終於在上週完成,也發現原來Microsoft ISA Server 2006跟Nod32 3.0的Server端衝突。
只要移除了Nod32 Server就可以解決所有問題了... ;-)
接下來再來貼圖敘述安裝的歷程~~
主機:Xeon 3.0GHz x1 / 512MB x4 / 36GB x3 / one Network Card
公司需求:已有對外的Fortinet Firewall,故只是拿ISA Server來取代我們原本的Proxy 2.0,作WebFilter之用。公司政策:web白名單:全公司同仁都可觀看的網頁(政府機關、學校、往來廠商、往來客戶)
特殊可上網清單:僅有公司內主管與幾位經過申請核准的同仁,可以無限制瀏覽所有網頁
使用軟體:Microsoft ISA Server2006 std. (試用版180天)
架構:ISA與其他電腦都在同一層區網內
安裝步驟就不截圖,因為真的很簡單的下一步...XD
中間有一步驟是區分內部與外部網路設定,因為此安裝是單一網卡,故址選擇內部網卡即可!
| 寄件者 ISA Server 2006 |
全部安裝好後,最優先要設定的是讓本機可以連外,第3條
| 寄件者 ISA Server 2006 |
| 寄件者 ISA Server 2006 |
| 寄件者 ISA Server 2006 |
| 寄件者 ISA Server 2006 |
4.到內部:因為此ISA只有單一網卡,所以內部=區域網路,也等於外網了...
p.s.如果要開放區網連外,可以增設一條從內部到內部,某個通訊服務開啟即可
| 寄件者 ISA Server 2006 |
5.使用者:可以選擇所有使用者,也可以新增自己建立的,或是ISA有加入網域,也可以新增AD帳號作認證(推薦)
 |
| 寄件者 ISA Server 2006 |
6.與AD帳號作連結,可以匯入AD的使用者或是群組
==================設定好本機連外分隔線
接下來,是為了一些Server在機房,而不想去機房吹冷氣冷到死,或是站到腳酸死的人開放的權限~
 |
| 寄件者 ISA Server 2006 |
1.規則套用:RDP(終端機服務)
| 寄件者 ISA Server 2006 |
| 寄件者 ISA Server 2006 |
3.到本機主機:指區網連接到ISA Server
| 寄件者 ISA Server 2006 |
================設定好遠端桌面連線分隔線
接下來就是設定公司的黑白名單組了...
因為我們公司比較嚴格管制,所以只容許員工可以上某些網站(公司有往來的,或是民生必須的政府網站)
| 寄件者 ISA Server 2006 |
 |
| 寄件者 ISA Server 2006 |
因為URL組是檢查字母,"*"代替任何字元
a.開放"*.google.com"等於開放了
"translate.google.com" or "maps.google.com" or "picasaweb.google.com"
b.開放"www.google.com" 僅限縮為網站的www主機
而網址後面的變化,則不受限制 ex:"www.google.com.tw" or "maps.google.com/taiwan...."
| 寄件者 ISA Server 2006 |
================新增完白名單or黑名單的分隔線
接下來為允許白名單或阻擋黑名單連線設定
前面已敘述過防火牆規則的新增法,以下將無截圖
1.新增白名單URL防火牆原則
2.動作:允許
3.通訊協定:"http" and "https"這樣可限制此條件僅可允許白名單的連線僅止於此兩種服務,其餘依舊阻擋
4.從:內部(區域網路)
5.到:白名單URL組(前面所新增的URL組)
6.使用者:可選全部使用者(則任何人只要接上區域網路透過ISA都可上白名單網站,選擇AD帳號,則需要登入AD才可連線白名單。
==================設定完成允許白名單的分隔線
黑名單設定法
1.新增黑名單URK防火牆原則
2.動作:阻擋
3.通訊協定:同上
4.同上
5.黑名單URL組
6.使用者:可選擇全部使用者
==================設定完成阻擋黑名單的分隔線
0 意見:
張貼留言