ISA的部署与应用.docx

资源描述

ISA的部署与应用.docx

《ISA的部署与应用.docx》由会员分享，可在线阅读，更多相关《ISA的部署与应用.docx（18页珍藏版）》请在冰豆网上搜索。

ISA的部署与应用.docx

ISA的部署与应用

今天给大家带来的是ISA2006的部署与应用，我相信同学们对ISAServer一定不陌生我在前面文章中给大家介绍了ISA2004的功能，本次文章主要做为硬件防火墙及ISA2004的一个补充。

1、实验环境

VMwareWorkstation6.0、WindowsServer2003EnterpriseEditionSP1、ISAServer2006企业版或标准版、WindowsXPProfessional。

2、实验拓扑

图1ISAServer2006试验拓扑

3.实验要求

（1）实验环境准备：

CA：

安装WindowsServer2003EnterpriseEdition；IP：

192.168.1.2/24，DNS：

192.168.1.2；设置DNS转发（目标：

笔者所在的南昌网通：

220.248.192.12），并同时设置在192.168.1.2和172.16.0.1两个地址上侦听；

Web：

安装WindowsServer2003Standard/EnterpriseEdition及InternetInformationServices（IIS）的计算机，配置IP信息：

172.16.0.2/24、DNS：

172.16.0.1，配置测试的Web网站；

ISAServer：

ISAServer是一台安装WindowsServer2003EnterpriseEditionSP1的计算机（ISAServer2006是以Server2003EnterpriseEditionSP1为平台开发的，因此安装ISAServer2006要求Server2003必须有SP1补丁；最新的Server2003SP2和ISAServer2006存在兼容性上的问题，因此不建议初学者使用，对此感兴趣同学请参见微软发布的相关更新：

KB939455）；

要求本机有三个网卡，分别处于不同的网络：

∙LAN接口：

VMnet2，IP：

192.168.1.1/24，DNS：

192.168.1.2；

∙DMZ接口：

VMnet3，IP：

172.16.1.1/24；

∙Internet接口：

Bridge，IP：

192.168.8.133/24，DG：

192.168.8.1（模拟Internet）；

∙一定要注意ISAServer网关的配置，ISAServer只能有一个网关！

PC1：

PC1是一部运行WindowsXPProfessional的计算机，模拟内网客户端，实验中可以省略，用CA来取代；

PC2：

PC2是一部运行WindowsXPProfessional的计算机，模拟Internet上的计算机，IP：

192.168.8.100/24、DG：

192.168.8.133，（实验中可用物理机来取代）；

（2）实验步骤：

本试验环境复杂，可逐步配置，逐步试验：

实验一ISAServer2006的安装与实验环境（3向外围网络）的搭建

1、ISAServer2006的安装，安装ISAServer2006的标准版

解压安装ISAServer2006，在弹出的如图2的画面中，选择“安装ISAServer2006”，按照提示，默认安装即可；

若是ISAServer2006企业版，则会弹出如图3的画面，在这里我们选择“同时安装ISAServer服务和配置存储服务器”。

因为ISAServer2006企业版支持网络负载平衡（NLB）最多可以扩展到32个节点；而标准版仅支持单个节点（最多个CPU，2GB内存）。

同理，ISAServer2006企业版的第一次安装要选择“创建新ISAServer服务器企业”，如图4。

鉴于虚拟机的性能和ISAServer2006企业版专为多节点设计的特色，我们这里选择ISAServer2006标准版来进行实验，但必要时会提到企业版与标准版的不同。

图2安装ISAServer2006 图3ISAServer2006的企业版安装

图4企业版的新ISAServer 图5选择ISAServer的内网网卡

在弹出的“内部网络”对话框中，单击“添加”按钮，在弹出的“地址”对话框中，如图6，单击“添加适配器”按钮，添加内网网卡：

LAN；按照提示，完成ISAServer2006的安装，下面我们来完成实验环境的搭建。

2、建立DMZ网络

DMZ网络在ISAServer中被称作“三向外围网络，DMZ区域被称为外围网络；

ISAServer2006支持多重网络的分割，共包括内部网络、外围网络、VPN客户端网络、本地主机和VPN隔离客户端这六个内置的网络，此外用户还可以添加其它网络。

ISAServer2006将各个网络隔离开来，控制它们之间的通信。

从程序菜单中打开“ISAServer服务器管理”，在弹出的启动画面中，我们选择ISAServer管理控制台下的“配置”下的“网络”；右击网络，在弹出的菜单中选择“新建”、单击“网络”，在弹出的“欢迎使用网络创建向导“页，输入合适的网络名，如：

DMZNetwork，如图6所示；下一步；

图6定义网络环境

在网络类型页，选择外围网络，如图7所示；在网络地址页，单击添加适配器，在弹出的页面中选择自定义的外围网络的网卡，如图8所示；

图7选择外围网络图8选择外围网络的网卡

完成新建网络向导，此时，我们可以在网络中看见新建的DMZNetwork；最后别忘了“应用”我们的配置，在ISAServer2006的实验中，每一次策略的更改，都要“应用”之后才能生效！

3、实验网络环境的测试：

PC1上，PingISAServer不通；反之，不通！

PC2上，PingISAServer不通；反之，不通！

Web上，PingISAServer不通；反之，不通！

以上情况说明：

ISAServer的网络环境已搭建成功，并阻止了各网对ISAServer的访问。

网络建立好后，我们需要建立对应的网络规则。

否则，ISAServer本机以及其连接的各个网络都如同孤岛一样，网络通信只能在各个网络内部进行。

下面，我们进行网络规则的创建。

实验二建立网络规则

网络规则定义了不同网络间是否能访问、以及该如何进行访问，ISAServer定义了两种类型的网络规则：

路由和NAT。

路由网络关系使用路由器的功能转发数据包；路由关系是双向的；默认情况下，是路由关系的是：

DMZ网络（内用公共IP）与Internet网络之间；

VPN客户端、VPN受隔离的客户端和内部网络之间；

NAT网络关系使用NAT技术转发数据包，NAT关系是单向的；默认默认情况下，是NAT关系的是：

VPN客户端、VPN受隔离的客户端和内部网络间到Internet网络之间；

VPN客户端、VPN受隔离的客户端和内部网络间到DMZ网络。

ISAServer：

首先建立一条DMZ网络到内部网络的路由关系规则，点击“任务”面板中的“创建网络规则”，如图9所示；

图9创建网络规则图10创建DMZ到LAN的网络规则

在欢迎使用新建网络向导页，如图10，输入合适的网络规则名称，如：

DMZtoLAN，点击下一步；

在网络通讯源页，点击添加按钮，然后在添加网络实体对话框中，选择网络下的“DMZNetwork”，添加完毕后如图11所示，点击下一步；在网络通讯目标页，点击添加，选择内部，如图12所示，点击下一步；

图11网络通讯的源图12网络通讯的目的

在网络关系页，选择路由，点击下一步；在正在完成新建网络规则向导页，点击完成；

图13网络规则的路由关系

然后创建一条DMZ网络到外部网络的NAT关系的网络规则，再次点击创建新的网络规则打开网络规则创建向导，步骤和上面的策略一样，不同的规则元素：

规则名字：

DMZtoInternet；

通讯规则源：

DMZNetwork；

通讯规则目标：

外部；实现内网对Internet的Web访问：

网络关系：

网络地址转换（NAT）；

建好后，在网络规则面板中显示如图12所示：

实验三建立防火墙策略

接下来，我们该配置防火墙策略。

首先我们建立一条访问规则，允许内部网络和DMZ网络之间相互的Ping。

右击防火墙策略，选择新建，点击访问规则；欢迎使用新建访问规则向导页，输入合适的访问规则名称，在此我命名为AllowPingbetweenLANandDMZ，如图14，点击下一步；

图14新建访问规则图15访问规则的操作

在规则操作页，选择允许，如图15，点击下一步；在协议页，选择“所选的协议”，单击“添加”，在弹出的“添加协议”对话框中，选择“通用协议”下的“PING”，如图16所示，点击下一步；

图16访问规则所需的协议图17访问规则的源

在访问规则源页，点击添加，添加DMZNetwork和内部，如图17所示，点击下一步；在访问规则目标页，点击添加，同样添加DMZNetwork和内部，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；最后别忘了应用策略。

测试我们创建的防火墙策略：

Ping测试：

CAPingDMZ，通，TTL=127；

DMZPingCA，通，TTL=127；

我们再建立一条访问规则，允许内部和DMZ网络访问外部网络（Internet）的Ping、HTTP和HTTPS服务。

步骤和上面一样，规则元素为：

规则名称：

AllowLAN&DMZaccessInternetWeb；

规则动作：

允许；

所选的协议：

Ping、HTTP、HTTPS；

访问规则源：

DMZNetwork和内部；

访问规则目标：

外部；

用户集：

所有用户；

最后应用策略。

现在我们是否已经可以访问Internet上的Web了呢？

测试！

发现，少了关键的一条：

DNS解析！

图18自定义防火墙策略

我们再建立一条访问规则，允许DNS解析，见图18。

步骤和上面一样，规则元素为：

规则名称：

AllowDNS；

规则动作：

允许；

所选的协议：

DNS；

访问规则源：

所有网络和本地主机；

访问规则目标：

所有网络和本地主机；

用户集：

所有用户；

最后应用策略，测试访问都成功，除了DMZ用域名访问Internet之外！

进一步检查发现，DMZ没有DNS，指定DNS到CA即可！

实验四定制访问规则阻塞LAN和DMZ对“XX”的访问

创建新的访问规则：

规则名称：

BlockBaidu；

规则动作：

拒绝；

所选的协议：

所有出站通信；

访问规则源：

所有网络和本地主机；

访问规则目标：

自定义域名集“Baidu”；

用户集：

所有用户；

最后应用策略，应用后的策略见图19。

在目标通信页，单击添加，在弹出的“添加网络实体”对话框中，单击“新建”在弹出的下拉式菜单中选择“域名集”；在弹出的“新建域名集策略元素”对话框中，添加合适的名称和要阻止的域名集合“*”等，如图19所示，完成并应用策略。

图19新建域名集

测试：

分别在CA和DMZ上访问，IE提示“错误代码：

403Forbidden。

TheISAServerdeniedthespecifiedUniformResourceLocator（URL）.（12202）”。

由此可以看出，URL请求被阻塞！

同时也提示我们，用IP地址访问或许不会被“Denied”！

用Ping命令获取或的IP地址，在IE地址栏中输入：

http：

//IP地址即可。

此法虽然麻烦容易出错，但毕竟提供了一种可以绕过ISAServer防火墙的限制。

那么，就ISAServer2006来讲，有没有更好的方法来阻止这样的“漏洞”呢？

或许有人会说那阻止IP吧，在没有其它办法时这招确实有效，尤其是对一些P2P软件。

实验五启用HTTP缓存，加速HTTP访问

启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。

在ISAServer2006中，有对应的缓存规则设置向导，让这一切都变得非常的容易。

设置缓存所用的驱动器：

在ISAServer2006管理控制台的缓存上单击，选择右侧详细信息中的“缓存驱动器”；右键选择“属性”；在弹出的如图19中，选择硬盘并设置缓存大小（大小取决于网络带宽、用户并发访问数量和服务器的性能，尤其是磁盘性能），完成后，应用设置，缓存功能在重新启动服务才能生效。

图20设置缓存驱动器

设置缓存规则：

ISAServer2006中，启用缓存功能后，默认有两个缓存规则：

“MicrosoftUpdae缓存规则”和“默认规则”；请同学们参照“MicrosoftUpdae缓存规则”的框架，来设置自定义的缓存规则。

实验六发布DMZ区域中的服务器

DMZ是发布公共服务的重要区域，也是受到攻击时，承担风险的区域。

ISAServer2006允许你在Internet和DMZ之间使用路由或者NAT。

也就是是说：

当你已经拥有一个使用多个公共地址的主机建立的DMZ网段，而且如果它们地址架构的改变会影响到其他服务的改变如DNS服务等，你不希望改变他们的地址架构，此时，你可以通过ISAServer来在Internet和包含你想发布的服务器的DMZ网段之间配置一个路由关系。

反之，若你部署在DMZ区域中的主机所使用的是私有IP的话，毫无疑问你的DMZ和Internet之间只能是NAT关系。

ISAServer2006防火墙策略提供了两种方式让你可以控制通过防火墙的策略：

AccessRules和PublishingRules。

访问策略（AccessRules）可以加入到路由和NAT关系。

发布策略（PublishingRules）总是对连接实行NAT。

此时，结合我们的实验拓扑，我想你已经明白：

我们要将DMZ中的Web服务发布到Internet上，需要定义一个合适的“发布策略”。

Web：

确认配置的Web网站能被正常访问，

ISAServer

在ISAServer访问控制台中选择“防火墙策略”，在右侧的任务栏中，单击“发布网站”，弹出如图21所示的“新建Web发布规则向导”；为新规则命以合适的名称，并单击下一步；

图21发布网站

在请选择规则操作页中，选择“允许”，单击下一步；在弹出的“发布类型”页面中，选择“发布单个网站或负载平衡器”，如图22所示，单击下一步；

图22发布单个网站图23服务器连接安全

在弹出的“服务器连接安全”页面，选择“使用不安全的连接发布的Web服务器或服务器场”，如图23所示，单击下一步；

如图24所示；在弹出的“内部发布详细信息”页面中，在“内部站点名称”对话框中填入DMZ中Web服务器的计算机名或（DNS名，若配置了DNS），宣择“使用计算机名称或IP地址连接发布的服务器”复选框，在“计算机或IP地址”对话框中，填入DMZ中Web服务器的IP地址；单击下一步；

图24选择要发布的内部网站图25选择发布网站的内容

如图25，在弹出的“内部发布详细信息”页面中，在“路径”对话框中，按照提示，输入要发布信息的路径；下一步；

如图26，在弹出的“公共名称细节”页面中，在“公共名称”对话框中，填入在Internet上访问此网站的公有IP地址或公用名称（合法的DNS名称），下一步；

图26要发布网站的公共名称图27选择侦听器

如图27，在弹出的“选择侦听器”页面上，单击“新建”按钮，在弹出的“新建Web侦听向导”的帮助下，建立一个用于侦听来自InternetWeb访问的接口；

如图28所示，在弹出的“Web侦听器IP地址”页面中，选中“外部”，并单击“选择IP地址”按钮，在弹出的如图29所示的“侦听器IP选择”页面中，选择“在此网络上选择IP地址”复选框，选中可用的IP地址中的公共IP，单击右侧的“添加”按钮；确定；

图28选择Web侦听器的接口图29侦听器IP选择

如图30，在弹出的“身份验证设置”页面，选择“没有身份验证”（可惜呀，ISAServer2006对比ISAServer2004最大的改进就在于此——身份验证，感兴趣的同学，可以自选相关内容），下一步；图31，完成Web侦听器的创建；

图30ISAServer2006的身份验证图31完成Web侦听器

下一步，默认只至Web发布向导的完成，并应用配置！

测试Web发布

在PC2上，在IE地址栏里输入访问此网站的公共IP地址或公共名称，连接成功！

在CA上，在ISAServer分别测试！

ISAServer防火墙及其相关内容相当繁杂，仅凭单一的实验手册很难掌握，因此向大家推荐学习ISAServer必看的站点：

和http：

//www.isacn.org/。

5.实验要点与注意事项

本试验环境复杂，可逐步配置，逐步试验；

ISAServer2006标准版不支持集群，若想安装ISAServer2006企业版，一定要配置存储服务；

ISAServer2006企业版，在单机环境，尤其是虚拟机内，表现不佳，本试验推荐使用标准版。

也有人把ISAServer2006称为ISAServer2004R2，除去心功能外，大多数关于ISAServer2004的参考资料适用于ISAServer2006；

ISAServer本机也是一个单独的网络，配置访问规则时尤其要注意；

展开阅读全文