MS-LAB

ISA Server

網工班 80 期 第一組

學員：鍾宏騰

指導老師：戴有煒、劉家聖、楊宏文

1

目錄………………………………………………………………………………1

1.前言……………………………………………………………………………2

1.1 公司現狀……………………………………………………………2

1.2 建置 ISA Server 的優點………………………………2

2.拓樸及 ISA Server 架構………………………………………3

2.1 公司拓樸………………………………………………………3

2.2 ISA Server 建置架構…………………………………3

2.3 CSS 建置………………………………………………………5

2.4 後牆建置及 NLB…………………………………………8

2.5 前牆建置及 NLB………………………………………10

2.6 前牆及後牆的開放規則…………………………13

3.注意事項及問題解決………………………………………15

3.1 注意事項……………………………………………………15

3.2 問題解決……………………………………………………16

4.個人心得………………………………………………………………21

5.參考資料………………………………………………………………22

2

1.前言

1.1 公司現狀

由於台灣玻璃科技公司業務日益擴張，近期更於高雄建

立分公司，並且在公司網路規劃上沿用舊有架構，導致網路

問題如網路不穩定、駭客攻擊侵入公司內部網路竊取資料等

等資安問題浮現。在資訊安全防護方面，採用硬體防火牆是

最安全的解決方案之一，但是硬體防火牆通常價格較高昂，

在考慮公司成本的情況下，決定採用微軟公司的 ISA Server

防火牆軟體，配合公司的 Windows Server2003 電腦使用，

以達到經濟效益最大化。

1.2 利用 ISA Server 建置防火牆的優點

ISA Server 具備了基本的防火牆功能，可以過濾進出防

火牆的網路流量，一方面保護公司內部網路不受外部攻擊，

另一方面也能保護公司內部資料不輕易外洩。另外 ISA

Server 也提供了網路負載平衡(NLB)及容錯的功能，提供公

司一個高可用性(HA)的網路安全環境。

3

2.拓樸及 ISA Server 架構

2.1 公司拓樸

圖 2.1 公司拓樸圖

2.2 ISA Server 建置架構

總公司採用安全的 Back-to-Back 架構，由前後兩端防

火牆構成，將公司內部網路到網際網路之間分成三個區域，

一是後端防火牆內的公司內部網路，二是後端防火牆到前端

防火牆之間的非軍事區(DMZ)，三是前端防火牆到網際網路。

一般用戶只能通過前端防火牆來到非軍事區存取公司對外

4

發行的網頁、FTP 等伺服器，不能通過公司後端防火牆進入

公司內部網路。另外前後端防火牆都有另一台 ISA Server

伺服器用來建置網路負載平衡及容錯的功能，以達到高可用

性的網路安全環境的效果。

圖 2.2 總公司防火牆架構

5

2.3 CSS 建置

首先將設定儲存區伺服器(CSS)電腦加入總公司網域

向公司獨立根 CA 申請伺服器憑證(名稱使用 CSS 的

FQDN)，並且信任 CA

向獨立根 CA 申請伺服器憑證

將伺服器憑證匯出，並匯出私密金鑰

安裝 CSS，並匯入剛才匯出的伺服器憑證，輸入憑證密碼

6

安裝 CSS 完後，打開 ISA Server 管理主控台，建立後端

ISA Server 陣列：名稱 BackendArray，並在 DNS 內建立一

筆主機資料 BackendArray，IP 為虛擬 IP：192.168.1.50，

並在陣列內容中修改 CSS 驗證方式為『在 SSL 加密通道上

驗證』

建立後端 Intra-Array 網路，名稱：BIntraArray，IP 範

圍設為 192.168.4.0〜192.168.4.255

同上，建立前端 ISA Server 陣列：名稱 FrontendArray，

並在 DNS 內建立一筆主機資料 FrontendArray，IP 為虛擬

IP：192.168.18.50，並在陣列內容中修改 CSS 驗證方式為

『在 SSL 加密通道上驗證』

7

建立後端 Intra-Array 網路，名稱：BIntraArray，IP 範

圍設為 192.168.5.0〜192.168.5.255

將 CSS 電腦加入遠端電腦管理組中，讓 CSS 可以遠端控

制前後牆的設定。

(企業原則＞工具箱＞企業遠端管理，新增 CSS 電腦，IP：

192.168.1.55)

設定完成後，試 PING 前後牆陣列的 FQDN，測試 DNS

是否能解析到設定的虛擬 IP。

初步設定完成的 CSS

8

2.4 後牆建置及 NLB

由於安全因素，後端兩台 ISA Server 不加入公司網域，

因此將後端兩台 ISA Server 增加尾碼：twglass.com，重新

開機。

將兩台 ISA Server 信任 CA。

在 BNode1 上安裝 ISA Server 服務，由於沒有加入公司

網域，因此要手動輸入 CSS 的 FQDN(css.twglass.com)，

並且輸入有管理員權限的網域使用者帳號密碼，加入已建立

的 BackendArray 陣列，並選擇通過 SSL 加密通道驗證，設

定內部網路 IP 範圍：192.168.1.0〜192.168.1.255。

開啟 ISA Server 管理主控台，在 BackendArray 陣列內

容中，修改通訊 IP 為 BIntraArray 的網卡 IP(原始

192.168.1.51＞修改為 192.168.4.1)，之後安裝陣列中第二

台 ISA Server 時，會自動選擇陣列的網卡 IP。

在 BNode2 上安裝 ISA Server 服務。

在 ISA Server 管理主控台中的網路規則選項中，將

BackendArray 的內部網路和外部網路之間的網路規則由預

設的 NAT 改為路由。

在 BNode1 及 BNode2 的本機使用者及帳戶中，新增一

9

個使用者 Intra-Array，不需要另外賦予使用者權限，這個鏡

像帳戶將用來監視陣列。

在 ISA Server 主控台中，開啟 BackendArray 內容，將

陣列內部認證帳號設為剛才建立的鏡像帳戶。另外在指派腳

色中，新增此鏡像帳戶為允許監視此陣列的帳戶(選取 ISA

Server 陣列系統管理員)。

在 ISA Server 主控台中，選取網路選項，在右方欄位中

選擇啟用網路負載平衡整合，設定內部及外部虛擬 IP。設定

完成後耐心等待一段時間，務必檢查 CSS 及兩台後端 ISA

Server 是否同步完成，必要時重啟兩台 ISA Server。

設定後牆 NLB 的虛擬 IP

10

2.5 前牆建置及 NLB

由於前端兩台 ISA Server 也不加入公司網域，因此將前

端兩台 ISA Server 增加尾碼：twglass.com，重新開機。

在前端兩台 ISA Server 的路由表內新增通向公司內部網

路的永久路徑：

Route –p add 192.168.1.0 mask 255.255.255.0

192.168.18.50 if 0x10005

設定完成後，在 FNode1 及 FNode2 上試 PING 公司內部網

路電腦的 FQDN，測試路由表是否正常運作。

新增通往公司內部的永久路徑

將前端兩台 ISA Server 信任 CA。

在 FNode1 上安裝 ISA Server 服務，由於沒有加入公司

網域，因此要手動輸入 CSS 的 FQDN(css.twglass.com)，

並且輸入有管理員權限的網域使用者帳號密碼，加入已建立

的 FrontendArray 陣列，並選擇通過 SSL 加密通道驗證，設

定內部網路 IP 範圍：192.168.1.0〜192.168.1.255 及

11

192.168.18.0〜192.168.18.255。

開啟 ISA Server 管理主控台，在 BackendArray 陣列內

容中，修改通訊 IP 為 FIntraArray 的網卡 IP(原始

192.168.18.61＞修改為 192.168.5.1)，之後安裝陣列中第二

台 ISA Server 時，會自動選擇陣列的網卡 IP。

在 FNode2 上安裝 ISA Server 服務。

在 FNode1 及 FNode2 的本機使用者及帳戶中，新增一

個使用者 Intra-Array，不需要另外賦予使用者權限，這個鏡

像帳戶將用來監視陣列。由於前後端 ISA Server 陣列都設定

相同的帳號密碼來監視陣列，因此可以同時管理前後端 ISA

Server 陣列。

在 ISA Server 主控台中，開啟 FrontendArray 內容，將

陣列內部認證帳號設為剛才建立的鏡像帳戶。另外在指派腳

色中，新增此鏡像帳戶為允許監視此陣列的帳戶(選取 ISA

Server 陣列系統管理員)。

在 ISA Server 主控台中，選取網路選項，在右方欄位中

選擇啟用網路負載平衡整合，設定內部及外部虛擬 IP。設定

完成後耐心等待一段時間，務必檢查 CSS 及兩台前端 ISA

Server 是否同步完成，必要時重啟兩台 ISA Server。

12

設定前牆 NLB 的虛擬 IP

13

2.6 前牆及後牆的開放規則

後端防火牆規則

14

前端防火牆規則

15

3.注意事項及問題解決

3.1 注意事項

在初期做網路規劃的時候，儘量將網路環境單純化，避

免外部網路的干擾。本組在初期並沒有注意到這一點，導致

最後驗收階段在準備驗收的前置作業就花了不少時間。因此

小組若需要上網，可以準備一台電腦做路由，通過這台電腦

連外，儘量不要將宿舍提供的網路環境加入實驗的環境中。

在進行到某個階段或是某個時間段時，要注意備份的問

題，不要因為做錯一個步驟，導致無法逆轉的悲劇，因此保

持時常備份的好習慣是非常重要的。本組在初期階段就曾因

為病毒入侵的問題，導致幾乎所有人的電腦必須重灌的慘

劇。

在決定 ISA Server 架構時，須注意前後端防火牆是否加

入公司網域，若是考慮安全性而不加入網域，必須注意將前

後端防火牆加入尾碼，否則無法與 CSS 電腦溝通。另外憑證

問題需要花時間了解原理，否則可能會在憑證這裡卡關。

在前端防火牆發行網站時須注意到虛擬 IP 重複的問題。

16

若是要前端防火牆要發行超過兩個以上的網站時，要注意在

前端防火牆外部網卡設定多個虛擬 IP，每個要發行的網站都

分到一個不重複的虛擬 IP 位址，或是使用主機標頭名稱來區

分不同網站(如用 www.twglass.com &

support.twglass.com 來區分不同網站)。

3.2 問題解決

在安裝前端 ISA Server 時，FNode1 可以與 CSS 連線，

FNode2 卻無法與 CSS 連線。

解決方法：很多時候出現問題可以從設定上著手除錯，因為

當初在 ISA Server主控台開放前端防火牆到CSS的流量時，

沒有將 FNode2 這台電腦加入規則裡，導致 FNode2 無法

與 CSS 溝通，將 FNode2 加入規則後就可以正常溝通。

在 CSS 電腦上可以修改前後端陣列的設定，在前後端陣

列的 ISA Server 電腦上也可以看到同步完成的狀況，但是在

CSS 電腦上卻總是看到伺服器狀態出現錯誤，無法正常顯

示。

17

CSS 出現伺服器錯誤狀態

解決方法：戴老師在上課時有提到這一點，原因是 CSS 電腦

是設定儲存區伺服器，並沒有權限監視前後端防火牆陣列。

所以要將 CSS 電腦加入遠端管理電腦組裡，並且使用先前設

定的鏡像帳戶登入。但是已經設定了遠端管理電腦組以及鏡

像帳戶，CSS 還是出現伺服器錯誤的狀態的話，這時請開啟

ISA Server 管理主控台，中斷與企業的連線，再重新連線一

次，狀態就會顯示正常。

18

打開 CSS 的 ISA Server 管理主控台，必須出現登入畫面

在架設 ISA Server 過程中，有時會遇到 PING 不通的問

題。

解決方法：遇到 PING 不通的問題，先從設定開始檢查，若

是設定都正確，卻還是 PING 不到對方，最後方法是重新開

機，常常重新開機後就可以正常 PING 通。

在 LAB 驗收前一天曾經出現 CSS 電腦只能 PING 到前端防

火牆的內網卡 IP，卻無法 PING 到外部網路，因此在這裡卡

了好幾個小時找不出原因，最後經佑霖同學發現是後端防火

牆內網卡的預設匝道不知為何設定成內網卡的虛擬 IP，導致

封包在內部循環而無法送出，將預設匝道修改後就恢復正常，

19

若是遇到這種靈異事件，還是必須仔細檢查每個網卡的設

定。

前後端防火牆架設完成後一段時間，發現總公司內部網

路無法通過前端防火牆連到外部網路，而且從前端防火牆可

PING 到總公司內部電腦，但是唯獨不能 PING 到總公司內

部 DNS。

解決方法：由於前端防火牆無法 PING 到總公司內部 DNS，

懷疑是無法連外的原因，經檢查後發現 DNS 的預設匝道指

向獨立的 VNP Server 而非後端防火牆的虛擬 IP，修改回來

後網路就可正常連外。

最初做實驗使用的是VirtualBox這個虛擬機器的軟體，

自己做實驗架設防火牆的時候，在做到陣列 NLB 的步驟時，

CSS 及兩台防火牆總是無法同步成功，整個 ISA Server 管理

主控台會卡住，重啟後也是一樣的狀況，最後反而互相無法

PING 通。

解決方法：使用 VirtualBox 架設防火牆時，在 NLB 這個步

20

驟卡了不少時間，重新架設了很多次，總是無法同步，最後

懷疑是 VirtualBox 在使用 NLB 功能時會有問題，改用

Virtual Server 2005 代替 VirtualBox 才同步成功，但是戴

老師使用 VirtualBox 的 NLB 功能卻沒有出現這個問題，由

於使用這兩種虛擬機器時設定的步驟都相同，一個做得出來，

一個卻失敗，只能先歸類為靈異事件，待後續研究。

21

4.個人心得感想

這次的 MSLAB 我負責的是 ISA Server 防火牆及 CSS 的

部分，電腦在 6 月 13 號就搬到宿舍開始做實驗，大家從做

網路線開始，一步步將每台電腦接起來，原本計畫當天的任

務是連接所有電腦並且互 PING 成功，結果當天進度超前，

大家就已經開始做起實驗到深夜，可見大家都想讓這次的

LAB 能夠順利完成。

在架設防火牆的時候遇到不少問題，擔心自己的防火牆不

能及早架設起來，常常做實驗做到到深夜才回家，由於 ISA

Server的課程排在比較後面，所以必須提前預習 ISA的課程，

才能看得懂老師講義的內容，尤其是 ISA Server 架設時會需

要使用到 ISA Server 課本後面的內容，當時不明就裡地做實

驗，常常會卡在莫名其妙的地方，後來看到課本後面的內容

才恍然大悟，自己需要的內容就在這裡，不過當靠自己解決

問題時，那種滿足感可以看成是一種繼續前進的動力。

雖然實驗初期時大家都會遇到不同的問題，不過同學們都

能互相照顧，有能力的同學會到處看看誰的哪個部分有問題，

22

互相討論解決問題，這個部分是平常上課單機做實驗時不會

遇到的，在此也可以看出哪個人有驚人的除錯能力。

最後不管 MSLAB 成功與否，在我的感覺上，大家能團結

在一起為了達成 LAB 目標一起做實驗，就已經成功了一半。

小組每個人都非常認真地盡全心將自己的部分做好，感謝小

組成員智仁、建元、佑霖、嘉彥、明洋、承凱、銘修、姿瑩、

祖華之間的互相配合，共同達成 MSLAB 這個任務，這次

MSLAB 的實驗讓我獲益良多，也大大增進了同學之間的情

感。

5.參考資料

ISA Server 2006 防火牆安裝與管理指南，碁峯資訊股

份有限公司，戴有煒

建置 Back-to-Back 防火牆+NLB 環境講義，戴有煒

網工班 63 期 MSLAB 第三組簡報與報告