ISA2006标准版的常规安装和无人值守安装

　　ISA2006(Internet Security and Acceleration)是微软公司推出的一款重量级的网络安全产品，被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能，在企业中有着广泛的应用。从今天开始的一系列课程中我们将陆续介绍ISA的管理和使用技巧，内容重点是访问控制，服务器发布和VPN三部分。今天我们从ISA2006的部署开始介绍。

　　ISA2006分为标准版和企业版，两种版本的结构和功能都存在一定差异。标准版部署起来相对容易，适合中小企业使用，也适合ISA爱好者的入门学习;企业版由于引入了配置存储服务器，部署起来有一定难度，我们将它放在后期课程中介绍。

　　今天我们准备给大家分别介绍ISA2006标准版的常规安装和无人值守安装。拓扑如下图所示，服务器Beijing有两块网卡，内网网卡的IP地址为10.1.1.254，外网网卡的IP地址为192.168.11.254。Beijing的操作系统为Win2003SP1，准备安装ISA2006作为企业的边缘防火墙。

　　ISA2006的安装要求如下：

　　带有 Service Pack 1 (SP1) 的 Microsoft Windows Server™ 2003 或 Microsoft Windows Server 2003 R2 操作系统。

　　256 MB 内存。

　　150 MB 可用硬盘空间。这是专门用于缓存的硬盘空间。

　　至少两块网卡(如果只有一块网卡，只能安装成缓存服务器)。

　　一个采用 NTFS 文件系统格式的本地硬盘分区。

　　安装ISA2006的服务器上不能有进程占用80和8080端口。

　　一 ISA2006标准版的常规安装

　　在Beijing上放入ISA2006的安装光盘，如下图所示，启动ISA2006的安装程序，点击“安装ISA Server 2006”。

　　出现ISA2006的安装向导，选择“下一步”。

　　同意软件许可协议，选择下一步。

　　输入用户名，单位及序列号等参数后，来到安装类型界面，如下图所示，选择自定义安装。

　　选择ISA2006的安装组件，从下图可知，只有ISA服务器和ISA服务器管理两个组件。有ISA2004经验的管理员要注意，ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持，消息筛选被Forenfront取代，ISA客户端共享需要用手工共享的方法实现。

　　接下来设置内网的地址范围，点击“添加”按钮。顺便提一下，这个参数很重要，因为在ISA中网络是防火墙策略中最基本的一个考虑因素，具体我们回头再说。

　　设置内网范围时，点击“添加适配器”，如下图所示，选择与内网相连的网卡，点击确定。这里建议大家最好把ISA上的网卡根据实际连接情况命名为内网，外网，外围等，以方便后续使用。

　　根据我们提供的网卡，ISA将内网的地址范围设置为10.1.1.0-10.1.1.255，点击确定。

　　安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000之前的防火墙客户端，ISA2000之后的防火墙客户端支持数据加密，安全性更好，由于在实验环境中不需要使用早期防火墙客户端，因此我们不用勾选“允许不加密的防火墙客户端连接”。

　　安装程序警告我们在安装过程中有些服务会重新启动，选择“下一步”。

　　完成了参数设置，终于开始安装了。

　　如下图所示，点击“完成”，结束了ISA2006的常规安装。

　　至此，我们完成了ISA2006的常规安装。安装过程并不复杂，相信大家都可以完成，难的地方在后面的管理部分，慢慢来吧。

　　二 ISA2006标准版的无人值守安装

　　ISA2006的无人值守安装原理是很简单的，常规安装时我们通过交互方式输入安装参数，无人值守时只需事先将安装参数写到答案文件中，然后让ISA的安装程序从答案文件中获取参数就可以了。因此我们实现ISA2006的无人值守只需要注意两点：

　　1) 如何创建答案文件

　　2) 如何让安装程序调用答案文件

　　先解决第一个问题。ISA2006的安装光盘中有一个无人值守答案文件的示例，如下图所示，在ISA2006的安装光盘\FPC\Unattended_Setup_Sample\Standard_Edition目录下，有一个msisaund.ini文件，这就是示例文件。我们只要对示例文件进行简单修改，就可以满足我们无人值守安装的需求。

　　打开模板文件看看，如下图所示，文件中有各种参数的解释。如果觉得E文看起来很吃力，我们可以在ISA2004标准版的安装光盘中找到\FPC\msisaund.ini，这个文件是ISA2004无人值守安装的示例文件。

　　打开ISA2004的示例文件，内容和ISA2006基本相同，但帮助是中文的，呵呵，这回E文不好的兄弟可以好好参考一下了。

　　将光盘中的msisaund.ini复制到C:\，然后对文件中的内容进行修改，我们就可以创建自己的ISA2006无人值守答案文件了。修改后的内容如下图所示，原文件中以分号开头的内容为注释，我们就不保留了。

　　对答案文件中的内容解释一下：

　　IDKEY=××××××××××××……
      这里应该填写25位长度的产品序列号

　　INTERNALNETRANGES=1 10.1.1.0-10.1.1.255
      设置内网的地址范围，1代表只有一个地址范围，10.1.1.0-10.1.1.255是具体的范围内容

　　SUPPORT_EARLIER_CLIENTS=0
      不允许早期的防火墙客户端连接

　　INSTALLDIR=C:\Program Files\Microsoft ISA Server
      ISA2006的安装目录为C:\Program Files\Microsoft ISA Server

　　COMPANYNAME=ITET
      公司名称为ITET

　　ADDLOCAL=ALL
      安装所有组件

　　其实ISA2006无人值守安装还有一个很实用的功能，可以导入防火墙策略的XML配置文件，这样ISA安装完毕后，配置也就完成了，非常方便。语法是：

　　IMPORT_CONFIG_FILE=配置文件名

　　设置好答案文件后，我们就要考虑如何让ISA的安装程序调用这个答案文件了。我们在Beijing上输入D:\FPC\setup.exe /v"/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\""，如下图所示，这样安装程序就会将C:\MSISAUND.INI作为ISA2006的无人值守答案文件了。

　　ISA2006的安装开始启动了，如下图所示，整个安装过程无需用户参与。

　　安装完毕后，打开ISA2006管理器，如下图所示，安装已经顺利完成。

　　至此，我们完成了ISA2006标准版的部署，在下次课程中，我们将介绍ISA2006的三种客户端。

　　本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/82518