利用ISAServer发布DMZ区服务器3.docx
《利用ISAServer发布DMZ区服务器3.docx》由会员分享,可在线阅读,更多相关《利用ISAServer发布DMZ区服务器3.docx(30页珍藏版)》请在冰豆网上搜索。
利用ISAServer发布DMZ区服务器3
Windows域环境下部署ISAServer2006防火墙〔三〕
利用ISAServer2006发布DMZ区效劳器
上次咱们通过设置防火墙策略使内网用户可以上网了,并且通过配置缓存加快了访问Internet的速度。
今天我们的任务就是把外围区域〔DMZ〕的效劳器发布出去。
我重点会去说web效劳器的发布。
其它的效劳比方:
mail、FTP、DNS都是一样的,大家掌握一种方法其它的就都学会了啊。
拓扑图在下面,前面两次虽然也是这幅图,但我们一直没有说到的一个地方,就是DMZ区域,在ISAServer中它又叫外围区域。
接下来我们就要把这个区域中的效劳器发布到外部供Internet上的朋友们访问。
为什么不让他们直接访问而要通过发布的方式呢?
因为如果没有防火墙的保护,直接暴露在外网的话,估计不到两分种就歇菜了。
什么病毒啊,黑客啊全来了。
所以我们要把它们发布出去,这样Internet上的用户访问外网接口,就等于访问了DMZ区域中的效劳器。
我想大家在路由器上都应该做过NAT,NAT有个技术叫PAT,它也可以用来发布效劳器,通过端口来定位效劳。
咱这和那个道理是一样的。
我们还要把这些效劳器发布到内网——而不是让他们直接访问,为什么呢?
“家贼难防〞!
,就不用解释了。
来看看具体的步骤吧!
首先还是分析一下拓扑。
为了大家看起来方便我把大概的的信息罗列到下面:
1. DMZ区域中有两台效劳器,分别是:
1>.web效劳器主机名:
2>.mail效劳器主机名:
2. ISAServer的三块网卡IP分别为:
1>.内网卡LANIP:
2>外围网卡DMZIP:
3>外网卡
主要的TCP/IP参数就是上面罗列的那些,其他没说到的咱们边做边说吧。
第一局部:
创立并配置DMZ区域
前面一直是这个图,但其实DMZ区我们并没有去用到它,所以这之前我们一直是一种边缘防火墙的部署方式。
这次们就来开辟这块非军事化区〔DMZ〕。
使之成为三向外围部署方式。
1.翻开“ISA效劳管理器〞,展开“配置〞,选择“网络〞,在右边的模板栏里选择3向外围网络,就会出现下列图的界面。
如图:
2.连续单击两个下一步,就到了指定内网卡的地方,点击添加适配器,参加内网卡〔LAN〕确定就是如下的界面。
〔注意可别添错了啊〕
3.还是一样,这里就是添加外围网卡〔DMZ〕,单击添加适配器,把DMZ网卡添进来就可以了。
4.这里是选择防火墙策略,有一大堆,咱们就选第一个“阻止所有访问〞,为什么呢?
等一下要用什么就开什么。
要知道这里只是一个向导界面,真正的策略是我们一条一条添加进去的。
5.好了,确认一下设置的内部和外围等信息,看看有没有什么问题,没有的话就可以单击完成了。
也许您会问,为什么没有让选择外部网卡?
您想啊,总共三块网卡。
定义了内部和外围之后剩下的当然是外部喽!
6.到这个界面时,我们点击应用之后确定即可。
至此,咱们的网络环境就从原来的边缘网络,变成了三向外围的网络。
第二局部:
发布web效劳器
在各类效劳器的发布中,web效劳器的发布是最多的。
其步骤也相对较多一些,掌握了web效劳的发布,其它的就简单的多了。
这次重点以发布web效劳器为主。
下面是步骤:
1.在ISA管理控制台里,点击一下防火墙策略,再点击任务栏中的发布网站,如图,咱们将会在这个界面下做设置。
2.在弹出的web发布规那么向导界面中,我们给它取个名子叫“web效劳发布规那么〞,这样做个标识,别人一看就知道是干什么用的。
如图:
3.在“请选择规那么条件〞选项卡中选择“允许〞。
记住,ISA里面的规那么操作除了允许就是拒绝。
4.这里选择第一项“发布单个网站或负载平衡器〞,因为咱们只有一个web站点要发布嘛。
如果做了主机头,要发布多个网站可发选择第三项“发布多个网站〞。
单击下一步,如图:
5.在效劳器连接平安这里我们选择第二项,第一项为哪一项要求使用SSL的,一些要求平安性较高的网站比方:
淘宝啊、银行啊等网站,要用s访问的就可以选择此项,当然得有PKI支持才行,有时间的话我会写一篇带SSL的网站发布。
咱们不用选择第一项,第二项就可以了。
大多数网站都没有使用SSL。
因为访问起来会变得麻烦,而且很慢,更重要的是得有一套PKI支持才行。
6.现在到了配置内部发布详细信息这里,把站点名写到内部站点名称这里,然后勾选“使用计算机名称或IP地址连接到发布的效劳器〞,并且别忘了把IP写上去,如图:
7.上面步骤完了之后下一步就到这里了,这是在问我们要发布哪些内容,咱们全部都发布所以用个“/*〞代替就可以了。
8.此处设置的是公共名称细节,在接收请求这里选择“任何域名〞。
下面的路径保持默认即可。
如果有其它的可以单独指定。
9.现在选择Web侦听器,因为没有所以就选择新建,来创立一个。
〔侦听器用来指定ISA效劳器侦听传入Web请求的IP和端口〕
10.下面是新建web侦听器的向导界面,还是一样先取个名子,做个标识。
11.这里和刚刚上面设置的时候意思是一样的,还是选择第二项“不需要与客户端建立SSL平安连接〞,如图:
12.这一步就比拟关键了,它让我们选择web侦听器的IP地址。
如果只选择外部,就只能把效劳器发布到外部,咱这儿是要把效劳器从DMZ发到内网和Internet所以就勾两项。
如图:
13.身份验证这里选择“没有身份验证〞即可。
这个一般用的不多。
当然为了平安性更高也可以设置带身份验证的。
14.好了,现在把web侦听器的配置在检查一下,就可以点击完成了。
15.有了web侦听器,我们继续发布效劳器,注意应在次确认一下侦听器的属性。
看看有无错误,没有就可以单击下一步了,如图:
16.在身份验证委派这里选择“无委派,客户端无法直接进行身份验证〞。
17.用户集这里选择所有用户即可,因为咱们是让所有人访问,如果有特殊要求,可根据实际情况去设置。
,现在策略设置好了,点击应用之后确定,就可以测试结果了。
第三局部:
测试内网用户和外网用户访问DMZ区域的web效劳器
在测试之前先确保缓存开着没有,虽然并不是必要的,但这样会提高访问速度。
何乐而不为呢!
下列图显示缓存是开着的。
现在内网的员工只能通过内网接口〔LAN〕来访问Web站点。
然后再通过ISAServer转到真正的web效劳器上。
所以我们要在内网中添加一个DNS主机记录,FQDN为zppIP为。
如图:
在IE中输入主机名zpp.可以看到我们能够正常的访问web站点。
〔注意我这里开了一台Linux并启动了d来模拟DMZ区域中的web效劳器〕如图:
Ping一下域名可以看到ping的其实是IP为的内网卡〔LAN〕。
以此说明,DMZ区中的web效劳器发布到内部网络中成功
现在到外网客户机上来测试一下,〔注意:
外网客户机的DNS我用的是hosts文件的方式,当然真实环境下,肯定是要在公网DNS效劳器上注册的〕。
下列图是用外网客户机ping出的结果,如图,可以看到其实实在ping外网口的地址。
现在通过这个域名访问,可以看到可以成功访问。
说明DMZ区域中的web发布到外网成功。
现在大家看到了web效劳器的发布,相信发布其它效劳器也不成问题了,其实都很简单。
下面我再介绍一下邮件效劳器的发布。
第四局部:
发布邮件效劳器
1.如图,这次就选择防火墙策略中的“发布邮件效劳器〞。
2.访问类型这里选择第一项〞客户端访问:
RPC、IMAP、POP3、SMTP〞,然后单击下下步。
3.选择效劳这里我们可以根据需求选择相应的效劳。
如图:
4.效劳器地址这里设置的就是DMZ区域中的邮件效劳器真实的IP地址。
此处是:
5.和发布web效劳器一样,此处也是指定发布到哪些地方去。
6.现在邮件效劳器就算发布好了。
发布邮件效劳器够简单的吧!
感觉还没做就完了。
测试我这就不做了啊,方法就是这样。
测试前还是一样。
确保内网DNS效劳器上有A记录。
FQDN:
IP:
192.168.1.1;外网除了要去注册A记录,还要有MX记录用PTR记录〔前面说Sendmail、Postfix都有说过〕。
其他效劳器的发布都和这是一样的,只是选的效劳不一样而已。
OK!
本次就说到这里吧!
ISA有个说法,就是今天做的是明天的策略。
意思就是说在ISAServer上做的规那么有时候并不会即使生效。
只要耐心等待就可以了。
升级会员 