【IT168 专稿】ISA防火墙服务器（Internet Security&Acceleration Server）可是个厉害的家伙，其实也是个可恶的家伙。我们公司就用ISA限制了我一切看片的权利，无论是下载还是在线电影通通化为了泡影……伤心。在这值夜班闲着也是闲着，想起答应IT168编辑每月发两篇稿子，这就来说说这企业安全的朋友&员工的冤家——ISA防火墙。

     先声明，ISA这种防火墙一般是用在企业环境的，跟我们家里用的那些“天网”之类的个人防火墙可不是一个概念。当初在学校学的是ISA2000，而且还是英文版的，用起来那叫一个费劲。现在大家可幸福了，ISA2004真的是太人性化了，还有中文版的。我很有信心教大家即刻就搞定它。 不多说废话了，先从基础安装开始：

一、ISA2004的安装

1. 微软的东西安装谁都会，就是“下一步”安装嘛

2. 省着以后再扩展安装麻烦，这里直接选择“安装ISA服务器和配置存储服务器”

3. 第一台ISA服务器嘛，当然是选“创建ISA服务器”

4. 这块有点技术含量，不过说白了也就是我们企业内部网络要分配保护的地址范围可以使多个IP地址段，根据企业环境需要嘛，我这里就用192.168.0.1～192.168.0.100这段地址了。 

     安装完了，进入“ISA服务器管理”。ISA的默认保护真是太安全了，就跟拔了网线没多大区别。安装时填写的那段受保护内部地址的用户，无一幸免，全都无法访问外网（互联网络）。因此，搞定ISA的第一步就是要通过防火墙策略来赦免内网的一部分用户可以访问外网的一部分资源，换句话说就是“没有在策略中允许的访问就是被拒绝的访问”——像我们单位也许就是没有允许使用“在线电影”和“下载”的那些协议和端口。

二、访问策略

     下面就来具体写一条访问策略，来点实际的。比如想让公司里的所有员工只可以访问网站，当然也可以具体到某个具体的网站。一切根据实际需要（老板的狠心程度）而定。

1. 打开“ISA服务器管理”新建一条访问规则

2. 为规则起一个好记的名字，这规则是为了让员工能访问外网的web网页，所以起名叫allow web。（实际上名字是可以任意起的，此处只是为了识别方便）

3. 这规则要允许员工访问外网，所以选“允许”

4. 这里选择规则所用的协议，当然不能是“所有的出站通讯”不然防火墙就起不到限制作用了，上班时间下载电影BT老板肯定不干：） 。选择“所选的协议”再添加“Http协议”（因为是访问外步网站的规则嘛）

5. 下一步要添加“访问规则源”，这规则是为内部员工访问外部网站写的，源当然是选“内部”（也就是开始我们安装时写的要保护的那段地址范围）

6. “访问目标规则”当然是选“外部”（倘若老板再狠点，只允许员工访问几个特定网站，也是再此做限制，就在“新建”中添加那个网站或地址范围，这里我们还是人性一点好了，就选择“外部”）

7. 下一步“用户集”和上面基本同理，可以“新建”添加指定特定用户，我们这里还是选择“所有用户”好了。

8. 规则设置完成后，点击“应用”就OK了，点“丢弃”就把刚才所做的都删了。

    应用完这条allow web规则，我们内网的用户就能够访问外部的网站了，至于需要根据具体情况再可以做详细的限制。双击这条新建的规则，出现一些“属性”选项卡，例如可以选择这条规则生效的时间，比如只在工作时间（9：00-17：00）生效。

    ISA2004的基本配置大致就是如此，建条规则，根据具体需要添加规则所应用的对象。操作很简单人性，但需要做某些具体上网限制时，还是要对常用网络协议有所了解，才能更好达到目的。

    当然这里只是说了如何让员工通过ISA防火墙访问外部网站，至于如何让外部客户安全访问本公司的网站，以后有机会再介绍给大家。