关键词：ISA代理服务器、网关、局域网

    企业中的每台电脑如果要上网，可以在每台电脑上都安装Modem，然后通过电话线连入Internet， 更普遍的是通过企业的宽带来共享上网，但无论采用何种方式都不安全，黑客可以通过任何一台机 子直接入侵整个企业网。为了提高网络的安全性，同时也为了很好的管理内部网络用户，可以通过代理服务器（Proxy      Server）连入Internet，使每台工作站都可以通过代理服务器连上Internet，同时对内部的上网机子进行监督和管理。
    本章主要讲述了几个 Windows平台下的常用代理服务器的配置，微软的 ISA   2000 Server、 SYGATE 以及WinGate 的安装与配置。
    1．了解代理服务器的原理和作用。
    2．掌握用ISA 2000 Server 配置代理服务器。
    3．了解Sygate 的配置和使用。
    4．掌握WinGate 的配置和应用。

                      第一节  代理服务器的概述

    一、代理服务器的功能
    代理服务器是Intranet 基本应用服务器中的一种，它的主要功能有：
     （1）设置用户验证和记录，可按用户的访问时间、访问地点、信息流进行统计，没有登记的用
户无权通过代理服务器访问Internet。
     （2 ）对用户进行分级管理，设置不同用户的访问权限，对外界或内部的Internet 地址进行过滤。
     （3）增加缓冲器（Cache），提高工作站访问Internet 速度，对经常访问的地址创建缓冲区，大大提高了热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区（高达几个 GB），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。
     （4 ）连接Internet 与Intranet，充当防火墙。因为所有内部网的用户通过代理服务器访问外界时，只映射为一个 IP  地址，所以外界不能直接访问到内部网。同时可以设置 IP  地址过滤，限制内部网对外部的访问权限。
     （5）节省IP 开销。所有用户对外只占一个IP 地址，所以不必租用过多的IP 地址，降低了网络
维护成本。

    二、代理服务器的工作原理
    代理服务器的工作原理很像我们经常见到和提及的代理服务商，假如您的机器为A 机，您想要
获得 C 机上的数据（如访问 Internet 上的一个服务器）代理服务器为 B 机，那么具体的实现过程如下：

    首先，A 机需要 C 机的数据 （如C 机的IP 地址和服务类型），它与B 机建立连接，B 机接收到A 机的数据请求后，与C 机建立连接，下载A 机所请求的 C 机上的数据到本地，再将此数据送至A机，完成代理服务。实际上代理服务器完成的任务远比这复杂，提供的功能也多得多。代理服务犹 如一个屏障，它容许向Internet 发送请求并且接收信息，但禁止未授权用户的访问。目前通过代理方式可以支持绝大部分的Internet 应用，从一般的WWW 浏览到RealAudio、NetMeeting 等都可以通过代理方式来实现，而且目前新开发的代理服务器软件已经可以支持对Novell 用户的代理服务。
    代理服务通常由两部分组成，即服务器端程序和客户端程序，用户运行客户端程序时先登录至
代理服务器（这种登录是透明的，没有显式的登录），再通过代理服务器就可以访问相应的站点。

               第二节  ISA 2000 Server 的配置

     在Windows平台下ISA   （Internet Security and Acceleration Server）从代理服务器这个角度来讲其功能应该是最强大的。它在MS proxy 2.0 的基础上修补了许多安全性及缓存上的缺陷，提供了更快速、更安全、更直观易于管理的系统。并整合了企业级的防火墙系统及高性能的缓存机制——也就是说，这款软件不仅仅再是一个代理软件了，它还充当了一个“防火墙”的功效。 
    那么 ISA能够提供给大家哪些服务呢？下面对其所能提供的服务作一个简单的介绍。 
    1．多层防火墙安全  
    防火墙可以通过各种方法增强安全性，包括数据包筛选、电路层筛选和应用程序筛选。高级的
企业防火墙，如  ISA Server   所提供的那一种，综合了所有这三种方法，在多个网络层提供保护，为企业提供最低的投入的基础上得到最高的回报。
    2．状态检测 
    状态检查通过防火墙的协议环境中的数据以及连接的状态。在数据包层，ISA Server检查在  IP 消息头中指明的通信来源和目标，以及在标识所采用的网络服务或应用程序的TCP或  UDP 消息头中的端口。
    动态数据包筛选器能够使窗口的打开只响应用户的请求，并且打开端口的持续时间恰好满足该
请求的需要，从而减少与打开端口相关的攻击。ISA   Server可以动态地确定，哪些数据包可以传送到内部网络的电路层和应用程序层的服务。管理员可以配置访问策略规则，以便只在允许的情况下自动打开端口，然后当通信结束时关闭端口。这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的安全性，使问题较少发生。
    3．集成的入侵检测 
    ISA Server 利用一家名为 Internet Security Systems 的公司所提供的技术，提供帮助管理员识别诸如端口扫描、WinNuke      和 Ping of Death 之类的常见网络攻击的这种服务。并且ISA 能够自动对其作出响应。这项技术给  ISA Server  提供了能识别此类攻击的集成入侵检测机制。当识别出这种攻击时，警报还能同时指出  ISA Server  应采取什么行动，这些行动可包括向系统管理员发送电子邮件或寻呼，停止  Firewall   服务，写入到系统事件日志，或运行任何程序或脚本。
    4．高性能 Web 缓存 
    ISA   Server 对  Web 缓存进行了彻底的重新设计，使它可以将缓存放入  RAM              中——我知道现在很多的使用 WINGATE       的用户都希望能够得到这种缓存解决方案。这种高性能的  Web缓存可提供更强的后端可伸缩性，并提供了更快的  Web客户机总体响应时间。这对于企业内部来说尤其重要，因为员工需要快速访问  Web内容，而企业也需要适当的节省网络带宽。这种高速的 Web 缓存正能够满足您的这种需要。
    5．缓存阵列路由协议 
    ISA Server 使用了缓存阵列路由协议（Cache Array Routing Protocol，CARP）。因此您可以通过多台  ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。
    6．活动缓存 
    通过一个叫做活动缓存的功能，可配置  ISA Server  使其自动更新缓存中的对象。使用这种功能，ISA   Server 可通过主动刷新内容来优化带宽的使用。通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。
    7．统一管理 
    ISA Server 利用基于  Windows 2000 的安全性，Active Directory 服务、VPN 和  Microsoft 管理控制台（MMC，Microsoft   Management   Console）。所有这些功能，特别是  MMC，会使得管理更容易，因为操作人员熟悉它，并可从一个控制台同时管理防火墙和Web缓存。
    8．企业策略和访问控制 
ISA   Server 还支持创建企业级和本地阵列策略，用于集中实施或本地实施。ISA Server可作为独立服务器安装或作为阵列成员安装。为便于管理，各个阵列成员都使用相同的配置。对阵列配置进行修改时，阵列中的所有  ISA Server  计算机也都将得到修改，包括所有访问和缓存策略。
    本节从安装到基本的配置以及部分高级的应用与管理都作了一个简洁明了的介绍。所讲的内容
均是针对企业实际应用为主。在本节讲解中将在 “general-no-1”（192.168.0.1）这台机子上配置代理服务器。操作系统环境是Windows 2000 Server 。

    一、安装ISA 2000 Server
    1．安装条件 
     （1）安装两块网卡
    安装ISA 代理服务的机子应安装两块网卡，一块用于联接Internet，我们估且称之为外网卡；另一块用于联接内部局域网称之为内网卡。在外网卡上应设定由 ISP 提供的静态 IP 地址和 DNS 服务器地址，以及相应的网关。而内网卡上分配内部网上的IP 地址。
     （2 ）操作系统
    ISA 2000 Server 只能安装在Windows 2000  Server、Windows 2000 Advanced Server 和Windows 2000 Datacenter Server 上。

    （3）需打上SP1 补丁或更高版本。

   ISA 在Windows 2000 上安装，还必须先给操作系统打上Windows 2000 Service Pack 1 或更高版本，如图7-64 所示。如果没有打上，可以 ISA 正版光盘中的“\Support\Windows2000_SP1”找到。

    （4）准备至少一个 NTFS 分区

   由于ISA 的Cache  （缓存）需要存放在 NTFS 格式的磁盘中，所以需要有一个 NTFS 格式的分区用来存放它，但 ISA 安装并不一定要安装在 NTFS 格式的分区中。

直流调速器维修：http://www.ynpax.com/cn/products/index.asp?classid=334

工控电路板维修：http://www.ynpax.com/cn/products/index.asp?classid=330

触 摸 屏 维 修：http://www.ynpax.com/cn/products/index.asp?classid=333

变 频 器 维 修：http://ynpax.com/cn/products/index.asp?classid=331

伺服控制器维修：http://ynpax.com/cn/products/index.asp?classid=352

仪器  仪表维修：http://www.ynpax.com/cn/products/details.asp?id=157

                 ——云南兆富科技有限公司

维修咨询电话 ：0871 - 67322300  67322190

                      13095328257