【IT168专稿】网络快速发展，应用范围也越来越广，安全和性能也同样面临挑战。在保证性能和安全的前提下，如何对企业内部网络访问Internet进行很好的控制，显得非常重要。虽然通过 SYSGATE或者WINGATE等软件代理的方式，可以解决代理上网问题，但这些软件基本上在稳定性和性能上不能做到同时完美，对个只有几台客户端的小企业来说也许可以解决问题，但对于成百上千台客户端的大、中型企业来说，SYSGATE和WINGATE无论是在性能还是稳定性方面都很难满足要求。而这时寻找一款非常好的的安全性、性能都佳的代理服务器软件就成了我们网管员的责任，纵观代理软件市场，针对企业用户来说，微软的ISA（Internet Security and Acceleration）Server无疑是非常好的的解决方案。

　　一、ISA 2006安装
　　微软网站提供ISA 2006的120天评估版本，可以在http://download.microsoft.com/download/7/b/4/7b4f4c44-5f71-440f-9ea4-1bd5d4499a65/ISA2K6EVLS_CN.exe地址处下载。
　　双击下载回来的文件，安装程序会自动解压并运行。单击“安装ISA Server 2006”即可开始安装，安装过程还算简单，没有什么复杂的配置，在“内部网络”处需添加内网地址，单击“添加”按钮打开“地址”对话框进行添加。

　　在“地址”对话框中，单击“添加适配器”按钮，在打开的对话框中，选择用来连接的网络适配器，会自动添加当前网卡地址所在的IP地址段，如果有更多的网络地址需要使用ISA进行代理上网，可单击“添加专用地址”或“添加范围”按钮进行添加（如图1）。

图1

　　如果在内网中，有客户端机器上安装有Firewall Client 4.0之前的版本，而此时又不想对客户端的防火墙客户端进行升级，则在“防火墙客户端连接”这一步需要勾选“允许不加密的防火墙客户端的连接”（如图2）。

图2

　　击“下一步”按钮，完成安装向导的前期设置部分，单击“安装”按钮进行安装。在安装向导的最后一步，单击“完成”按钮完成ISA Server 2006的安装。
　　服务器端安装好以后，在各终端用户上需要安装客户端程序，客户端安装比较简单，安装完毕之后，指定一下服务器的IP地址就行了。

　　二、网络访问要提速

　　ISA安装完成后，还只是完成了第一步工作，需要根据的需要进行相应的设置，只有进行合适的设置之后，才能更好的为本企业服务。

　　网速慢是企业内部常有的声音，除了因为同时上网的人多外，一部分员工在线看电影等占用带宽大的应用也是一方面。ISA提供WEB缓存的功能，即访问过的网页（如A用户刚刚访问Sohu的首页）存放在服务器端的缓存文件中，过了一会，B用户又访问Sohu的首页，ISA会对访问的链接进行判断，发现这个页面是刚刚访问过的，并且内容就存放在缓存文件中，因此从缓存中提取内容传送给终端用户，这样对于终端用户来说，因为是从内网中读取的网页内容，速度当然要快很多。也就是说通过合理的配置缓存可以间接为网络提速，一般是根据企业规模的大小来进行设置，缓存设置太大也不好，缓存中存放的内容太多，ISA每次都要从中索引，也会浪费时间。

　　运行“ISA服务管理器”，依次展开服务器，配置，单击“缓存”，在右侧“缓存驱动器”下方，双击驱动器，在打开的对话框中，选择存放缓存的分区，在“最大缓存大小（MB）”后面的文本框中输入缓存的大小，单击“设置”按钮设置缓存，最后单击“确定”按钮，最后单击“应用”按钮应用设置（如图3）。

图3 

　　除了缓存功能外，ISA为了提高访问速度，还提供了计划下载的功能，同样在“缓存”的“内容下载作业”标签中，可以设置计划更新缓存中内容的时间，从而定期更新缓存中的内容。

　　三、设置防火墙策略

　　为了防止一些用户上班时间在线看电影等，可以设置相应的防火墙策略，禁止类似的访问。右键单击“防火墙策略”，在弹出的快捷菜单中选择“新建→访问规则”（如图4）。接下来为访问规则输入一个名称，如这里的“Deny Realmedia”。

图4

　　在协议对话框中，单击“添加”按钮，在弹出的“添加协议”对话框中选择流媒体中的协议类型，单击“添加”按钮进行添加，添加结束后单击“关闭”按钮回到“协议”对话框（如图5）。

图5

　　在“访问规则源”对话框中，单击“添加”按钮指定访问来源，这里选择“内部”，表示所有内部进行的一些流媒体的访问。在“访问规则”目标对话框中指定访问的目标，这里当然是选择“外部”网络了（如图6）。

图6

　　在“用户集”对话框中，设定“所有用户”，如果企业内部有特殊要求的，就需要对用户端进行一下细分了。最后一步，单击“完成”完成防火墙策略的创建。

　　至此防火墙策略创建完成，这里只是一个简单的例子，ISA可以创建很复杂的策略，并且支持策略叠加，通过策略之间的交叉，可以进行很详细的控制。

　　四、对客户端要严查狠打
　　除了设置防火墙策略进行一些应用的过虑外，还有必要对客户端进行一些限制，以免部分用户不“守法”，使用BT软件下载，狂占带宽，虽然通过封锁端口的方法可以禁用BT等P2P软件，但也会影响一些常规应用。单击“配置”下方的“常规”，单击中间最下方的“配置淹没缓解设置”，在打开的“淹没缓解”对话框中，可以设置每个IP地址的连接请求数以及并发连接数(如图7)。

图7

　　五、小结
　　ISA从2004版本开始，功能就已经非常强大，这次2006在性能和安全性有了更大的提升，通过合理的配置防火墙策略，可以对内网代理上网进行很好的管理。本文只是举了几个简单的策略设置，希望这里的策略设置能取到一个抛砖引玉的作用，大家在实际使用ISA的过程中，不断摸索，将ISA的强大功能发挥到极致。