防火墙策略的组成.docx

1、防火墙策略的组成防火墙策略的组成在ISA效劳器装置成功后，其防火墙战略默以为制止一切内外通讯，所以我们需求在效劳器上树立相应的防火墙战略，以使内外通讯成功。在本章，我们将引见ISA的基本配置，使外部的一切用户有限制的访问外部网络。在ISA Server 2004中，防火墙战略是由网络规那么、访问规那么和效劳器发布规那么三者的共同组成。网络规那么：定义了不同网络间能否停止通讯、以及知用何各方式停止通讯。访问规那么：那么定义了内、外网的停止通讯的详细细节。效劳器发布规那么：定义了如何让用户访问效劳器。3.1.1 网络规那么ISA2004经过网络规那么来定义并描画网络拓扑，其描画了两个网络实体之间能

2、否存在衔接，以及定义如何停止衔接。相关于ISA2000，可以说网络规那么是ISA Server 2004中的一个很大的提高，它没有了ISA Server 2000只要一个LAT表的限制，可以很好的支持多网络的复杂环境。在ISA2004的网络规那么中定义的网络衔接的方式有：路由和网络地址转换。3.1.1.1 路由路由是指相互衔接起来的网络之间停止途径寻觅和转发数据包的进程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功用的严密集成，使其具有很强的路由功用。在ISA2004中，当指定这种类型的衔接时，来自源网络的客户端央求将被直接转发到目

3、的网络，而无须停止地址的转换。当需求发布位于DMZ网络中的效劳器时，我们可以配置相应的路由网络规那么。需求留意的是，路由网络关系是双向的。假设定义了从网络 A 到网络 B 的路由关系，那么从网络 B到网络 A 也异样存在着路由关系，这同我们在停止硬件或软件路由器配置的原理相反。3.1.1.2 网络地址转换NATNAT即网络地址转换Network Address Translator，在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一项重要功用。NAT方式也称之为Internet的路由衔接，经过它在局域网和Internet主机间转发数据包从

4、而完成Internet的共享。ISA2004由于同Windows 2000 Server和Windows server 2003的路由和远程访问功用集成，所以支持NAT的的衔接类型。当运转NAT的计算机从一台外部客户机接纳到外出央求数据包时，它会把信息包的包头换掉，把客户机的外部IP地址和端口号翻译成NAT效劳器自己的外部IP地址和端口号，然后再将央求包发送给Internet上的目的主机。当NAT效劳器从Internet主机接纳到回答信息后，它也会将其包头停止交流，将自己的外部IP地址和端口号转换为央求客户机的外部IP地址的端口号，然后再把信息包发内网的客户机。当在ISA2004中指定了这促类

5、型的衔接后， ISA 效劳器将用它自己的 IP 地址交流源网络中的客户端的 IP 地址。从而对外隐藏了外部管理的IP，同时也隐藏了外部网络结构，从而降低了外部网络遭到攻击的风险，并可增加了IP 地址注册的费用。需求留意的是：NAT 关系是独一的和单向的。假设定义了从网络 A到网络 B 的 NAT 关系，那么不会自动定义从 B 到 A 的网络关系。您可以创立定义双向关系的网络规那么，但是 ISA 效劳器将疏忽有序规那么列表中的第二条网络规那么。3.1.1.3 默许网络规那么在停止ISA2004的装置时，系统会创立以下默许规那么如图3-1所示：本地主机访问：此规那么定义了在本地主机网络与其他一切网

6、络之间存在的路由关系。VPN 客户端到外部网络：此规那么指定在两个 VPN 客户端网络.VPN 客户端.和.被隔离的 VPN 客户端.与外部网络之间存在着路由关系。Internet 访问：此规那么定义了在外部受维护的网络如外部、VPN客户端等与外部网络之间存在的 NAT关系。3.1.2 访问规那么访问规那么决议源网络上的客户端如何访问目的网络上的资源。我们可以将访问规那么配置为适用于一切 IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的一切 IP 通讯。也可以在访问规那么中对用户访问停止准确的限定。当客户端运用特定协议央求对象时，ISA 效劳器会在访问规那么列表中从上而下地停止反省。

7、只要当某个访问规那么明白允许客户端运用特定的协议停止通讯，并且允许访问央求的对象时才处置央求。在ISA2004的装置进程中会自动创立默许的系统战略，其中包括了预配置的、协议定义的访问规那么列表，其中包括最普遍运用的 Internet 协议，以允许ISA Server 2004效劳器能访问它衔接到的网络的特定效劳。以下图显示的是默许系统战略中的内容。32 树立允许客户访问Internet的防火墙战略在装置好ISA2004后，我们需求树立相应的防火墙访问战略以允许企业外部员工经过ISA效劳器停止平安的Internet访问。在本节中，我们将以一个详细的实例让大家体会一下如何应用防火墙战略来树立访问规

8、那么，以使企业外部的一切客户能访问Internet的一切效劳。要完成这个战略的树立，我们需求完成以下任务：配置外部的DNS效劳器。树立访问战略。 3.2.1 树立外部的DNS效劳器Internet的基本协议是TCP/IP，在网上的每一台计算机用独一的IP地址停止标识。但在实践的运用中，为了便于记忆，往往给每一台计算机取友好称号，要访问的网址也是一样，称为域名。比如我们要访问微软网站，那么在阅读器的地址栏输入的域名是url microsoft /url，但是计算机系统自身是不能识别这个域名的，要访问到这个网站需求知道效劳器的真实IP地址，所以在中间就需求一个称号解析系统，行将域名url micr

9、osoft /url解析为其效劳器的IP地址如207.46.156.252，这个称号解析系统如今的互联网中运用的是DNSDomain Name System。当用户用域名在访问Internet上的网站时，需求外部DNS为之停止域名解析；而当企业用户用域名访问公司外部的网络资源时，需求外部DNS停止域名解析。但假设企业用户既要访问企业外部网站，又要访问Internet上的资源时，DNS应怎样停止设置的。在这种状况下，我们可以树立企业外部的DNS效劳器，使之可以解析外部域名，然后将之设置外部DNS的转发器，当外部用户访问资源时，由外部DNS效劳器将其央求发给外部DNS，从而取得外部资源的域名解析。

10、3.2.1.1 装置外部的DNS效劳器以管理员身份登录到需求装置DNS的Windows效劳器上可以同ISA效劳器装置在同一台计算机上，也可以区分在不同的计算机上停止装置，停止如下进程的装置和配置：1、翻开控制面板下的添加/删除顺序，单击添加/删除Windows组件。2、在Windows组件导游中双击网络效劳，在出现的对话框中选择域名系统DNS，点击【确定】，再点击【下一步】按钮.，并按导游要求完成DNS效劳的装置。3、在Windows server 2003的管理工具中选择DNS，进入DNS管理控制台，右键单击效劳器，在出的菜单中选择属性。4、在属性对话框中选择接口选项卡，然后添加外部接口地址

11、。如下图。图 3-7 配置DNS外部接口5、选择转发器选项卡，先选中下面的一切其它DNS域，然后在所选域的转发器的IP地址列表中添加ISP为你提供的外部DNS效劳器的IP地址。如下图。6、单击【确定】按钮，完成效劳器端DNS的装置和配置。3.2.1.2 客户端的DNS配置客户端DNS的配置步骤如下：1、登录到客户机上，在桌面上用右键单击网上邻居图标，在出现的菜单中选择属性。2、在网络衔接的属性窗口中，用右键单击本地衔接，在出现的菜单中选择属性，进入到本地衔接属性对话框中。3、在本地衔接属性页中选中Internet协议TCP/IP，再点击【属性】按钮，在出现的TCP/IP属性页的首选DNS效劳器

12、中，输入外部DNS效劳器的IP地址，点击【确定】按钮，完成客户端配置。如下图。3.2.2 树立访问战略要使外部用户经过ISA效劳器访问Internet，必需要树立访问战略。在本例中我们需求树立两条访问战略：一条访问战略以允许企业用户经过ISA效劳器访问Internet；另一条战略以允许企业用户访问ISAServer2004 效劳器的DNS效劳。3.2.2.1 树立允许一切外出通讯的访问战略树立访问战略的步骤如下：1、翻开ISA管理控制台，右键单击防火墙战略，在出现的菜单中选择新建访问规那么。如下图。2、在新建访问规那么导游中，输入访问规那么称号。如下图。图 3-12 输入规那么称号3、在规那么

13、操作对话框中选择允许，以便允许通讯的停止。如下图。图 3-13 配置规那么操作4、在协议对话框中选择一切出站通讯，表示可以访问Internet上的一切效劳。如下图。 5、在访问规那么源对话框中单击【添加】按钮。在出现的添加网络实体对话框中展开网络，选择外部如要允许ISA效劳器访问Internet，在那么可选本地主机，然后单击【添加】按钮，表示一切的通讯源来自于企业外部。如下图。6、在访问规那么目的对话框中单击【添加】按钮。在出现的添加网络实体对话框中展开网络，选择外部，然后点击【添加】按钮，表示要访问网络外部的资源。7、在用户集对话框中，采用默许的一切用户，表示内网的一切用户都可以经过ISA效

14、劳器访问外部的资源。点击【下一步】按钮完成战略的树立。3.2.2.2 树立允许客户访问外部DNS的访问战略树立进程如下：1、翻开ISA管理控制台，右键单击防火墙战略，在出现的菜单中选择新建访问规那么，在访问规那么导游中输入规那么名，这里我们取名为访问ISA主机上的DNS。2、在规那么操作中选择允许，在此规那么运用到选项中选择所选择的协议，然后单击【添加】按钮，在添加协议对话框中展开通用协议，选择DNS，单击【添加】按钮，单击【封锁】按钮完成协议的设置。如下图。3、在访问规那么目的对话框中单击【添加】按钮，在出现的添加网络实体对话框中展开网络，然后选择本地主机，单击【添加】按钮，表示要访问ISA

15、效劳器上的DNS效劳4、依据导游按默许选项完本钱访问战略的树立。3.2.2.3 运用访问战略为了使所树立的访问战略失效，须在左边窗格中单击【运用】按钮，以保管修正和更新防火墙战略。防火战略失效后，你可以在客户机经过ISA效劳器访问Internet上的一切效劳，如QQ、MSN等。33 配置拨号衔接如今企业访问互连网很多都是采用ADSL宽带拨号方式，所以在ISA Server 2004的效劳器中，需为经过拨号上网配置相应的拨号衔接。配置好央求拨号后，无论何时本地网络上的Web代理客户端或许是防火墙客户端央求一个远程主机时，您的ISA Server计算机能自动启动拨号衔接。要完成ISA2004拨号上

16、网配置，需求先在拨号效劳器上停止ADSL拨号设置，然后在ISA效劳器上停止拨号设置。3.3.1 树立拨号效劳器的拨号衔接ADSL 拨号的方式有很多种，如ethernet、raspppoe等，这些拨号方式需求装置相应的拨号软件，而Windows Server 2003 内置了宽带拨号的支持，按导游一步一步完成配置，复杂明了。在这里，我们就以Windows server 2003的拨号衔接树立方式为例，配置步骤如下：1、在网络衔接属性窗口中，双击新建衔接导游，在出现的对话框中选择Internet衔接，单击【下一步】按钮，在出现的对话框中选择用要求用户名和密码的宽带衔接来衔接。2、在ISP称号对话框

17、中输入向企业提供ADSL接入效劳的ISP的称号。如图3-23所示。3、在可用衔接中选择任何人运用，表示允许外部一切用户均可用这个拨号衔接。4、在Internet帐号对话框中，输入由ISP分配给你的用户名和口令，点单击【下一步】按钮完成ADSL衔接的树立。3.3.2 配置ISA效劳器的拨号衔接在ISA效劳器上配置拨号衔接的步骤如下：1、在ISA管理控制台中，选择惯例，然后在左边的详细窗格中选择指定拨号首选项。如下图。2、在拨号配置对话框中选择自动拨此网络，并将值设为外部。勾选将此拨号衔接配置为默许网关，在拨号衔接中选择在Windows Server 2003中树立的169宽带拨号衔接，然后单击【设置帐户】按钮。如下图。4、在设置帐户对话框中，输入由ISP提供的用户名和口令，单击【确定】按钮完成配置。