該內(nèi)部IP地址。在設(shè)置Web緩存時(shí)，最好能選擇剩余區(qū)間最大且不與程序文件同一個(gè)分區(qū)的磁盤分區(qū)，其緩存文件大小可根據(jù)實(shí)際情況來決定，但其大小最好能大一些，我單位就配置了一個(gè)1G大小的Web緩存文件。

　　2、ISA協(xié)議的配置

　　在裝好程序文件后，就得配置相應(yīng)的訪問規(guī)則，這樣內(nèi)部用戶才能訪問英特網(wǎng)。其中最主要的是訪問Web協(xié)議和訪問郵件服務(wù)協(xié)議，其它象訪問FTP、QQ、NetMeeting、證券之星等程序的協(xié)議可根據(jù)實(shí)際情況來決定是否開放。

　　訪問Web協(xié)議的開放可以通過以下來完成：在ISA Management中，展開計(jì)算機(jī)，找到Access Policy/Protocol Rules/Create a Protocol Rule for internet Access，點(diǎn)擊它，一路按默認(rèn)值進(jìn)行配置，即Protocol中有FTP、FTP Download only、Gopher、Http、Https，Action為Allow，Schedule為always、Applies to為Any Request。

　　要訪問郵件服務(wù)器上的郵件就得開放與DNS相關(guān)的協(xié)議，如DNS Query、DNS Query Server、Dns Zone Transfer、Dns Zone Transfer Server四個(gè)協(xié)議。

　3、WEB服務(wù)器和郵件服務(wù)器的發(fā)布

　　要進(jìn)行WEB發(fā)布，可按以下步驟進(jìn)行：在ISA Management控制臺(tái)中，展開計(jì)算機(jī)名，找到Policy Elements/Destination Sets/Create a Destination Set，點(diǎn)擊它，在name中輸入所添加目標(biāo)的名字，最好輸好記的名字，如域名等。然后在include these destinations/add/ Destination中輸入單位網(wǎng)站網(wǎng)址。然后就OK了。接著找到Publishing節(jié)點(diǎn)。右擊Web Publishing Rules節(jié)點(diǎn)，點(diǎn)擊New，然后選Rule。在向?qū)У牡谝豁撦斎朐撘?guī)則的名字，可命名為Exeter Web，點(diǎn)Next；在目標(biāo)集合頁中，在Apply this rule to下拉框中選擇Specified destination set，在Name下拉框中選擇我們前面已經(jīng)建立好的目標(biāo)的名字，例如前面建設(shè)好的域名，點(diǎn)擊Next。在Client Type中選擇Any Reqest。因?yàn)槲覀冮_放網(wǎng)站的目的就是要讓外界所有人看，所以就選擇此項(xiàng)，再點(diǎn)擊Next，在Rule Action中可以根據(jù)不同的情況選用不同的方式，我們選用了第二種方式Redirect the request to this internal Web server(name or IP address)，在其中最好能輸入網(wǎng)站服務(wù)器的IP地址。因?yàn)槲覇挝痪W(wǎng)站放在內(nèi)部，其IP為192.168.0.3，所以我們就將其輸上。同時(shí)我們應(yīng)在下面的send the original host header to the publishing server instead of the actual one(specified above)前面的方框內(nèi)畫上勾，其下面各小項(xiàng)的值最好不要改動(dòng)，使用其默認(rèn)值。最后一頁可以看一下所有配置，如果正確就點(diǎn)擊Finish就完成了網(wǎng)站的發(fā)布。

　　郵件服務(wù)器的發(fā)布可通過以下步驟來進(jìn)行：在ISA Management中，展開Publishing節(jié)點(diǎn)，右擊Server Publishing Rules節(jié)點(diǎn)，點(diǎn)擊Secure Mail Server。在對(duì)話框中，選中Default Authentication和SSL Authentication中的所有選項(xiàng)，然后點(diǎn)擊Next，在ISA Server′s External IP addressd頁中，輸入ISA所在服務(wù)器的外部接口的IP地址，即互聯(lián)網(wǎng)上的IP地址，然后點(diǎn)擊Next。在Internal Mail Server頁中選擇At this IP address，在其中輸入內(nèi)部郵件服務(wù)器的IP地址（192.168.0.1），然后點(diǎn)擊Next。在向?qū)У淖詈笠豁摚绻覀兇_認(rèn)所有設(shè)置無誤后就可以點(diǎn)擊Finish以完成配置，系統(tǒng)自動(dòng)創(chuàng)建許多新的服務(wù)器發(fā)布規(guī)則。這樣郵件服務(wù)器就發(fā)布完成。

　　4、客戶端的安裝

　　ISA Server客戶機(jī)類型有三種：SecureNAT、防火墻客戶機(jī)、Web代理客戶機(jī)。但為了能充分利用ISA本身所具有防火墻功能，我們選用了防火墻客戶機(jī)來安裝客戶端。客戶端的安裝路徑為：\\ISA服務(wù)器名\mspclnt \setup.exe。

三、瑞星網(wǎng)絡(luò)版殺毒軟件的安裝

　　瑞星網(wǎng)絡(luò)版殺毒軟件的控制中心最好能安裝在ISA服務(wù)器即網(wǎng)關(guān)上。因?yàn)檫@樣做就可以將病毒控制在外網(wǎng)中，以致于將病毒完全隔離在外網(wǎng)，不會(huì)向內(nèi)網(wǎng)傳播。在安裝過程中，要注意系統(tǒng)控制中心的IP地址一定要設(shè)置成外部IP地址，此點(diǎn)切記。

　　在安裝好系統(tǒng)控制中心后，接著按照提示安裝好服務(wù)器端和客戶端。在服務(wù)器端的升級(jí)設(shè)置中，如果是專線的話，最好設(shè)置成在某一固定時(shí)間自動(dòng)下載升級(jí)，這樣即保證了病毒庫的時(shí)時(shí)更新，又不必需要網(wǎng)絡(luò)管理員天天去手動(dòng)下載升級(jí)。

　　要注意的是，如果郵件服務(wù)器安裝在內(nèi)網(wǎng)中，并且是用Exchange Server 2000來作為郵件服務(wù)器，同時(shí)沒有買瑞星專門針對(duì)Exchange Server 2000設(shè)置的程序的話，就得注意必須關(guān)掉網(wǎng)關(guān)（ISA服務(wù)器）和郵件服務(wù)器上的郵件監(jiān)控，即關(guān)閉郵件發(fā)送監(jiān)控和關(guān)閉郵件接收監(jiān)控。只有這樣，才能保證Exchange Server 2000郵件服務(wù)器正常運(yùn)行和客戶端正常收發(fā)郵件。

　　在安裝好所有客戶端后，要定期地在服務(wù)器上對(duì)整個(gè)網(wǎng)絡(luò)的所有計(jì)算機(jī)進(jìn)行聯(lián)網(wǎng)殺毒，徹底殺滅內(nèi)部的一些原來沒有被殺的病毒，以保證整個(gè)網(wǎng)絡(luò)的安全。

　　結(jié)束語

　　通過ISA+瑞星網(wǎng)絡(luò)版殺毒軟件在網(wǎng)絡(luò)上的配置，就使得整個(gè)網(wǎng)絡(luò)的安全大大提高，從而維護(hù)了整個(gè)網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的安全性，這對(duì)黑客的攻擊和病毒泛濫可以構(gòu)筑起一堵銅墻鐵壁來保證網(wǎng)絡(luò)的安全與正常運(yùn)行。