防火墙策略的组成.docx
《防火墙策略的组成.docx》由会员分享,可在线阅读,更多相关《防火墙策略的组成.docx(13页珍藏版)》请在冰豆网上搜索。
防火墙策略的组成
防火墙策略的组成
在ISA效劳器装置成功后,其防火墙战略默以为制止一切内外通讯,所以我们需求在效劳器上树立相应的防火墙战略,以使内外通讯成功。
在本章,我们将引见ISA的基本配置,使外部的一切用户有限制的访问外部网络。
在ISAServer2004中,防火墙战略是由网络规那么、访问规那么和效劳器发布规那么三者的共同组成。
●∙∙网络规那么:
定义了不同网络间能否停止通讯、以及知用何各方式停止通讯。
●∙∙访问规那么:
那么定义了内、外网的停止通讯的详细细节。
●∙∙效劳器发布规那么:
定义了如何让用户访问效劳器。
3.1.1网络规那么
ISA2004经过网络规那么来定义并描画网络拓扑,其描画了两个网络实体之间能否存在衔接,以及定义如何停止衔接。
相关于ISA2000,可以说网络规那么是ISAServer2004中的一个很大的提高,它没有了ISAServer2000只要一个LAT表的限制,可以很好的支持多网络的复杂环境。
在ISA2004的网络规那么中定义的网络衔接的方式有:
路由和网络地址转换。
3.1.1.1路由
路由是指相互衔接起来的网络之间停止途径寻觅和转发数据包的进程,由于ISA与Windows2000Server和WindowsServer2003路由和远程访问功用的严密集成,使其具有很强的路由功用。
在ISA2004中,当指定这种类型的衔接时,来自源网络的客户端央求将被直接转发到目的网络,而无须停止地址的转换。
当需求发布位于DMZ网络中的效劳器时,我们可以配置相应的路由网络规那么。
需求留意的是,路由网络关系是双向的。
假设定义了从网络A到网络B的路由关系,那么从网络B到网络A也异样存在着路由关系,这同我们在停止硬件或软件路由器配置的原理相反。
3.1.1.2网络地址转换〔NAT〕
NAT即网络地址转换〔NetworkAddressTranslator〕,在Windows2000Server和Windowsserver2003中,NAT是其IP路由的一项重要功用。
NAT方式也称之为Internet的路由衔接,经过它在局域网和Internet主机间转发数据包从而完成Internet的共享。
ISA2004由于同Windows2000Server和Windowsserver2003的路由和远程访问功用集成,所以支持NAT的的衔接类型。
当运转NAT的计算机从一台外部客户机接纳到外出央求数据包时,它会把信息包的包头换掉,把客户机的外部IP地址和端口号翻译成NAT效劳器自己的外部IP地址和端口号,然后再将央求包发送给Internet上的目的主机。
当NAT效劳器从Internet主机接纳到回答信息后,它也会将其包头停止交流,将自己的外部IP地址和端口号转换为央求客户机的外部IP地址的端口号,然后再把信息包发内网的客户机。
当在ISA2004中指定了这促类型的衔接后,ISA效劳器将用它自己的IP地址交流源网络中的客户端的IP地址。
从而对外隐藏了外部管理的IP,同时也隐藏了外部网络结构,从而降低了外部网络遭到攻击的风险,并可增加了IP地址注册的费用。
需求留意的是:
NAT关系是独一的和单向的。
假设定义了从网络A到网络B的NAT关系,那么不会自动定义从B到A的网络关系。
您可以创立定义双向关系的网络规那么,但是ISA效劳器将疏忽有序规那么列表中的第二条网络规那么。
3.1.1.3默许网络规那么
在停止ISA2004的装置时,系统会创立以下默许规那么〔如图3-1所示〕:
●∙∙本地主机访问:
此规那么定义了在本地主机网络与其他一切网络之间存在的路由关系。
●∙∙VPN客户端到外部网络:
此规那么指定在两个VPN客户端网络〔.VPN客户端.和.被隔离的VPN客户端.〕与外部网络之间存在着路由关系。
●∙∙Internet访问:
此规那么定义了在外部受维护的网络〔如外部、VPN客户端等〕与外部网络之间存在的NAT关系。
3.1.2访问规那么
访问规那么决议源网络上的客户端如何访问目的网络上的资源。
我们可以将访问规那么配置为适用于一切IP通讯、适用于特定的协议定义集或适用于除所选协议之外的一切IP通讯。
也可以在访问规那么中对用户访问停止准确的限定。
当客户端运用特定协议央求对象时,ISA效劳器会在访问规那么列表中从上而下地停止反省。
只要当某个访问规那么明白允许客户端运用特定的协议停止通讯,并且允许访问央求的对象时才处置央求。
在ISA2004的装置进程中会自动创立默许的系统战略,其中包括了预配置的、协议定义的访问规那么列表,其中包括最普遍运用的Internet协议,以允许ISAServer2004效劳器能访问它衔接到的网络的特定效劳。
以下图显示的是默许系统战略中的内容。
3.2树立允许客户访问Internet的防火墙战略
在装置好ISA2004后,我们需求树立相应的防火墙访问战略以允许企业外部员工经过ISA效劳器停止平安的Internet访问。
在本节中,我们将以一个详细的实例让大家体会一下如何应用防火墙战略来树立访问规那么,以使企业外部的一切客户能访问Internet的一切效劳。
要完成这个战略的树立,我们需求完成以下任务:
●∙∙配置外部的DNS效劳器。
●∙∙树立访问战略。
3.2.1树立外部的DNS效劳器
Internet的基本协议是TCP/IP,在网上的每一台计算机用独一的IP地址停止标识。
但在实践的运用中,为了便于记忆,往往给每一台计算机取友好称号,要访问的网址也是一样,称为域名。
比如我们要访问微软网站,那么在阅读器的地址栏输入的域名是[url]microsoft[/url],但是计算机系统自身是不能识别这个域名的,要访问到这个网站需求知道效劳器的真实IP地址,所以在中间就需求一个称号解析系统,行将域名[url]microsoft[/url]解析为其效劳器的IP地址如207.46.156.252,这个称号解析系统如今的互联网中运用的是DNS〔DomainNameSystem〕。
当用户用域名在访问Internet上的网站时,需求外部DNS为之停止域名解析;而当企业用户用域名访问公司外部的网络资源时,需求外部DNS停止域名解析。
但假设企业用户既要访问企业外部网站,又要访问Internet上的资源时,DNS应怎样停止设置的。
在这种状况下,我们可以树立企业外部的DNS效劳器,使之可以解析外部域名,然后将之设置外部DNS的转发器,当外部用户访问资源时,由外部DNS效劳器将其央求发给外部DNS,从而取得外部资源的域名解析。
3.2.1.1装置外部的DNS效劳器
以管理员身份登录到需求装置DNS的Windows效劳器上〔可以同ISA效劳器装置在同一台计算机上,也可以区分在不同的计算机上停止装置〕,停止如下进程的装置和配置:
1、翻开控制面板下的〝添加/删除顺序〞,单击〝添加/删除Windows组件〞。
2、在Windows组件导游中双击〝网络效劳〞,在出现的对话框中选择〝域名系统〔DNS〕〞,点击【确定】,再点击【下一步】按钮.,并按导游要求完成DNS效劳的装置。
3、在Windowsserver2003的〝管理工具〞中选择〝DNS〞,进入DNS管理控制台,右键单击效劳器,在出的菜单中选择〝属性〞。
4、在属性对话框中选择〝接口〞选项卡,然后添加外部接口地址。
如下图。
图3-7配置DNS外部接口
5、选择〝转发器〞选项卡,先选中下面的〝一切其它DNS域〞,然后在〝所选域的转发器的IP地址列表〞中添加ISP为你提供的外部DNS效劳器的IP地址。
如下图。
6、单击【确定】按钮,完成效劳器端DNS的装置和配置。
3.2.1.2客户端的DNS配置
客户端DNS的配置步骤如下:
1、登录到客户机上,在桌面上用右键单击〝网上邻居〞图标,在出现的菜单中选择〝属性〞。
2、在网络衔接的属性窗口中,用右键单击〝本地衔接〞,在出现的菜单中选择〝属性〞,进入到〝本地衔接属性〞对话框中。
3、在〝本地衔接属性〞页中选中〝Internet协议〔TCP/IP〕〞,再点击【属性】按钮,在出现的TCP/IP属性页的〝首选DNS效劳器〞中,输入外部DNS效劳器的IP地址,点击【确定】按钮,完成客户端配置。
如下图。
3.2.2树立访问战略
要使外部用户经过ISA效劳器访问Internet,必需要树立访问战略。
在本例中我们需求树立两条访问战略:
一条访问战略以允许企业用户经过ISA效劳器访问Internet;另一条战略以允许企业用户访问ISAServer2004效劳器的DNS效劳。
3.2.2.1树立允许一切外出通讯的访问战略
树立访问战略的步骤如下:
1、翻开ISA管理控制台,右键单击〝防火墙战略〞,在出现的菜单中选择〝新建〞→〝访问规那么〞。
如下图。
2、在新建访问规那么导游中,输入访问规那么称号。
如下图。
图3-12输入规那么称号
3、在〝规那么操作〞对话框中选择〝允许〞,以便允许通讯的停止。
如下图。
图3-13配置规那么操作
4、在〝协议〞对话框中选择〝一切出站通讯〞,表示可以访问Internet上的一切效劳。
如下图。
5、在〝访问规那么源〞对话框中单击【添加】按钮。
在出现的〝添加网络实体〞对话框中展开〝网络〞,选择〝外部〞〔如要允许ISA效劳器访问Internet,在那么可选〝本地主机〞〕,然后单击【添加】按钮,表示一切的通讯源来自于企业外部。
如下图。
6、在〝访问规那么目的〞对话框中单击【添加】按钮。
在出现的〝添加网络实体〞对话框中展开〝网络〞,选择〝外部〞,然后点击【添加】按钮,表示要访问网络外部的资源。
7、在〝用户集〞对话框中,采用默许的〝一切用户〞,表示内网的一切用户都可以经过ISA效劳器访问外部的资源。
点击【下一步】按钮完成战略的树立。
3.2.2.2树立允许客户访问外部DNS的访问战略
树立进程如下:
1、翻开ISA管理控制台,右键单击〝防火墙战略〞,在出现的菜单中选择〝新建〞→〝访问规那么〞,在访问规那么导游中输入规那么名,这里我们取名为〝访问ISA主机上的DNS〞。
2、在规那么操作中选择〝允许〞,在此规那么运用到选项中选择〝所选择的协议〞,然后单击【添加】按钮,在〝添加协议〞对话框中展开〝通用协议〞,选择〝DNS〞,单击【添加】按钮,单击【封锁】按钮完成协议的设置。
如下图。
3、在〝访问规那么目的〞对话框中单击【添加】按钮,在出现的〝添加网络实体〞对话框中展开〝网络〞,然后选择〝本地主机〞,单击【添加】按钮,表示要访问ISA效劳器上的DNS效劳
4、依据导游按默许选项完本钱访问战略的树立。
3.2.2.3运用访问战略
为了使所树立的访问战略失效,须在左边窗格中单击【运用】按钮,以保管修正和更新防火墙战略。
防火战略失效后,你可以在客户机经过ISA效劳器访问Internet上的一切效劳,如QQ、MSN等。
3.3配置拨号衔接
如今企业访问互连网很多都是采用ADSL宽带拨号方式,所以在ISAServer2004的效劳器中,需为经过拨号上网配置相应的拨号衔接。
配置好央求拨号后,无论何时本地网络上的Web代理客户端或许是防火墙客户端央求一个远程主机时,您的ISAServer计算机能自动启动拨号衔接。
要完成ISA2004拨号上网配置,需求先在拨号效劳器上停止ADSL拨号设置,然后在ISA效劳器上停止拨号设置。
3.3.1树立拨号效劳器的拨号衔接
ADSL拨号的方式有很多种,如ethernet、raspppoe等,这些拨号方式需求装置相应的拨号软件,而WindowsServer2003内置了宽带拨号的支持,按导游一步一步完成配置,复杂明了。
在这里,我们就以Windowsserver2003的拨号衔接树立方式为例,配置步骤如下:
1、在网络衔接属性窗口中,双击〝新建衔接导游〞,在出现的对话框中选择〝Internet衔接〝,单击【下一步】按钮,在出现的对话框中选择〝用要求用户名和密码的宽带衔接来衔接〞。
2、在〝ISP称号〞对话框中输入向企业提供ADSL接入效劳的ISP的称号。
如图3-23所示。
3、在可用衔接中选择〝任何人运用〞,表示允许外部一切用户均可用这个拨号衔接。
4、在Internet帐号对话框中,输入由ISP分配给你的用户名和口令,点单击【下一步】按钮完成ADSL衔接的树立。
3.3.2配置ISA效劳器的拨号衔接
在ISA效劳器上配置拨号衔接的步骤如下:
1、在ISA管理控制台中,选择〝惯例〞,然后在左边的详细窗格中选择〝指定拨号首选项〞。
如下图。
2、在〝拨号配置〞对话框中选择〝自动拨此网络〞,并将值设为〝外部〞。
勾选〝将此拨号衔接配置为默许网关〞,在拨号衔接中选择在WindowsServer2003中树立的169宽带拨号衔接,然后单击【设置帐户】按钮。
如下图。
4、在〝设置帐户〞对话框中,输入由ISP提供的用户名和口令,单击【确定】按钮完成配置。
升级会员 