1、安装ISA　教材编号：2159 第2章
2、配置internet访问　教材编号：2159 第3章
3、配置访问策略　教材编号：2159 第4章
4、利用缓存提高internet访问速度　教材编号：2159 第5章

讨论：实践案例讨论

微软2003专题十一：安装和配置ISA外出通讯(20070529)在线专题授课音频

如何 配置防火墙客户和Web代理客户的直接访问？

　　防火墙客户在访问非本地网络时，默认会将所有TCP/UDP数据直接发送到ISA防火墙，由ISA防火墙进行处理；而Web代理客户则会将Web流量（HTTP、HTTPS、基于HTTP隧道的FTP）直接发送至ISA防火墙，再通过ISA防火墙进行访问。

　　但是，有时防火墙客户和Web代理客户的访问通过ISA防火墙中转会出现问题，最常见的场景就是回环访问。防火墙客户或者Web代理客户通过ISA防火墙回环访问位于和自己相同本地网络中的服务，此时，你应该配置防火墙客户和Web代理客户的直接访问，即跳过ISA防火墙直接进行访问。
　
ISA防火墙客户和防火墙客户端配置

　　如果你安装了ISA 2004的防火墙客户端软件，那么客户对非本地网络的访问就会通过ISA防火墙，除了你特别进行了指定。你可以在客户端计算机或者ISA防火墙上进行指定。如果在客户端计算机上进行指定，则是通过直接修改客户端计算机上的LocalLAT.txt文件来实现。此文件定义了防火墙客户端认为是本地网络的地址，并且在访问包含在此网络中的网络地址时，不会通过ISA防火墙。在此我以跳过ISA防火墙访问10.10.5.X为例对此文件进行修改。

　　1. 登录到安装有防火墙客户端的客户端计算机；
　　2. 打开C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004目录，新建一个文本文件，名为LocalLAT.txt； 　
　　3. 双击此文件使用记事本打开，在此文件中添加IP地址范围，按照以下格式添加：起始IP地址 结束IP地址。在此我添加为10.10.5.1 10.10.5.255，保存此文件后退出。
　　4. 然后重启Firewall Client Agent服务。

　
　　此时，你就可以发现发送到10.10.5.X网络的通讯就没有再通过ISA防火墙了。防火墙客户端软件发现LocalLAT.txt文件后，从中读取IP地址范围，然后把它们当做是内部网络。你也可以针对某个IP地址跳过访问，但是必须在LocalLAT.txt中输入地址范围的形式。
而在ISA防火墙上指定是通过修改网络属性进行，操作步骤如下所示： 1. 打开ISA管理控制台，依次展开配置下的网络；
2. 右击内部网络，然后点击属性；
3. 点击域标签，然后点击添加；
4. 输入你想跳过ISA防火墙访问的域名，然后点击确定； 　
6. 在内部网络属性对话框上点击确定；
　
　　这样，当防火墙客户端访问上述定义的域名集时，会跳过ISA防火墙直接进行访问。 　
　
允许直接访问和跳过Web代理

　　上述配置只是针对防火墙客户端，如果你的客户是Web代理客户，则不会受到它们的影响。为了让Web代理客户跳过ISA防火墙直接进行访问，你必须执行以下步骤：

　　1、启用Web代理客户代理服务配置中的自动检测设置或者使用自动配置脚本； 　
　　2、在ISA防火墙中配置Web代理客户的直接访问，操作过程如下所示：

　　·打开ISA管理控制台，依次展开配置下的网络；
　　·右击内部网络，然后点击属性；
　　·点击Web浏览器标签，勾选为此网络中的Web服务器跳过代理服务，此选项将让此网络中的Web代理客户在访问本地网络中的Web服务时跳过ISA防火墙；
　　·勾选直接访问在域中指定的计算机选项，点击添加按钮；
　　·输入IP地址范围或者域名，点击确定；
　　·在内部网络属性对话框上点击确定；
　
　　此时，针对Web代理客户的直接访问就配置好了。更为详细的信息，请参见配置直接访问的站点：第一部分 配置Web代理客户的直接访问和配置直接访问的站点：第二部分 配置防火墙客户和服务发布环境下的直接访问。

访问规则和服务发布规则的区别

　　当你想要允许某个网络的客户访问另外一个网络的某个服务时，你可以通过访问规则或者服务发布规则（包含Web服务器发布规则、安全Web服务器发布规则、邮件服务器发布规则、服务器发布规则四种）来允许，但是访问规则和服务发布规则之间的区别是什么呢？

　　微软在KB837863 “Differences between server publishing rules and access rules in ISA Server 2004”中描述的过于简单，访问规则和服务发布规则之间的区别在于：

　　对于访问规则：
　　· 只适用于网络之间具有路由网络关系或正向NAT关系（源网络到目的网络为NAT）的网络间的访问；
　　· 一个访问规则可以允许到多个服务器的访问；
　　· 在访问规则中只应使用出站协议定义客户所访问的服务；
　　· 用户只能访问协议中所定义的端口；
　
　　对于服务发布规则：
　　· 适用于源网络和目的网络之间具有路由网络关系或者NAT网络关系的网络间的访问。只是根据网络关系的不同，服务发布规则侦听的IP地址不同。在目的网络到源网络具有NAT网络关系的情况下，服务发布规则侦听的IP地址是ISA防火墙上连接源网络的网络接口的IP地址；而在源网络和目的网络之间具有路由网络关系或者NAT网络关系的的情况下，服务发布规则侦听的IP地址是被发布的服务器的IP地址；
　　· 一个发布规则只能允许到一个服务器的访问；
　　· 服务发布规则中只能使用入站协议定义所发布的服务；
　　· 通过服务发布规则，你可以通过修改服务发布规则的属性轻松的实现端口转换，并且许多内建的应用层过滤器或其某些特性只能通过服务发布规则实现，例如SMTP过滤器和Web代理过滤器的链接转换功能，就只能通过服务发布规则实现；
　　· 服务器应配置为SNAT客户；如果服务发布规则的到属性中配置为“使请求显示为来自初始客户端”，那么服务器应该配置ISA防火墙为其默认网关。

配置ISA Server计算机网络适配器的TCP/IP设置

　　前言：这篇文章和“ISA防火墙优化方法及使用技巧（第一部分）”是Wool-cool建议我翻译的，因为他希望通过这两篇文章，来减少论坛中出现的初级问题。但是我从来不觉得这些初级问题的出现是因为技术资料的缺乏，我认为这更多的是自学能力的缺乏。其实论坛出现的很多问题，都是可以在网站上找到相应的技术资料的。我们希望授人以渔，而非授人以鱼，也希望大家能够擅于利用网站和论坛的搜索功能。

　　在这篇文章中，Jim介绍了如何正确的配置ISA Server计算机网络适配器的TCP/IP设置。这个配置不仅仅是适用于ISA Server，也适合于所有的路由级软件防火墙。
　
　　在你安装ISA防火墙之前，你需要正确的配置这台服务器计算机的网络属性，这对ISA防火墙的运行至关重要。因为ISA防火墙的防火墙服务和系统的TCP/IP驱动工作在相同的层次，错误的配置将可能导致你的ISA防火墙不能正常运行。

　　在这篇文章中我将通过一个简单的ISA防火墙计算机的配置进行介绍并对每一步骤加以说明，我假设了一个这样的网络环境：
　　· 你拥有一台ISA防火墙，它具有两个网络适配器，一个连接到你的内部网络，并且另外一个连接到Internet。从安全上考虑，我们现在将连接到Internet的网络适配器 从物理上断开，直到配置完成后才连接到Internet；
　　· 你可以访问内部或外部的DNS服务器解析Internet域名，你的内部网络中的客户通过内部网络中的DNS服务器来解析Internet名字；
　　· 你已经了解网络适配器所需要的TCP/IP配置；
　　· 你对Windows 2000网络具有基本的了解；
　　· 防火墙的网络适配器通常改名为“North”和“South”，分别代表Internet和内部网络，在此我也按照这种方式进行命名。
　
　　配置网络适配器顺序