ISA防火墙策略配置以及服务器的发布

 ISA防火墙策略配置以及服务器的发布

1.企业和阵列

企业是一个逻辑概念，类似于Windows中的域，是企业管理模型在防火墙软件中的体现

阵列是一组ISA计算机的组合。阵列的所有成员共享相同的配置，可以简化对防火墙的管理 

网络结构

网络结构包括：本地主机网络、内部网络、外部网络。

本地主机网络:本地主机网络代表ISA Server计算机本身。内外网之间的所有通信都要经过本地主机网络。本地主机网络定义了一组IP地址，这组IP地址包括绑定到本地ISA Server计算机上网络适配器的所有 IP 地址和 127.0.0.1。例如，ISA Server有两个网卡，IP地址分别是192.168.2.65与61.139.0.5。那么，它的本地主机网络包括以上两个IP地址，同时还包括127.0.0.1。

内部网络:内部网络对应于公司内部要保护的网络，通常认为内部网络包含受信任的IP地址范围。在安装ISA Server 2006时，至少要配置一个默认内部网络，也可以指定多个其他内部网络。公司局域网内所有计算机都在内部网络中受到ISA Server的保护。

外部网络:ISA Server防火墙之外的网络就是外部网络。外部网络一般是指具有公用IP地址的Internet网络。在安装ISA Server时，外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址（包括127.0.0.1）。

 

2.网络模板

为方便设置防火墙策略，ISA为用户提供5个预定义的网络模板

 

边缘防火墙：

公司ISA Server有两个网络连接，一个连接内部网络，另一个连接外部网络 

 

3向外围网络：

ISA Server连接内部网络、外部网络和外围网络的网络拓扑。外围网络即DMZ区域

 

前端防火墙

ISA Server连接外部网络和外围网络的拓扑，其作为前端防火墙，内部还有一个防火墙，配置在后端保护内部网络

 

后端防火墙

连接外围网络和内部网络的防火墙配置，用以保护内部网络，为后端防火墙

 

3.防火墙策略

防火墙策略由策略元素组成，用于指定防火墙规则的参数，ISA server允许创建多种策略元素，这些策略元素可以再不同的安全规则中重复使用。

 

ISA的策略元素包括： 

 

协议：

协议类型：TCP、UDP、ICMP或IP

方向：UDP包括“发送”、“接收”、“发送接收”或“接收发送”。TCP包括“入站”和“出站”。ICMP和IP包括“发送”和“发送接收”

端口范围：TCP和UDP的端口范围是1到65535之间

协议号：IP级别的协议是0到254之间的数

 

用户：

可以包括来自任何身份验证方案（机制）的一个或多个用户 

ISA Server预定义了以下用户：

所有经过认证的用户

所有用户

系统和网络服务

 

内容类型：

ISA可以根据已定义的规则检查数据包的内容，以便限制或过滤某些内容

 

计划：

时间计划用于设定时间范围,可以根据企业需求将一天24小时分成许多时段

 

ISA预定义时间计划元素：

周末（Weekends），包括星期六和星期天

工作时间（Work hours），包括从星期一到星期五的上午9:00到下午5:00

 

网络对象：

网络：网络是一定范围的IP地址

网络集：网络集包含一个或多个网络

计算机：一台计算机代表一个IP地址

地址范围、子网和计算机集：代表一定范围的IP地址

 

4.防火墙策略规则

 

网络规则

网络规则定义了网络拓扑及网络间如何连接   

网络地址转换（NAT）：定义为这种连接类型时，ISA服务器将用自己外网卡的地址替换源数据包的地址，再发送到外网。当定义内部网络和外部网络之间的关系时，可以定义为NAT模式。

路由：这种连接类型允许源网络请求直接转发到目标网络，而且是双向的。例如，当网络A和网络B之间的连接类型为路由，则A网络可以直接访问B网络，同时，B网络也可以直接访问A网络。通常将内部网络和DMZ之间定义为“路由”模式。

 

访问规则

访问规则定义了用户如何访问网络，包括访问网络的协议、访问的时间、访问的内容等  

 

服务器发布规则

在ISA上可以建立Web、邮件、FTP、SharePoint及其他服务器的发布规则，使外网用户可以访问内网的这些服务器

 

 

5.防火墙访问规则的配置

防火墙策略规则的工作原理

当客户要访问Internet时，ISA首先检测网络规则。网络规则可以是路由或NAT ，检查网络规则后，ISA检查访问规则。只有访问规则中允许的协议才能通过，否则被拒绝，如果访问规则中没有定义任何协议，客户的访问也会被拒绝，如果ISA中设定了多个访问规则，前面的规则拒绝了某个协议，则此协议肯定被拒绝，无论后面的规则是否允许此协议通过。

 

发布服务器

将内部网络中的服务提供给外部网络用户访问的过程叫做“发布” ,发布内部网络中的服务后，ISA处理外部客户向内部提出的请求，并将请求转发给内部服务器

 

5.1.Web服务器发布

发布原理

发布位于ISA之后的Web服务器后，ISA将代表内部Web服务器接收请求。ISA上的Web发布规则将请求转发到内部Web服务器

发布方法

Web服务器的网关指向ISA的内网卡

Web服务器的DNS设为能解析Internet域名的DNS服务器

Web服务器的发布示例

 

配置DNS服务器

配置对外提供服务的DNS

在对外DNS中建立“WWW”主机记录，该主机的IP地址为ISA外网卡的地址。

配置对内提供服务的DNS

在对内DNS中建立“WWW”主机记录，该主机的IP地址为Web服务器的地址。

发布DNS服务器

创建策略“发布非web服务器协议”

发布内部网站

创建策略“发布网站”

测试

分别使用域名和IP地址访问网站。为保证可以使用IP地址访问网站，需要在ISA的“公共名称”处添加ISA外网卡的IP地址。（如果不成功，多数为DNS配置不正确。还可能是测试计算机中缓存有旧的DNS记录，这时可以使用ipconfig/flushdns命令清除DNS缓存，再重新测试。）

 

5.2.邮件服务器发布

ISA提供了发布邮件服务器的规则向导，邮件服务器通过SMTP、POP、MAPI、IMAP4等协议提供服务。发布位于ISA之后的邮件服务器后，会允许上述协议通过防火墙

 

邮件服务器发布

 

建立Exchange 2007邮件服务器

安装和配置Exchange 2007，确保内网用户可以使用Outlook访问邮件服务器，收发邮件 

 

建立邮件服务器发布规则

创建策略“发布邮件服务器”

 

验证邮件服务器发布

正常收发邮件，在Outlook Express中必须启用SSL

 

5.3.其他服务器发布

除了可以发布Web和邮件服务之外，ISA还可以发布其他服务器，如FTP服务器

以以上案例

建立FTP服务器

使用Serv_U建立FTP服务器

建立两个FTP帐号：Admin和User1。Admin拥有向FTP服务器上传数据的权限。User1只能从FTP服务器下载数据，不能上传数据。

 

配置DNS服务器

分别在DNS Server1和DNS Server2中建立ftp.qq.com主机记录，使用户可以使用该主机名访问FTP服务器。

 

发布FTP服务器

创建策略“发布非web服务器协议”（ISA Server默认发布的是使用标准FTP端口（20和21端口）的FTP服务器，如果要发布非标准端口的FTP服务器，需要自定义协议及端口。）

 

开放FTP上传功能

修改属性中的“通讯”——“筛选”

 

访问FTP服务器

使用ftp://ftp.qq.com访问FTP服务器

使用ftp://202.204.6.1访问FTP服务器

转载于:https://blog.51cto.com/xiaozhuang/911435