ISA的部署与应用.docx

1、ISA的部署与应用今天给大家带来的是ISA2006的部署与应用，我相信同学们对ISA Server一定不陌生我在前面文章中给大家介绍了ISA2004的功能，本次文章主要做为硬件防火墙及ISA2004的一个补充。 1、实验环境 VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP1、ISA Server 2006企业版或标准版、Windows XP Professional。 2、实验拓扑 图1 ISA Server 2006试验拓扑 3. 实验要求 （1）实验环境准备： CA：安装Windows Server 2003

2、 Enterprise Edition；IP：192.168.1.2/24，DNS：192.168.1.2；设置DNS转发（目标：笔者所在的南昌网通：220.248.192.12），并同时设置在192.168.1.2和172.16.0.1两个地址上侦听； Web：安装Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS） 的计算机，配置IP信息：172.16.0.2/24、DNS：172.16.0.1，配置测试的Web网站； ISA Server：ISA Server是一台安装Wi

3、ndows Server 2003 Enterprise Edition SP1的计算机（ISA Server 2006是以Server 2003 Enterprise Edition SP1为平台开发的，因此安装ISA Server 2006要求Server 2003必须有SP1补丁；最新的Server 2003 SP2和ISA Server 2006存在兼容性上的问题，因此不建议初学者使用，对此感兴趣同学请参见微软发布的相关更新：KB939455）； 要求本机有三个网卡，分别处于不同的网络： LAN接口：VMnet 2，IP：192.168.1.1/24，DNS：192.168.1.2；

4、DMZ接口：VMnet 3，IP：172.16.1.1/24； Internet接口：Bridge，IP：192.168.8.133/24，DG：192.168.8.1（模拟Internet）； 一定要注意ISA Server网关的配置，ISA Server只能有一个网关！ PC1：PC1是一部运行Windows XP Professional的计算机，模拟内网客户端，实验中可以省略，用CA来取代； PC2：PC2是一部运行Windows XP Professional的计算机，模拟Internet上的计算机，IP：192.168.8.100/24、DG：192.168.8.133，（实验中可

5、用物理机来取代）； （2）实验步骤：本试验环境复杂，可逐步配置，逐步试验： 实验一 ISA Server 2006的安装与实验环境（3向外围网络）的搭建1、 ISA Server 2006的安装 ，安装ISA Server 2006的标准版解压安装ISA Server 2006，在弹出的如图2的画面中，选择“安装ISA Server 2006”，按照提示，默认安装即可；若是ISA Server 2006企业版，则会弹出如图3的画面，在这里我们选择“同时安装ISA Server服务和配置存储服务器”。因为ISA Server 2006企业版支持网络负载平衡（NLB）最多可以扩展到32个节点；而标

6、准版仅支持单个节点（最多个CPU，2GB内存）。同理，ISA Server 2006企业版的第一次安装要选择“创建新ISA Server服务器企业”，如图4。鉴于虚拟机的性能和ISA Server2006企业版专为多节点设计的特色，我们这里选择ISA Server2006标准版来进行实验，但必要时会提到企业版与标准版的不同。图2 安装ISA Server 2006 图3 ISA Server 2006的企业版安装 图4 企业版的新ISA Server 图5 选择ISA Server的内网网卡 在弹出的“内部网络”对话框中，单击“添加”按钮，在弹出的“地址”对话框中，如图6，单击“添加适配器”按

7、钮，添加内网网卡：LAN；按照提示，完成ISA Server 2006的安装，下面我们来完成实验环境的搭建。2、 建立DMZ网络 DMZ网络在ISA Server中被称作“三向外围网络，DMZ区域被称为外围网络； ISA Server 2006支持多重网络的分割，共包括内部网络、外围网络、VPN客户端网络、本地主机和VPN隔离客户端这六个内置的网络，此外用户还可以添加其它网络。ISA Server 2006将各个网络隔离开来，控制它们之间的通信。 从程序菜单中打开“ISA Server服务器管理”，在弹出的启动画面中，我们选择ISA Server管理控制台下的“配置”下的“网络”；右击网络，在

8、弹出的菜单中选择“新建”、单击“网络”，在弹出的“欢迎使用网络创建向导“页，输入合适的网络名，如：DMZ Network，如图6所示；下一步；图6 定义网络环境 在网络类型页，选择外围网络，如图7所示； 在网络地址页，单击添加适配器，在弹出的页面中选择自定义的外围网络的网卡，如图8所示； 图7 选择外围网络 图8 选择外围网络的网卡 完成新建网络向导，此时，我们可以在网络中看见新建的DMZ Network；最后别忘了“应用”我们的配置，在ISA Server 2006的实验中，每一次策略的更改，都要“应用”之后才能生效！ 3、实验网络环境的测试： PC 1上，Ping ISA Server不通

9、；反之，不通！ PC 2上，Ping ISA Server不通；反之，不通！ Web上，Ping ISA Server不通；反之，不通！ 以上情况说明：ISA Server的网络环境已搭建成功，并阻止了各网对ISA Server的访问。网络建立好后，我们需要建立对应的网络规则。否则，ISA Server本机以及其连接的各个网络都如同孤岛一样，网络通信只能在各个网络内部进行。下面，我们进行网络规则的创建。实验二 建立网络规则 网络规则定义了不同网络间是否能访问、以及该如何进行访问，ISA Server定义了两种类型的网络规则：路由和NAT。路由网络关系使用路由器的功能转发数据包；路由关系是双向的

10、；默认情况下，是路由关系的是： DMZ网络（内用公共IP）与Internet网络之间； VPN客户端、VPN受隔离的客户端和内部网络之间； NAT网络关系使用NAT技术转发数据包，NAT关系是单向的；默认默认情况下，是NAT关系的是： VPN客户端、VPN受隔离的客户端和内部网络间到Internet网络之间； VPN客户端、VPN受隔离的客户端和内部网络间到DMZ网络。ISA Server：首先建立一条DMZ网络到内部网络的路由关系规则，点击“任务”面板中的“创建网络规则”，如图9所示； 图9 创建网络规则 图10 创建DMZ到LAN的网络规则 在欢迎使用新建网络向导页，如图10，输入合适的网

11、络规则名称，如：DMZ to LAN，点击下一步； 在网络通讯源页，点击添加按钮，然后在添加网络实体对话框中，选择网络下的“DMZ Network”，添加完毕后如图11所示，点击下一步； 在网络通讯目标页，点击添加，选择内部，如图12所示，点击下一步； 图11 网络通讯的源 图12 网络通讯的目的在网络关系页，选择路由，点击下一步；在正在完成新建网络规则向导页，点击完成；图13 网络规则的路由关系 然后创建一条DMZ网络到外部网络的NAT关系的网络规则，再次点击创建新的网络规则打开网络规则创建向导，步骤和上面的策略一样，不同的规则元素： 规则名字：DMZ to Internet； 通讯规则源：

12、DMZ Network； 通讯规则目标：外部；实现内网对Internet的Web访问： 网络关系：网络地址转换（NAT）； 建好后，在网络规则面板中显示如图12所示：实验三 建立防火墙策略 接下来，我们该配置防火墙策略。首先我们建立一条访问规则，允许内部网络和DMZ网络之间相互的Ping。右击防火墙策略，选择新建，点击访问规则；欢迎使用新建访问规则向导页，输入合适的访问规则名称，在此我命名为Allow Ping between LAN and DMZ，如图14，点击下一步； 图14 新建访问规则 图15 访问规则的操作 在规则操作页，选择允许，如图15，点击下一步；在协议页，选择“所选的协议”

13、，单击“添加”，在弹出的“添加协议”对话框中，选择“通用协议”下的“PING”，如图16所示，点击下一步； 图16 访问规则所需的协议 图17 访问规则的源 在访问规则源页，点击添加，添加DMZ Network和内部，如图17所示，点击下一步；在访问规则目标页，点击添加，同样添加DMZ Network和内部，点击下一步； 在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；最后别忘了应用策略。测试我们创建的防火墙策略： Ping测试： CA Ping DMZ， 通，TTL = 127； DMZ Ping CA， 通，TTL = 127； 我们再建立一条访问规则，

14、允许内部和DMZ网络访问外部网络（Internet）的Ping、HTTP和HTTPS服务。步骤和上面一样，规则元素为： 规则名称：Allow LAN&DMZ access Internet Web； 规则动作：允许； 所选的协议：Ping、HTTP、HTTPS； 访问规则源：DMZ Network和内部； 访问规则目标：外部； 用户集：所有用户； 最后应用策略。现在我们是否已经可以访问Internet上的Web了呢？测试！发现，少了关键的一条：DNS解析！图18 自定义防火墙策略 我们再建立一条访问规则，允许DNS解析，见图18。步骤和上面一样，规则元素为： 规则名称：Allow DNS； 规

15、则动作：允许； 所选的协议：DNS； 访问规则源：所有网络和本地主机； 访问规则目标：所有网络和本地主机； 用户集：所有用户； 最后应用策略，测试访问都成功，除了DMZ用域名访问Internet之外！进一步检查发现，DMZ没有DNS，指定DNS到CA即可！实验四 定制访问规则阻塞LAN和DMZ对“XX”的访问 创建新的访问规则： 规则名称：Block Baidu； 规则动作：拒绝； 所选的协议：所有出站通信； 访问规则源：所有网络和本地主机； 访问规则目标：自定义域名集“Baidu”； 用户集：所有用户； 最后应用策略，应用后的策略见图19。 在目标通信页，单击添加，在弹出的“添加网络实体”对

16、话框中，单击“新建”在弹出的下拉式菜单中选择“域名集”；在弹出的“新建域名集策略元素”对话框中，添加合适的名称和要阻止的域名集合“*”等，如图19所示，完成并应用策略。图19 新建域名集 测试： 分别在CA和DMZ上访问，IE提示“错误代码： 403 Forbidden。The ISA Server denied the specified Uniform Resource Locator （URL）. （12202）”。由此可以看出，URL请求被阻塞！同时也提示我们，用IP地址访问或许不会被“Denied”！ 用Ping命令获取或的IP地址，在IE地址栏中输入：http：/ IP地址即可。此

17、法虽然麻烦容易出错，但毕竟提供了一种可以绕过ISA Server防火墙的限制。 那么，就ISA Server 2006来讲，有没有更好的方法来阻止这样的“漏洞”呢？或许有人会说那阻止IP吧，在没有其它办法时这招确实有效，尤其是对一些P2P软件。实验五 启用HTTP缓存，加速HTTP访问 启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。在ISA Server 2006中，有对应的缓存规则设置向导，让这一切都变得非常的容易。 设置缓存所用的驱动器：在ISA Server 2006 管理控制台的缓存上单击，选择右侧详细信息中的“缓存驱动器”；右键选择“属性”；在弹出的如图19中

18、，选择硬盘并设置缓存大小（大小取决于网络带宽、用户并发访问数量和服务器的性能，尤其是磁盘性能），完成后，应用设置，缓存功能在重新启动服务才能生效。图20 设置缓存驱动器 设置缓存规则：ISA Server 2006中，启用缓存功能后，默认有两个缓存规则：“Microsoft Updae缓存规则”和“默认规则”；请同学们参照“Microsoft Updae缓存规则”的框架，来设置自定义的缓存规则。实验六 发布DMZ区域中的服务器 DMZ是发布公共服务的重要区域，也是受到攻击时，承担风险的区域。ISA Server 2006允许你在Internet和DMZ之间使用路由或者NAT。也就是是说：当你已

19、经拥有一个使用多个公共地址的主机建立的DMZ网段，而且如果它们地址架构的改变会影响到其他服务的改变如DNS服务等，你不希望改变他们的地址架构，此时，你可以通过ISA Server来在Internet和包含你想发布的服务器的DMZ网段之间配置一个路由关系。反之，若你部署在DMZ区域中的主机所使用的是私有IP的话，毫无疑问你的DMZ和Internet之间只能是NAT关系。 ISA Server 2006防火墙策略提供了两种方式让你可以控制通过防火墙的策略：Access Rules和Publishing Rules。 访问策略（Access Rules）可以加入到路由和NAT关系。 发布策略（Pub

20、lishing Rules）总是对连接实行NAT。 此时，结合我们的实验拓扑，我想你已经明白：我们要将DMZ中的Web服务发布到Internet上，需要定义一个合适的“发布策略”。 Web：确认配置的Web网站能被正常访问， ISA Server 在ISA Server访问控制台中选择“防火墙策略”，在右侧的任务栏中，单击“发布网站”，弹出如图21所示的“新建Web发布规则向导”；为新规则命以合适的名称，并单击下一步；图21 发布网站 在请选择规则操作页中，选择“允许”，单击下一步；在弹出的“发布类型”页面中，选择“发布单个网站或负载平衡器”，如图22所示，单击下一步； 图22 发布单个网站

21、图23 服务器连接安全 在弹出的“服务器连接安全”页面，选择“使用不安全的连接发布的Web服务器或服务器场”，如图23所示，单击下一步； 如图24所示；在弹出的“内部发布详细信息”页面中，在“内部站点名称”对话框中填入DMZ中Web服务器的计算机名或（DNS名，若配置了DNS），宣择“使用计算机名称或IP地址连接发布的服务器”复选框，在“计算机或IP地址”对话框中，填入DMZ中Web服务器的IP地址；单击下一步； 图24 选择要发布的内部网站 图25 选择发布网站的内容 如图25，在弹出的“内部发布详细信息”页面中，在“路径”对话框中，按照提示，输入要发布信息的路径；下一步； 如图26，在弹出

22、的“公共名称细节”页面中，在“公共名称”对话框中，填入在Internet上访问此网站的公有IP地址或公用名称（合法的DNS名称），下一步； 图26 要发布网站的公共名称 图27 选择侦听器 如图27，在弹出的“选择侦听器”页面上，单击“新建”按钮，在弹出的“新建Web侦听向导”的帮助下，建立一个用于侦听来自Internet Web访问的接口； 如图28所示，在弹出的“Web侦听器IP地址”页面中，选中“外部”，并单击“选择IP地址”按钮，在弹出的如图29所示的“侦听器IP选择”页面中，选择 “在此网络上选择IP地址”复选框，选中可用的IP地址中的公共IP，单击右侧的“添加”按钮；确定； 图28

23、 选择Web侦听器的接口 图29 侦听器IP选择 如图30，在弹出的“身份验证设置”页面，选择“没有身份验证”（可惜呀，ISA Server 2006对比ISA Server 2004最大的改进就在于此身份验证，感兴趣的同学，可以自选相关内容），下一步；图31，完成Web侦听器的创建； 图30 ISA Server2006的身份验证 图31 完成Web侦听器 下一步，默认只至Web发布向导的完成，并应用配置！ 测试Web发布 在PC2上，在IE地址栏里输入访问此网站的公共IP地址或公共名称，连接成功！ 在CA上，在ISA Server分别测试！ ISA Server防火墙及其相关内容相当繁杂，

24、仅凭单一的实验手册很难掌握，因此向大家推荐学习ISA Server必看的站点： 和http：/www.isacn.org/。 5. 实验要点与注意事项 本试验环境复杂，可逐步配置，逐步试验； ISA Server2006标准版不支持集群，若想安装ISA Server 2006企业版，一定要配置存储服务； ISA Server 2006企业版，在单机环境，尤其是虚拟机内，表现不佳，本试验推荐使用标准版。 也有人把ISA Server2006称为ISA Server 2004 R2，除去心功能外，大多数关于ISA Server 2004的参考资料适用于ISA Server 2006； ISA Server本机也是一个单独的网络，配置访问规则时尤其要注意；