宽带上网的发展只能用两个字“惊人”来形容，人们能够以各种方式选择高速的上网方式。但总体上讲，由于IPV4本身的地址数量有限，难以满足所有网络用户的需要，所以对于很多宽带上网的企业用户来说，要通过一条宽带线路为内部众多用户提供上网解决方案，共享上网是一个必然要采用的方式。

　　我们可以通过多种方式实现共享上网，比如利用操作系统本身提供的网关或路由功能，使用电信部门提供的宽带路由器，使用专业厂商生产的昂贵的网关产品等，但是究竟哪种方式更好呢?实际上，上述几种方式都有其不足之处，利用操作系统本身的路由功能虽然可以实现共享上网，但是安全性较差，也不容易实现访问控制;使用宽带路由器，操作简单，但是性能不好，上网人数略微增加一些，访问速度就会明显减慢;使用昂贵的硬件设备倒是不存在性能上的问题，但是依然存在无法实现精细的控制和管理的缺陷。

　　ISA Server 2006(Internet Security and Acceleration)是微软公司推出的一款重量级的网络安全产品，被公认为X86架构下最优秀的企业级路由软件防火墙。ISA凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能，在企业中有着广泛的应用。 ISA2006分为标准版和企业版，两种版本的结构和功能都存在一定差异。标准版部署起来相对容易，推荐在中小企业网络构建时使用，企业版由于引入了配置存储服务器，适合大中型企业应用。

　　一、ISA Server 2006的安装：

　　ISA2006标准版的安装分为常规安装和无人值守安装。在此我们主要介绍常规安装，整个安装过程非常简单，下面咱们就开始安装之旅：

　　拓扑图如下所示：

　　安装要求：

　　注意：安装ISA2006的服务器上不能有进程占用80和8080端口。80口在发布WEB服务器时会用到，8080端口WEB代理会用到。

　　步骤1：配置IP地址

　　为ISA Server上的每个网卡配置好IP地址、子网掩码等参数，如果服务器上有多个网卡，通常仅输入一个默认网关，仅在外部网卡上配置默认网关即可。如图所示：

　　步骤2：ISA 2006的安装

　　将ISA 2006的安装光盘放入光驱，会自动弹出安装程序，如下所示：

　　点击“安装ISA Server 2006”。出现ISA2006的安装向导，选择“下一步”。同意软件许可协议，选择下一步。 输入用户名，单位及序列号等参数后，来到安装类型界面，如下图所示，选择自定义安装。

　　选择ISA2006的安装组件，从下图可知，只有ISA服务器和ISA服务器管理两个组件。早期ISA2004中的ISA客户端共享和消息筛选两个组件已经不再被支持，消息筛选被Forenfront取代，ISA客户端共享需要用手工共享的方法实现。

　　接下来设置内网的地址范围，点击“添加”按钮。设置内网范围时，点击“添加适配器”，如下图所示，选择与内网相连的网卡，点击确定。这里建议大家最好把ISA上的网卡根据实际连接情况命名为内网，外网，外围等，以方便后续使用。

　　在此需要注意，因为我们内网有八个部门，属于不同的网段，那么就需要把相应的IP地址段都加入到内网中来。那就如下图所示：

　　接下来安装程序询问是否允许不加密的防火墙客户端连接。不加密的防火墙客户端指的是ISA2000之前的防火墙客户端，ISA2000之后的防火墙客户端支持数据加密，安全性更好，由于在实验环境中不需要使用早期防火墙客户端，因此我们不用勾选“允许不加密的防火墙客户端连接”。

　　安装程序警告我们在安装过程中有些服务会重新启动，选择“下一步”。

　　完成了参数设置，终于开始安装了。

　　如下图所示，点击“完成”，结束了ISA2006的常规安装。

　　至此，我们完成了ISA2006的常规安装。安装过程并不复杂，只要结合网络的拓扑图区分好相应网络即可。

　　步骤3：正确配置路由

　　因为我们在企业中使用三层交换来将不同部门划分到不同的VLAN中，但要实现各部门员工都能连接到外网，就需要实现各部门和ISA之间的路由。因为我们已经实现了各VLAN间的路由，所以现在只需要在三层交换机和ISA之间做设置即可，如下所示：

　　三层交换机只需要启用路由加一条默认路由即可，参考命令如下所示：

　　Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 在此192.168.1.1是ISA Server的内网IP地址。

　　ISA上的设置：

　　1、把内网各部门的地址范围添加到内网选择中，这在步骤2中就已经做好了，如果在安装时没有做的，安装后也可以手动添加，添加方法：打开ISA服务器管理

　　直接在内部属性的地址选项卡中添加范围也可以：

　　2、ISA Server上也需要添加到内网的路由：

　　其中192.168.1.2 是三层交换机的VLAN接口虚地址。在此就充当ISA Server 到达各内网的下一跳地址。

二、ISA的代理功能

　　听说过ISA的网友都知道ISA的两个作用，一个是防火墙，另一个就是代理。我们就先来看看它的代理功能，也就是怎么让内网用户利用它访问外网。

　　首先我们来看一下ISA所支持的客户端类型：Web代理客户端、防火墙客户端、SNAT客户端。

　　简单来说：ISA的三种客户端都能提供访问互联网的功能，Web代理只允许用户使用浏览器访问互联网，而防火墙客户端和SNAT则没有功能方面的限制。如果需要对用户进行身份验证，Web代理和防火墙客户端就可以大显身手了，事实上，微软推荐用户同时使用Web代理和防火墙客户端。为什么不单独使用防火墙客户端呢?因为Web代理可以使用ISA缓存，真正起到加速作用。如果你希望为用户上网提供尽可能的便利，而且你也不愿意去设置客户端的浏览器或在客户机上安装什么客户端软件，那么SNAT必然是你的最爱，只需配好DHCP就一切OK了。最后要提醒大家的是，Web代理和防火墙代理都有DNS转发功能，而SNAT则不存在这个问题，下表就列出了三种客户端的区别。

　　表：三种客户端的特点及区别

　　下面我们用几个实例来分别看一下每种客户端的设置方法，

　　实例：用户通过WEB代理客户端访问外网

　　客户端设置方法：

　　客户端通过在浏览器里填上代理的地址即可，我们以客户端的IE浏览器为例：

　　其中192.168.1.1 就是ISA Server的内网IP地址，8080就是WEB代理所使用的端口号。

　　我们来测试一下：访问 http://www.baidu.com

　　这是怎么回事?因为ISA它同时又是一个防火墙，默认情况下，这个请求是交给ISA了，如图中的代码已经说的很清楚，是代理错误，ISA Server拒绝了这个URL。那么我们就需要到ISA上设置一个访问规则，让它允许内网到外网的访问才可以。

　　ISA 上创建访问规则：

　　我们从这个图中可以看到，当前只有一个默认规则，这个规则是六新不认，统统是拒绝的。所以，我们需要添加一个访问规则，在防火墙策略上右键—新建---访问规则。

　　我们再次到客户机上访问www.baidu.com

　　OK了，说明操作成功了。使用WEB代理就是这么简单。但WEB代理所支持的协议非常有限，只支持http、https、FTP等协议，其他的协议则不再支持，那如果企业中需要应用到其他协议，就不能使用WEB代理客户端，可以选择使用SNAT客户端或防火墙客户端。

　实例：SNAT客户端

　　客户端的设置更是简单，只要设置正确的IP地址、子网掩码、网关和DNS即可。内网机器分别把三层交换机相应的虚接口地址当成自己的网关，但在此需要指定正确的DNS服务器地址，因为SNAT客户端不支持DNS转发。在此以内网的192.168.10.10机器为例:

　　如果客户端过多的话，可以结合DHCP实现参数的自动分配。在此可以删除刚才所设置的WEB代理，以验证SNAT代理。

　　客户端测试：

　　实例：防火墙客户端代理

　　由于Web代理只能使用浏览器访问互联网，功能不够全面，SNAT又不支持身份验证。因此微软在ISA中提供了防火墙客户端代理。用户只要安装防火墙客户端软件，就能通过ISA的防火墙客户端代理访问所有基于Winsock的网络服务。那该怎么安装防火墙客户端软件呢?这个软件在ISA2006安装光盘的\Client目录下，我们将Client目录复制到ISA服务器的硬盘上，然后将目录共享，共享名为Mspclnt。

　　共享方法，可以参考《中小企业网络构建十步法之三：文件共享》

　　然后客户机下载安装即可。安装成功后，注意观察桌面：

　　在桌面的右下角出现如上图所示的提示：这是因为没有找到ISA服务器，那么在此有两种解决方法，一是手动指定，适应小规模网络;另一个是使用WPAD功能，客户机开机能自动发现ISA服务器。当然，在此我们只能是手动指定了。

　　就这么简单。OK了，那么就再去测试一下吧， 我们输入：wireless.it168.com。

　　看到这儿，三种客户端使用就简单给大家介绍完了。其中也有一些更为深入的内容如网络规则、WPAD的实现等等，限于篇幅不再介绍。如果有疑问，可以随时留言探讨。