ISA防火墙.docx
《ISA防火墙.docx》由会员分享,可在线阅读,更多相关《ISA防火墙.docx(20页珍藏版)》请在冰豆网上搜索。
ISA防火墙
ISAServer2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明,有很多网友也提出这个问题。
我花了一天时间,进行N次尝试和测试,获得了一手资料。
本文适用于已经有一定ISA和网络技术基础的网友参考,请初入门的网友先学习其他文章。
由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计,所以针对国内的实际情况(很多网友的网络只有一个Internet的IP地址),模板需要做很大调整。
外围网使用公网IP的情况按照模板不需要调整,很容易实现,这里就不做介绍了。
只有一个公网IP的也有两种情况,后端防火墙内的网络需要不需要被外围网访问。
先介绍后端防火墙内的电脑或者服务器,不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况,这种情况比较简单。
在第一种和第二种情况下网络构成不变。
一、外围网不需访问后端防火墙内的电脑或者服务器
1.要求
服务器网段(FTP服务器,WEB服务器,邮件服务器)不能上网,只能被外部和外围网有限访问一些服务,外围网和后端防火墙网段能够上网,后端防火墙网段可以访问外围网和服务器网段。
2.网络构成
前端防火墙共3张网卡,
网卡1
连接对外服务的服务器
IP:
192.168.1.1/24无网关,无DNS
网卡2
连接外围网
IP:
192.168.100.1/24无网关,无DNS
网卡3
使用PPPoE拨号得到外部IP,网关,DNS服务器地址
外围网客户端的网络设置
IP:
192.168.100.*/24网关192.168.100.1,DNS192.168.100.1
在ISA服务器上建立DNS服务器,转发到ISP提供的DNS服务器
后端防火墙2网卡,
网卡1
连接外围网
IP:
192.168.100.2/24,网关192.168.100.1,DNS192.168.100.1
网卡2
连接内部上网电脑
IP:
192.168.50.1/24无网关,无DNS
3.1设置前端防火墙
如图使用前端防火墙模板,点击模板,
如果需要保持以前的网络设定,可以在此处导出网络设置文件,备份。
添加外围网的地址范围,
为了测试方便,我们在这里选择允许无限制的访问,在实际运用种,应该按照各自需要设定。
前端防火墙模板完成。
3.2增加对外访问的服务器网段
如图点击创建一个新的网络,
选择外围网,
加入对外服务服务器的地址段
建立网络之间关系,创建一个新的网络规则,
定义对外服务服务器网段的名字,
增加网络源
增加目标网络
选择关系是路由,
最后点击完成。
我们配置到这里,需要确认一下是否都配置正确。
下面我们发布一下一2121为非正常端口的FTP服务器
如图建立发布规则
注意它的属性,其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布,这里不在做详细的规则配置介绍,不熟悉的网友,请先参看其它文章。
3.3在不需要外网网访问的情况下,后端防火墙没有特别的和边缘防火墙模板相同,完全可以使用边缘防火墙模板,这里不说明边缘防火墙的设置,在第二种情况下,需要外网网访问后端防火墙内电脑的时候,做详细说明。
注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定。
3.4测试
从公网IP进行FTP测试
***CuteFTPPro3.0-buildOct72002***
状态:
>正在获取列表""...
状态:
>正在连接主机名称...
状态:
>主机已连接:
ip=43.*.*.27。
状态:
>正在连接到ftp服务器:
2121(ip=43.*.*.27)...
状态:
>接口已连接。
正在等候欢迎消息...
220Serv-UFTPServerv5.1forWinSockready...
状态:
>已连接。
正在登陆...
命令:
>USERtest
331Usernameokay,needpassword.
命令:
>PASS*****
230Userloggedin,proceed.
状态:
>登录成功。
命令:
>PWD
257"/"iscurrentdirectory.
状态:
>Homedirectory:
/
命令:
>FEAT
211-Extensionsupported
CLNT
MDTM
MDTMYYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITEPSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
RESTSTREAM
XCRCfilename;start;end
MODEZ
211End
状态:
>该站点支持features。
状态:
>这个站点支持XCRC.
状态:
>这个站点支持SIZE.
状态:
>该站点可以续传中断的下载。
命令:
>REST0
350Restartingat0.SendSTOREorRETRIEVE.
命令:
>PASV
227EnteringPassiveMode(43,244,170,27,25,29)
命令:
>LIST
状态:
>正在连接ftp数据socket43.244.170.27:
6429...
150OpeningASCIImodedataconnectionfor/bin/ls.
226Transfercomplete.
状态:
>传送完成。
从内部ping,
从内部对FTP测试
***CuteFTPPro3.3-buildSep292003***
状态:
>正在获取列表“”...
状态:
>正在连接到ftp服务器192.168.1.11:
2121(ip=192.168.1.11)...
状态:
>Socket已连接。
正在等候欢迎消息...
220Serv-UFTPServerv5.1forWinSockready...
状态:
>已连接。
正在验证...
命令:
>USERtest
331Usernameokay,needpassword.
命令:
>PASS*****
230Userloggedin,proceed.
状态:
>登录成功。
命令:
>PWD
257"/"iscurrentdirectory.
状态:
>Homedirectory:
/
命令:
>FEAT
211-Extensionsupported
CLNT
MDTM
MDTMYYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITEPSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
RESTSTREAM
XCRCfilename;start;end
MODEZ
211End
状态:
>该站点支持features。
状态:
>该站点支持XCRC。
状态:
>该站点支持SIZE。
状态:
>该站点可以续传中断的下载。
命令:
>REST0
350Restartingat0.SendSTOREorRETRIEVE.
命令:
>PASV
227EnteringPassiveMode(192,168,1,11,4,9)
命令:
>LIST
状态:
>正在连接ftp数据socket192.168.1.11:
1033...
150OpeningASCIImodedataconnectionfor/bin/ls.
226Transfercomplete.
状态:
>传送完成。
FTP服务器上的信息
[5]Wed27Oct0413:
56:
24-(000003)Connectedto192.168.100.2(Localaddress192.168.1.11)
[5]Wed27Oct0413:
56:
25-(000003)UserTESTloggedin
[5]Wed27Oct0414:
00:
23-(000004)Connectedto202.*.*.211(Localaddress192.168.1.11)
[5]Wed27Oct0414:
00:
23-(000004)UserTESTloggedin
在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器,
我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP,是后端防火墙ISA的IP,也就是说,在使用普通模板不修改设置的时候,后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络,所以外围网不能自由访问后端防火墙内部的电脑,只能以发布的方式访问个别电脑的个别服务,就同发布服务器一样。
二、外围网需要访问后端ISA内部电脑的情况
就是说,在前端防火墙ISA后面,所有网络都可以到达,这个配置起来比较复杂。
我们在已经配置好第一种情况的基础上进行修改。
1.我们修改前端防火墙ISA的设置,网络规则不作修改,防火墙策略不作修改。
如图:
配置网络-网络-外围-属性--添加地址
我们把后端防火墙内部的IP地址增加进去
打开前端防火墙ISA上的路由和远程访问,增加静态路由。
警告,在不明确知道做什么的情况下,不要去动ISA服务器上的路由和远程访问!
添加,网关为后端服务器IP,接口为和后端防火墙连接的那个网卡。
个人的网卡标识不同,自己确认。
2.配置后端防火墙
如图,选择后端防火墙模板
添加后端防火墙地址范围
同样为了测试方便,允许无限制访问,以后可自行修改。
翻到网络规则,我们看这里是NAT,
把网络关系变成路由,
填写前端防火墙地址,
外围网络地址范围。
这些在构筑测试的时候没有用处,在以后的实际运用中,如限定上网权限等等非常有用。
防火墙策略规则为了测试方便,如图配成这样
下面做测试
在192.168.50.10机器上做如下测试
C:
\DocumentsandSettings\sam>ping192.168.100.1
Pinging192.168.100.1with32bytesofdata:
Replyfrom192.168.100.1:
bytes=32time=6msTTL=127
Replyfrom192.168.100.1:
bytes=32timemilli-seconds:
Minimum=0ms,Maximum=6ms,Average=1ms
C:
\DocumentsandSettings\sam>ping192.168.1.10
Pinging192.168.1.10with32bytesofdata:
Replyfrom192.168.1.10:
bytes=32time=3msTTL=248
Replyfrom192.168.1.10:
bytes=32time=1msTTL=248
Replyfrom192.168.1.10:
bytes=32time=1msTTL=248
Replyfrom192.168.1.10:
bytes=32time=1msTTL=248
Pingstatisticsfor192.168.1.10:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=1ms,Maximum=3ms,Average=1ms
在ISA前端防火墙上做
C:
\DocumentsandSettings\test>ping192.168.50.10
Pinging192.168.50.10with32bytesofdata:
Replyfrom192.168.50.10:
bytes=32time=3msTTL=127
Replyfrom192.168.50.10:
bytes=32timemilli-seconds:
Minimum=0ms,Maximum=3ms,Average=0ms
在Server段机器上作
C:
\DocumentsandSettings\tes>ping192.168.50.11
Pinging192.168.50.11with32bytesofdata:
Replyfrom192.168.50.11:
bytes=32time=1msTTL=62
Replyfrom192.168.50.11:
bytes=32timemilli-seconds:
Minimum=0ms,Maximum=1ms,Average=0ms
在192.168.50.10的电脑上访问192.168.100.15的web服务器
访问在前端防火墙上的WEB服务器,可以看到你的真是IP内容已经变成真实的IP了。
这样就可以在外围网对IP的访问权限进行限定。
至此所有配置按照要求完成。
下面是对于具体细节的设定,比如后端防火墙不能所有到所有,所有协议,所有出入,可以根据服务器段范围,外围网范围,需要那些服务协议,按照需要自行设定.
ISAServer是建立在Windows2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。
ISAServer的多层防火墙可以保护网络资源免受病毒、黑客的入侵和XX的访问。
而且,通过本地而不是Internet为对象提供服务,其Web缓存服务器允许组织能够为用户提供更快的Web访问。
在网络内安装ISAServer时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼备。
ISAServer提供直观而强大的管理工具,包括Microsoft管理控制台管理单元、图形化任务板和逐步进行的向导。
利用这些工具,ISAServer能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。
ISAServer提供一个企业级Internet连接解决方案,它不仅包括特性丰富且功能强大的防火墙,还包括用于加速Internet连接的可伸缩的Web缓存。
根据组织网络的设计和需要,ISAServer的防火墙和Web缓存组件可以分开配置,也可以一起安装。
ISAServer有两个版本,以满足您对业务和网络的不同需求。
ISAServer标准版可以为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存能力。
ISAServer企业版是为大型组织设计的,支持多服务器阵列和多层策略,提供更易伸缩的防火墙和Web缓存服务器。
利用Windows2000安全数据库,ISAServer允许您根据特定的通信类型,为Windows2000内定义的用户、计算机和组设置安全规则,具有先进的安全特性。
利用ISAManagement控制台,ISAServer使防火墙和缓存管理变得很容易。
ISAManagement采用MMC,并且广泛使用任务板和向导,大大简化了最常见的管理程序,从而集中统一了服务器的管理。
ISAServer也提供强大的基于策略的安全管理。
这样,管理员就能将访问和带宽控制应用于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间表和站点。
总之,ISAServer是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台,利用它您可以根据自身业务需要量身定制Internet安全解决方案。
ISAServer的作用
不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营成本,对其IT管理者、网络管理员和信息安全专业人员来说,ISAServer都具备使用价值。
ISAServer有3种不同的安装模式:
防火墙(Firewall)模式、缓存(Cache)模式和集成(Integrated)模式。
集成模式能够在同一台计算机上实现前两种模式。
组织可以有多种联网方案来部署ISAServer,包括以下所述的几种方法。
1.Internet防火墙
ISAServer可以安装成专用防火墙,作为内部用户接入Internet的安全网关。
在信道里ISAServer计算机对其他方来说是透明的。
除非是违反了访问或安全规则,那么任何用户或应用程序通过防火墙时都看不到ISAServer。
作为防火墙,ISAServer允许设置一组广泛的规则,以指定能够通过ISAServer的站点、协议和内容,由此实现您的商业Internet安全策略。
通过监视内部客户机和Internet之间的请求和响应,ISAServer可以控制哪些人能够访问公司网络里的哪台计算机。
ISAServer还能控制内部客户端能够访问Internet上的哪台计算机。
2.安全服务器发布
使用ISAServer您能够向Internet发布服务,而且不会损害内部网络的安全。
要实现这一点,只需让ISAServer计算机代表内部发布服务器来处理外部客户端的请求即可。
3.正向Web缓存服务器
作为正向Web缓存服务器,ISAServer保存集中缓存内经常受到请求的Internet内容,专用网络内的任何Web浏览器都可以访问这些内容。
这样可以改善客户端浏览器的性能,缩短响应时间,并且减少Internet连接的带宽消耗。
4.反向Web缓存服务器
ISAServer可以作为Web服务器。
它用缓存中的Web内容来满足传入的客户端请求。
只有缓存中的内容不能满足请求时,它才会把请求转发给Web服务器。
5.防火墙和Web缓存集成服务器
组织可以将ISAServer配置成单独的防火墙和缓存组件。
不过,有些管理员会选择单一的防火墙和Web缓存集成服务器,以提供安全快速的Internet连接。
不管组织如何配置ISAServer,都能从集中化、集成的基于策略的管理中受益。
ISA2004是企业中常用的防火墙软件,功能非常丰富,下面我们通过一个简单的实例来介绍一下ISA防火墙的一个最常用的功能。
下图是常见的一种网络结构,一个公司的服务器位于内部网络,ISA防火墙用于保护这些服务器免受攻击,并且将服务器发布到外网,使外网客户端能够访问服务器的资源。
要实现这个功能,安装有ISAServer的主机需要安装有两块网卡,如下图所示,并且需要分别为两块网卡分配外部公网地址和内部网络的私有地址,在这个实验中,我们拥有两个外网IP地址,分别是202.0.0.10和202.0.0.20,内网地址我们选用的是10.1.1.0网段。
一、首先我们需要安装ISA,ISA防火墙需要Windows2000ServerSP3,WindowsServer2003,或者WindowsServer2008。
安装前首先要确认自己的系统支持ISA2004。
安装时按照以下步骤即可。
安装欢迎界面如下图。
在安装过程中,需要指定内部网络的地址范围。
如下图所示,单击“添加”
输入内网地址范围后单击“添加”,可以同时添加多个内网范围的IP。
也可以在右侧选中已存在的内网IP将其删除。
输入以上信息以后,即可完成安装,安装完成之后,安装程序会自动建立ISA的程序组,在其中选择ISA管理器即可进入ISA的管理界面。
管理界面如下图所示:
在界面右侧单击“连接到本地和远程ISA服务”,默认会连接到本地的ISA服务。
接下来我们要将内网的一台web服务器发布到外网,在本实验中,我们设定的内网web服务器的地址是10.1.1.100,发布到外网的服务器地址是202.0.0.10。
在左侧本地ISA服务的窗口中,点击“防火墙策略”,并且在右侧常用的策略任务中选择“发布一个web服务器”,如下图所示,请注意红色区域:
接下来系统会弹出“新建web发布规律向导”,如下图,在这里,我们可以给这个发布规则命名。
合理的命名可以让我们在同时存在多个规则的时候很容易将它们区分开来。
接下来按下图所示为新的规则选择条件满足的时候的响应方式,发布任何一种服务器时,我们都要选择“允许”
在点击“下一步”以后,我们会看到“定义要发布的网站”的窗口,如下图,在这里,我们要设定要发布的服务器的内部IP地址,填入我们要发布的内网web服务器地址10.1.1.100,然后点击“下一步”。
为发布的服务器设定侦听器,在接下来的窗口中,点击“新建”:
该服务器针对外网发布,所以侦听范围要选择外网,在拥有多个外网IP时候,可以指定具体的某个IP地址给我们要发布的服务器,点击“地址”按钮来设定具体的外网IP。
如下图:
在可用的外网地址列表中选择一个外网IP,这个地址就是我们从外网访问该服务器所用的地址。
给这个web侦听器指定端口,默认为80,同时可选择https的端口443
点击“完成”,完成web侦听器的配置。
在接下来的设置中,选择我们刚刚设定的web侦听器名称,点击下一步:
接下来我们可以选择允许使用该服务器的用户,可以选择“所有用户”,也可以指定仅仅“外网用户”可以访问该服务器。
然后我们就完成了这个web服务器的发布。
升级会员 