一、為什么要用ISA+瑞星網絡版殺毒軟件來構造安全網絡

　　自從網絡用戶連上互聯網的那一刻開始，網絡安全問題就放在了我們面前。如果不做好網絡安全防衛工作，那么就可能造成網絡內部數據被盜或丟失、網絡癱瘓、病毒泛濫等，這樣就使得網絡用戶不能正常工作。

　　安全問題是每個單位都不敢掉以輕心的，只要任何一個單位在網絡上存在，那么必須對自己進行保護，免受惡意和敵意的入侵與攻擊的傷害。伴隨著Internet的成長，黑客和黑客工具無論在數量還是質量上都逐漸發展狀大。為了解決這個問題，市面上的防火墻產品也呈爆炸性增長趨勢。但所有軟件各有千秋，其功能和價格也不一樣，因此就其實用性來說，我們選擇了ISA，因為它不但具有防火墻的功能，而且更主要的是有代理和高速緩存的功能。同時它還可以按照用戶的要求量身定做的開放相應的協議和端口，因而網絡安全就更勝一籌。同時由于瑞星殺毒軟件的強大防毒和殺毒功能，以及瑞星的時時在線升級功能，使得瑞星在殺毒方面技勝一籌，因此我們就選用了ISA+瑞星網絡版殺毒軟件來構造安全網絡。

二、ISA的安裝與配置

　　1、ISA的安裝

　　當我們買回ISA軟件后，首先應該閱讀一下軟件安裝說明，這對我們正確安裝軟件百利而無一弊。同時要特別注意ISA標準版和企業版的異同之處。ISA標準版需要安裝到一臺獨立的Windows2000服務器上，而且只能使用本地安全策略，它不需要Active Directory的支持。而企業版必需要Active Directory的支持，它同Active Directory緊密地集成在一起，它還利用Active Directory保存配置和策略信息。由于我們單位的網絡是一個中型網絡，所以我們用不著去買ISA企業版（因為企業版要比標準版貴很多），因此我們最后選用了ISA標準版。

　　在安裝ISA之前，首先要安裝好Server 2000操作系統，且保證所裝區域為NTFS格式。在裝好系統后，必須要確保所裝服務器上有兩塊網卡，并且兩塊網卡都設置好，一塊網卡配置外部IP地址，另一塊網卡配置內部IP地址。同時要配置好兩塊網卡的各自網關和DNS地址。要注意的是內部網卡的網關地址請不要填寫。同時去掉操作系統中的IIS和其它不相關的程序，只保留一個純Server2000操作系統。在做好這些基礎工作之后，就可以將ADSL專線（我單位申請的是ADSL專線）插在外部網卡上，同時在服務器上測試線路的連通信，以確保服務器現在能連上互聯網。否則得重新檢查硬件和軟件的安裝，以確保服務器必須能連上互聯網。在做好這些基本工作后就可以安裝ISA軟件了。

　　當我們把ISA光盤放入光驅之后，它會自動彈出一個界面讓用戶去選擇。首先它須確保操作系統能滿足它的安裝要求。否則用戶就得更新系統，以符合安裝要求。ISA Server有三種安裝模式：防火墻模式、高速緩存模式、綜合模式。在綜合模式下，防火墻和緩存功能會被整合到一起，以便同時利用網絡安全和Web緩存方面的功能。因此我們選用了綜合模式。

　　在安裝期間配置LAT時，必須注意要根據內部網絡實際使用的地址來配置，必須要配置正確，否則就不能正常運行。這可根據主控服務器的設置來進行配置。例如我單位在裝主控服務器時就設定了內部網絡地址為：192.168.0.0～192.168.0.255，因此我們在LAT中就填入該內部IP地址。在設置Web緩存時，最好能選擇剩余區間最大且不與程序文件同一個分區的磁盤分區，其緩存文件大小可根據實際情況來決定，但其大小最好能大一些，我單位就配置了一個1G大小的Web緩存文件。

　　2、ISA協議的配置

　　在裝好程序文件后，就得配置相應的訪問規則，這樣內部用戶才能訪問英特網。其中最主要的是訪問Web協議和訪問郵件服務協議，其它象訪問FTP、QQ、NetMeeting、證券之星等程序的協議可根據實際情況來決定是否開放。

　　訪問Web協議的開放可以通過以下來完成：在ISA Management中，展開計算機，找到Access Policy/Protocol Rules/Create a Protocol Rule for internet Access，點擊它，一路按默認值進行配置，即Protocol中有FTP、FTP Download only、Gopher、Http、Https，Action為Allow，Schedule為always、Applies to為Any Request。

　　要訪問郵件服務器上的郵件就得開放與DNS相關的協議，如DNS Query、DNS Query Server、Dns Zone Transfer、Dns Zone Transfer Server四個協議。

　3、WEB服務器和郵件服務器的發布

　　要進行WEB發布，可按以下步驟進行：在ISA Management控制臺中，展開計算機名，找到Policy Elements/Destination Sets/Create a Destination Set，點擊它，在name中輸入所添加目標的名字，最好輸好記的名字，如域名等。然后在include these destinations/add/ Destination中輸入單位網站網址。然后就OK了。接著找到Publishing節點。右擊Web Publishing Rules節點，點擊New，然后選Rule。在向導的第一頁輸入該規則的名字，可命名為Exeter Web，點Next；在目標集合頁中，在Apply this rule to下拉框中選擇Specified destination set，在Name下拉框中選擇我們前面已經建立好的目標的名字，例如前面建設好的域名，點擊Next。在Client Type中選擇Any Reqest。因為我們開放網站的目的就是要讓外界所有人看，所以就選擇此項，再點擊Next，在Rule Action中可以根據不同的情況選用不同的方式，我們選用了第二種方式Redirect the request to this internal Web server(name or IP address)，在其中最好能輸入網站服務器的IP地址。因為我單位網站放在內部，其IP為192.168.0.3，所以我們就將其輸上。同時我們應在下面的send the original host header to the publishing server instead of the actual one(specified above)前面的方框內畫上勾，其下面各小項的值最好不要改動，使用其默認值。最后一頁可以看一下所有配置，如果正確就點擊Finish就完成了網站的發布。

　　郵件服務器的發布可通過以下步驟來進行：在ISA Management中，展開Publishing節點，右擊Server Publishing Rules節點，點擊Secure Mail Server。在對話框中，選中Default Authentication和SSL Authentication中的所有選項，然后點擊Next，在ISA Server′s External IP addressd頁中，輸入ISA所在服務器的外部接口的IP地址，即互聯網上的IP地址，然后點擊Next。在Internal Mail Server頁中選擇At this IP address，在其中輸入內部郵件服務器的IP地址（192.168.0.1），然后點擊Next。在向導的最后一頁，如果我們確認所有設置無誤后就可以點擊Finish以完成配置，系統自動創建許多新的服務器發布規則。這樣郵件服務器就發布完成。

　　4、客戶端的安裝

　　ISA Server客戶機類型有三種：SecureNAT、防火墻客戶機、Web代理客戶機。但為了能充分利用ISA本身所具有防火墻功能，我們選用了防火墻客戶機來安裝客戶端。客戶端的安裝路徑為：\\ISA服務器名\mspclnt \setup.exe。

三、瑞星網絡版殺毒軟件的安裝

　　瑞星網絡版殺毒軟件的控制中心最好能安裝在ISA服務器即網關上。因為這樣做就可以將病毒控制在外網中，以致于將病毒完全隔離在外網，不會向內網傳播。在安裝過程中，要注意系統控制中心的IP地址一定要設置成外部IP地址，此點切記。

　　在安裝好系統控制中心后，接著按照提示安裝好服務器端和客戶端。在服務器端的升級設置中，如果是專線的話，最好設置成在某一固定時間自動下載升級，這樣即保證了病毒庫的時時更新，又不必需要網絡管理員天天去手動下載升級。

　　要注意的是，如果郵件服務器安裝在內網中，并且是用Exchange Server 2000來作為郵件服務器，同時沒有買瑞星專門針對Exchange Server 2000設置的程序的話，就得注意必須關掉網關（ISA服務器）和郵件服務器上的郵件監控，即關閉郵件發送監控和關閉郵件接收監控。只有這樣，才能保證Exchange Server 2000郵件服務器正常運行和客戶端正常收發郵件。

　　在安裝好所有客戶端后，要定期地在服務器上對整個網絡的所有計算機進行聯網殺毒，徹底殺滅內部的一些原來沒有被殺的病毒，以保證整個網絡的安全。

　　結束語

　　通過ISA+瑞星網絡版殺毒軟件在網絡上的配置，就使得整個網絡的安全大大提高，從而維護了整個網絡在互聯網上的安全性，這對黑客的攻擊和病毒泛濫可以構筑起一堵銅墻鐵壁來保證網絡的安全與正常運行。