ISA的部署与应用.docx
《ISA的部署与应用.docx》由会员分享,可在线阅读,更多相关《ISA的部署与应用.docx(18页珍藏版)》请在冰豆网上搜索。
ISA的部署与应用
今天给大家带来的是ISA2006的部署与应用,我相信同学们对ISAServer一定不陌生我在前面文章中给大家介绍了ISA2004的功能,本次文章主要做为硬件防火墙及ISA2004的一个补充。
1、实验环境
VMwareWorkstation6.0、WindowsServer2003EnterpriseEditionSP1、ISAServer2006企业版或标准版、WindowsXPProfessional。
2、实验拓扑
图1ISAServer2006试验拓扑
3.实验要求
(1)实验环境准备:
CA:
安装WindowsServer2003EnterpriseEdition;IP:
192.168.1.2/24,DNS:
192.168.1.2;设置DNS转发(目标:
笔者所在的南昌网通:
220.248.192.12),并同时设置在192.168.1.2和172.16.0.1两个地址上侦听;
Web:
安装WindowsServer2003Standard/EnterpriseEdition及InternetInformationServices(IIS)的计算机,配置IP信息:
172.16.0.2/24、DNS:
172.16.0.1,配置测试的Web网站;
ISAServer:
ISAServer是一台安装WindowsServer2003EnterpriseEditionSP1的计算机(ISAServer2006是以Server2003EnterpriseEditionSP1为平台开发的,因此安装ISAServer2006要求Server2003必须有SP1补丁;最新的Server2003SP2和ISAServer2006存在兼容性上的问题,因此不建议初学者使用,对此感兴趣同学请参见微软发布的相关更新:
KB939455);
要求本机有三个网卡,分别处于不同的网络:
∙LAN接口:
VMnet2,IP:
192.168.1.1/24,DNS:
192.168.1.2;
∙DMZ接口:
VMnet3,IP:
172.16.1.1/24;
∙Internet接口:
Bridge,IP:
192.168.8.133/24,DG:
192.168.8.1(模拟Internet);
∙一定要注意ISAServer网关的配置,ISAServer只能有一个网关!
PC1:
PC1是一部运行WindowsXPProfessional的计算机,模拟内网客户端,实验中可以省略,用CA来取代;
PC2:
PC2是一部运行WindowsXPProfessional的计算机,模拟Internet上的计算机,IP:
192.168.8.100/24、DG:
192.168.8.133,(实验中可用物理机来取代);
(2)实验步骤:
本试验环境复杂,可逐步配置,逐步试验:
实验一ISAServer2006的安装与实验环境(3向外围网络)的搭建
1、ISAServer2006的安装,安装ISAServer2006的标准版
解压安装ISAServer2006,在弹出的如图2的画面中,选择“安装ISAServer2006”,按照提示,默认安装即可;
若是ISAServer2006企业版,则会弹出如图3的画面,在这里我们选择“同时安装ISAServer服务和配置存储服务器”。
因为ISAServer2006企业版支持网络负载平衡(NLB)最多可以扩展到32个节点;而标准版仅支持单个节点(最多个CPU,2GB内存)。
同理,ISAServer2006企业版的第一次安装要选择“创建新ISAServer服务器企业”,如图4。
鉴于虚拟机的性能和ISAServer2006企业版专为多节点设计的特色,我们这里选择ISAServer2006标准版来进行实验,但必要时会提到企业版与标准版的不同。
图2安装ISAServer2006 图3ISAServer2006的企业版安装
图4企业版的新ISAServer 图5选择ISAServer的内网网卡
在弹出的“内部网络”对话框中,单击“添加”按钮,在弹出的“地址”对话框中,如图6,单击“添加适配器”按钮,添加内网网卡:
LAN;按照提示,完成ISAServer2006的安装,下面我们来完成实验环境的搭建。
2、建立DMZ网络
DMZ网络在ISAServer中被称作“三向外围网络,DMZ区域被称为外围网络;
ISAServer2006支持多重网络的分割,共包括内部网络、外围网络、VPN客户端网络、本地主机和VPN隔离客户端这六个内置的网络,此外用户还可以添加其它网络。
ISAServer2006将各个网络隔离开来,控制它们之间的通信。
从程序菜单中打开“ISAServer服务器管理”,在弹出的启动画面中,我们选择ISAServer管理控制台下的“配置”下的“网络”;右击网络,在弹出的菜单中选择“新建”、单击“网络”,在弹出的“欢迎使用网络创建向导“页,输入合适的网络名,如:
DMZNetwork,如图6所示;下一步;
图6定义网络环境
在网络类型页,选择外围网络,如图7所示;在网络地址页,单击添加适配器,在弹出的页面中选择自定义的外围网络的网卡,如图8所示;
图7选择外围网络 图8选择外围网络的网卡
完成新建网络向导,此时,我们可以在网络中看见新建的DMZNetwork;最后别忘了“应用”我们的配置,在ISAServer2006的实验中,每一次策略的更改,都要“应用”之后才能生效!
3、实验网络环境的测试:
PC1上,PingISAServer不通;反之,不通!
PC2上,PingISAServer不通;反之,不通!
Web上,PingISAServer不通;反之,不通!
以上情况说明:
ISAServer的网络环境已搭建成功,并阻止了各网对ISAServer的访问。
网络建立好后,我们需要建立对应的网络规则。
否则,ISAServer本机以及其连接的各个网络都如同孤岛一样,网络通信只能在各个网络内部进行。
下面,我们进行网络规则的创建。
实验二建立网络规则
网络规则定义了不同网络间是否能访问、以及该如何进行访问,ISAServer定义了两种类型的网络规则:
路由和NAT。
路由网络关系使用路由器的功能转发数据包;路由关系是双向的;默认情况下,是路由关系的是:
DMZ网络(内用公共IP)与Internet网络之间;
VPN客户端、VPN受隔离的客户端和内部网络之间;
NAT网络关系使用NAT技术转发数据包,NAT关系是单向的;默认默认情况下,是NAT关系的是:
VPN客户端、VPN受隔离的客户端和内部网络间到Internet网络之间;
VPN客户端、VPN受隔离的客户端和内部网络间到DMZ网络。
ISAServer:
首先建立一条DMZ网络到内部网络的路由关系规则,点击“任务”面板中的“创建网络规则”,如图9所示;
图9创建网络规则 图10创建DMZ到LAN的网络规则
在欢迎使用新建网络向导页,如图10,输入合适的网络规则名称,如:
DMZtoLAN,点击下一步;
在网络通讯源页,点击添加按钮,然后在添加网络实体对话框中,选择网络下的“DMZNetwork”,添加完毕后如图11所示,点击下一步;在网络通讯目标页,点击添加,选择内部,如图12所示,点击下一步;
图11网络通讯的源 图12网络通讯的目的
在网络关系页,选择路由,点击下一步;在正在完成新建网络规则向导页,点击完成;
图13网络规则的路由关系
然后创建一条DMZ网络到外部网络的NAT关系的网络规则,再次点击创建新的网络规则打开网络规则创建向导,步骤和上面的策略一样,不同的规则元素:
规则名字:
DMZtoInternet;
通讯规则源:
DMZNetwork;
通讯规则目标:
外部;实现内网对Internet的Web访问:
网络关系:
网络地址转换(NAT);
建好后,在网络规则面板中显示如图12所示:
实验三建立防火墙策略
接下来,我们该配置防火墙策略。
首先我们建立一条访问规则,允许内部网络和DMZ网络之间相互的Ping。
右击防火墙策略,选择新建,点击访问规则;欢迎使用新建访问规则向导页,输入合适的访问规则名称,在此我命名为AllowPingbetweenLANandDMZ,如图14,点击下一步;
图14新建访问规则 图15访问规则的操作
在规则操作页,选择允许,如图15,点击下一步;在协议页,选择“所选的协议”,单击“添加”,在弹出的“添加协议”对话框中,选择“通用协议”下的“PING”,如图16所示,点击下一步;
图16访问规则所需的协议 图17访问规则的源
在访问规则源页,点击添加,添加DMZNetwork和内部,如图17所示,点击下一步;在访问规则目标页,点击添加,同样添加DMZNetwork和内部,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;在正在完成新建访问规则向导页,点击完成;最后别忘了应用策略。
测试我们创建的防火墙策略:
Ping测试:
CAPingDMZ,通,TTL=127;
DMZPingCA,通,TTL=127;
我们再建立一条访问规则,允许内部和DMZ网络访问外部网络(Internet)的Ping、HTTP和HTTPS服务。
步骤和上面一样,规则元素为:
规则名称:
AllowLAN&DMZaccessInternetWeb;
规则动作:
允许;
所选的协议:
Ping、HTTP、HTTPS;
访问规则源:
DMZNetwork和内部;
访问规则目标:
外部;
用户集:
所有用户;
最后应用策略。
现在我们是否已经可以访问Internet上的Web了呢?
测试!
发现,少了关键的一条:
DNS解析!
图18自定义防火墙策略
我们再建立一条访问规则,允许DNS解析,见图18。
步骤和上面一样,规则元素为:
规则名称:
AllowDNS;
规则动作:
允许;
所选的协议:
DNS;
访问规则源:
所有网络和本地主机;
访问规则目标:
所有网络和本地主机;
用户集:
所有用户;
最后应用策略,测试访问都成功,除了DMZ用域名访问Internet之外!
进一步检查发现,DMZ没有DNS,指定DNS到CA即可!
实验四定制访问规则阻塞LAN和DMZ对“XX”的访问
创建新的访问规则:
规则名称:
BlockBaidu;
规则动作:
拒绝;
所选的协议:
所有出站通信;
访问规则源:
所有网络和本地主机;
访问规则目标:
自定义域名集“Baidu”;
用户集:
所有用户;
最后应用策略,应用后的策略见图19。
在目标通信页,单击添加,在弹出的“添加网络实体”对话框中,单击“新建”在弹出的下拉式菜单中选择“域名集”;在弹出的“新建域名集策略元素”对话框中,添加合适的名称和要阻止的域名集合“*”等,如图19所示,完成并应用策略。
图19新建域名集
测试:
分别在CA和DMZ上访问,IE提示“错误代码:
403Forbidden。
TheISAServerdeniedthespecifiedUniformResourceLocator(URL).(12202)”。
由此可以看出,URL请求被阻塞!
同时也提示我们,用IP地址访问或许不会被“Denied”!
用Ping命令获取或的IP地址,在IE地址栏中输入:
http:
//IP地址即可。
此法虽然麻烦容易出错,但毕竟提供了一种可以绕过ISAServer防火墙的限制。
那么,就ISAServer2006来讲,有没有更好的方法来阻止这样的“漏洞”呢?
或许有人会说那阻止IP吧,在没有其它办法时这招确实有效,尤其是对一些P2P软件。
实验五启用HTTP缓存,加速HTTP访问
启用缓存有两个条件,首先是设置了缓存所用的驱动器,其次是设置缓存规则。
在ISAServer2006中,有对应的缓存规则设置向导,让这一切都变得非常的容易。
设置缓存所用的驱动器:
在ISAServer2006管理控制台的缓存上单击,选择右侧详细信息中的“缓存驱动器”;右键选择“属性”;在弹出的如图19中,选择硬盘并设置缓存大小(大小取决于网络带宽、用户并发访问数量和服务器的性能,尤其是磁盘性能),完成后,应用设置,缓存功能在重新启动服务才能生效。
图20设置缓存驱动器
设置缓存规则:
ISAServer2006中,启用缓存功能后,默认有两个缓存规则:
“MicrosoftUpdae缓存规则”和“默认规则”;请同学们参照“MicrosoftUpdae缓存规则”的框架,来设置自定义的缓存规则。
实验六发布DMZ区域中的服务器
DMZ是发布公共服务的重要区域,也是受到攻击时,承担风险的区域。
ISAServer2006允许你在Internet和DMZ之间使用路由或者NAT。
也就是是说:
当你已经拥有一个使用多个公共地址的主机建立的DMZ网段,而且如果它们地址架构的改变会影响到其他服务的改变如DNS服务等,你不希望改变他们的地址架构,此时,你可以通过ISAServer来在Internet和包含你想发布的服务器的DMZ网段之间配置一个路由关系。
反之,若你部署在DMZ区域中的主机所使用的是私有IP的话,毫无疑问你的DMZ和Internet之间只能是NAT关系。
ISAServer2006防火墙策略提供了两种方式让你可以控制通过防火墙的策略:
AccessRules和PublishingRules。
访问策略(AccessRules)可以加入到路由和NAT关系。
发布策略(PublishingRules)总是对连接实行NAT。
此时,结合我们的实验拓扑,我想你已经明白:
我们要将DMZ中的Web服务发布到Internet上,需要定义一个合适的“发布策略”。
Web:
确认配置的Web网站能被正常访问,
ISAServer
在ISAServer访问控制台中选择“防火墙策略”,在右侧的任务栏中,单击“发布网站”,弹出如图21所示的“新建Web发布规则向导”;为新规则命以合适的名称,并单击下一步;
图21发布网站
在请选择规则操作页中,选择“允许”,单击下一步;在弹出的“发布类型”页面中,选择“发布单个网站或负载平衡器”,如图22所示,单击下一步;
图22发布单个网站 图23服务器连接安全
在弹出的“服务器连接安全”页面,选择“使用不安全的连接发布的Web服务器或服务器场”,如图23所示,单击下一步;
如图24所示;在弹出的“内部发布详细信息”页面中,在“内部站点名称”对话框中填入DMZ中Web服务器的计算机名或(DNS名,若配置了DNS),宣择“使用计算机名称或IP地址连接发布的服务器”复选框,在“计算机或IP地址”对话框中,填入DMZ中Web服务器的IP地址;单击下一步;
图24选择要发布的内部网站 图25选择发布网站的内容
如图25,在弹出的“内部发布详细信息”页面中,在“路径”对话框中,按照提示,输入要发布信息的路径;下一步;
如图26,在弹出的“公共名称细节”页面中,在“公共名称”对话框中,填入在Internet上访问此网站的公有IP地址或公用名称(合法的DNS名称),下一步;
图26要发布网站的公共名称 图27选择侦听器
如图27,在弹出的“选择侦听器”页面上,单击“新建”按钮,在弹出的“新建Web侦听向导”的帮助下,建立一个用于侦听来自InternetWeb访问的接口;
如图28所示,在弹出的“Web侦听器IP地址”页面中,选中“外部”,并单击“选择IP地址”按钮,在弹出的如图29所示的“侦听器IP选择”页面中,选择“在此网络上选择IP地址”复选框,选中可用的IP地址中的公共IP,单击右侧的“添加”按钮;确定;
图28选择Web侦听器的接口 图29侦听器IP选择
如图30,在弹出的“身份验证设置”页面,选择“没有身份验证”(可惜呀,ISAServer2006对比ISAServer2004最大的改进就在于此——身份验证,感兴趣的同学,可以自选相关内容),下一步;图31,完成Web侦听器的创建;
图30ISAServer2006的身份验证 图31完成Web侦听器
下一步,默认只至Web发布向导的完成,并应用配置!
测试Web发布
在PC2上,在IE地址栏里输入访问此网站的公共IP地址或公共名称,连接成功!
在CA上,在ISAServer分别测试!
ISAServer防火墙及其相关内容相当繁杂,仅凭单一的实验手册很难掌握,因此向大家推荐学习ISAServer必看的站点:
和http:
//www.isacn.org/。
5.实验要点与注意事项
本试验环境复杂,可逐步配置,逐步试验;
ISAServer2006标准版不支持集群,若想安装ISAServer2006企业版,一定要配置存储服务;
ISAServer2006企业版,在单机环境,尤其是虚拟机内,表现不佳,本试验推荐使用标准版。
也有人把ISAServer2006称为ISAServer2004R2,除去心功能外,大多数关于ISAServer2004的参考资料适用于ISAServer2006;
ISAServer本机也是一个单独的网络,配置访问规则时尤其要注意;
升级会员 