如何将 ISA 服务器计算机配置为 DHCP 服务器

将 ISA 服务器计算机配置为 DHCP 服务器

概述

在某些配置中，您可能想在一台 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文档将设法解决您在配置这样一个方案时可能会遇到的问题。

创建 DHCP 规则

默认情况下，当您在一台 DHCP 服务器上安装 ISA 服务器时，DHCP 服务器不会对请求做出响应。要使 DHCP 服务器运行，您需要创建下列规则：

一条允许从 DHCP 客户端所在的网络向本地主机网络发送 DHCP 请求的规则。

一条允许从本地主机网络向 DHCP 客户端所在的网络发送 DHCP 答复的规则。

允许 DHCP（请求）协议

在此过程中，DHCP 客户端位于内部网络中。要允许 DHCP（请求）协议，请执行以下步骤。

1.在“ISA 服务器管理的“防火墙策略节点中，右键单击“防火墙策略，指向“新建，然后单击“访问规则。

2.在“新建访问规则向导中，为该规则键入一个名称。例如：允许 DHCP 请求。然后，单击“下一步。

3.在“规则操作页上，单击“允许。然后，单击“下一步。

4.在“协议页上，在“此规则应用于中，单击“所选的协议。然后单击“添加。

5.在“添加协议中，在“所有协议部分单击“DHCP（请求）。单击“添加，单击“关闭，然后单击“下一步。

6.在“访问规则来源页上，单击“添加。

7.在“添加网络实体中，在“网络部分单击“内部。单击“添加，单击“关闭，然后单击“下一步。

8.在“访问规则目标页上，单击“添加。

9.在“添加网络实体中，在“网络部分单击“本地主机。单击“添加，单击“关闭，然后单击“下一步。

10.在“用户设置页上，默认情况下“所有用户已选中。单击“下一步，然后单击“完成。

允许 DHCP（答复）协议

在此过程中，DHCP 客户端位于内部网络中。要允许 DHCP（答复）协议，请执行以下步骤。

1.在“ISA 服务器管理的“防火墙策略节点中，右键单击“防火墙策略，指向“新建，然后单击“访问规则。

2.在“新建访问规则向导中，为该规则键入一个名称。例如：允许 DHCP 答复。然后，单击“下一步。

3.在“规则操作页上，单击“允许。然后，单击“下一步。

4.在“协议页上，在“此规则应用于中，单击“所选的协议。然后单击“添加。

5.在“添加协议中，在“所有协议部分单击“DHCP（答复）。单击“添加，单击“关闭，然后单击“下一步。

6.在“访问规则来源页上，单击“添加。

7.在“添加网络实体中，在“网络部分单击“本地主机。单击“添加，单击“关闭，然后单击“下一步。

8.在“访问规则目标页上，单击“添加。

9.在“添加网络实体中，在“网络部分单击“内部。单击“添加，单击“关闭，然后单击“下一步。

10.在“用户设置页上，默认情况下“所有用户已选中。单击“下一步，然后单击“完成。

排序 DHCP 请求规则

DHCP 请求目标是一个广播地址。ISA 服务器不会对广播通讯执行名称解析，而会拒绝这种通讯。如果有一条允许或拒绝规则匹配 DHCP 请求并要求进行名称解析，并且此规则在规则顺序中高于您所创建的 DHCP 请求规则，则 DHCP 通讯可能会被拒绝。

要求进行名称解析的'规则在目标（至）条件中包含一个域名称集或一个 URL 集。请注意，如果在此规则中有其他不匹配 DHCP 请求的条件，就不会发生冲突。

为避免冲突，应确保您配置的允许 DHCP 请求的规则在规则排序中高于其他任何匹配 DHCP 请求的、使用名称解析的规则。从下面的例子中可以看出此原则。

此规则将不会生效：

1.拒绝所有来自 www.attack.com 的协议

2.允许从内部向本地主机发送的 DHCP 请求

　 　此规则将会生效：

1.拒绝来自 www.attack.com 的 HTTP 协议

2.允许从内部向本地主机发送的 DHCP 请求

此规则将会生效：

1.允许从内部向本地主机发送的 DHCP 请求

2.拒绝所有来自 www.attack.com 的协议

　

是微软公司的产品，全名叫Internet Security and Acceleration,

ISA 服务器Microsoft® Internet Security and Acceleration (ISA) Server 2004 是可扩展的企业防火墙以及构建在 Microsoft Windows Server™ 2003 和 Windows® 2000 Server 操作系统安全、管理和目录上的 Web 缓存服务器，以实现基于策略的网际访问控制、加速和管理。

Internet 为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要。ISA 服务器提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server 2004 Web 缓存使得组织可以通过从本地提供对象（而不是通过拥挤的 Internet）来节省网络带宽并提高 Web 访问速度。

无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA 服务器都提供了有助于简化安全和访问管理的统一管理控制台。ISA 服务器为 Windows Server 2003 和 Windows 2000 Server 平台而构建，它通过强大的集成式管理工具来提供安全而快速的 Internet 连接。

ISA 服务器概述Microsoft® Internet Security and Acceleration (ISA) Server 2004 提供安全、快速和可管理的 Internet 连接。ISA 服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的 Web 缓存。它构建在 Microsoft Windows Server™ 2003 和 Windows® 2000 Server 安全和目录之上，以实现基于策略的网际安全、加速和管理。

确保 Internet 连接的安全性

将网络和用户连接到 Internet 会引入安全性和效率问题。ISA Server 2004 为组织提供了在每个用户的基础上控制访问和监视使用的综合能力。ISA 服务器保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。

ISA 服务器是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络 (VPN)、系统坚固、集成的入侵检测、智能的第 7 层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等方法，增强安全性。ISA Server 2004 可实现下列功能：

保护网络免受未经授权的访问。

保护 Web 和电子邮件服务器防御外来攻击。

检查传入和传出的网络通讯以确保安全性。

接收可疑活动警报。

快速的 Web 访问

Internet 提高了组织的工作效率，但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2004 缓存通过提供本地缓存的 Web 内容将性能瓶颈控制在最少，并节省网络带宽。ISA 服务器可实现下列功能：

通过从 Web 缓存（而不是拥挤的 Internet）提供对象来提高用户的 Web 访问速度。

通过减少链路上的网络通讯来减少 Internet 带宽成本。

分布 Web 服务器内容和电子商务应用程序，从而有效地覆盖了全世界的客户并有效地控制了成本。

从 ISA 服务器 Web 缓存中提供常用的 Web 内容，并将节省出来的内部网络带宽用于其他内容请求。

统一管理

通过组合防火墙和高性能的 Web 缓存功能，ISA Server 2004 提供了有助于降低网络复杂度和减少成本的公共管理基础结构。ISA 服务器与 Windows Server 2003 和 Windows 2000 紧密集成，从而提供了一种管理用户访问以及防火墙规则配置的一致而有效的途径。

可扩展的平台

安全策略和规则因组织而异。通讯量和内容格式导致了唯一性问题。没有单个产品能够满足所有的安全和性能需求，为了实现高度的可扩展性，ISA Server 2004 便应运而生了。可用于 ISA 服务器的其他资料有：全面的软件开发人员工具包 (SDK)、大型的第三方附加解决方案选集，以及可扩展的管理选件。

使用 ISA 服务器管理组件对象模型 (COM)，可以扩展 ISA 服务器的功能。管理对象还允许对通过 ISA 服务器管理完成的所有任务进行自动化处理。这意味着 ISA 服务器管理员可以通过使用管理对象来自动完成所有任务。

要打开“ISA 服务器管理”，请单击“开始”，依次指向“所有程序”、“Microsoft ISA Server”，然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时，RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密...

---