在中小型企业的网络架构设计中企业为了节约成本,一般不采用价格昂贵的硬件防火墙,但又为了保证内部网络的安全很多企业采用微软的ISA server 2006软件防火墙实现内部网络安全的作用。

实例环境:公司总共有300多人,另外有一台对外发布的WEB服务器,公司通过一条出口介入internet。

实例拓扑:

ISA拓扑

注:内部网络和ISA服务器均加入到域

一、加入域

在添加三块网卡的服务器上配置内部、DMZ、外部网卡的信息。然后加入到域如图所示


二、      安装ISA 2006

插入ISA2006光盘出现如图所示的画面

 

点击【安装ISA Server 2006】选项卡进入安装向导,按照向导一步一步的安装,如图选择【同时安装ISA Server服务和配置存储服务器】

点击【下一步】选择安装路径,这里我们用默认的。

由于这是第一台ISA服务器所以我们选择【创建新ISA服务企业】然后点击【下一步】

这时弹出一个警告,我们不用管它继续下一步

选择【添加】选项卡进入网络地址配置对话框

选择【添加网络适配器】确定内部网络地址范围如图所示然后点击确定并【下一步】

这里提示防火墙客户端是否支持加密,由于内部客户端我们选择SNAT模式所以这里我们选择不加密点击【下一步】继续

提示一些需要重新启动的服务,我们点击【下一步】

在【可以安装程序】对话框中单击【安装】开始安装过程

这时需要等上一段时间,然后出现如图所示的向导完成界面,并点击【完成】完成安装向导

三、      配置ISA sever 2006

3.1 添加外围网络

在【开始】——【所有程序】——【ISA服务管理器】。并找到阵列下面的网络配置界面,并新建网络如图所示。

进入向导模式,填写网络名称

点击下一步,选择【外围网络】选项卡。然后点击下一步

选择DMZ区域的网络适配器如图所示

然后点击确定并下一步完成向导

3.2 创建网络规则

在企业网络中创建DMZ网络区域放置WWWFTP服务器来对外发布。为了内部网络的安全,可以设置内网到DMZ的网络规则是NATDMZinternetNAT。具体设计步骤如下:

ISA服务管理器中找到网络组件,然后右键选择创建【网络规则】如图所示

进入【新建网络规则向导】输入网络规则名称点击下一步

在网络通讯源对话框中添加源网络“内部”,然后点击下一步

在网络通讯目标对话框中添加目标网络“DMZ”,然后点击下一步

在网络关系对话框中有两种网络关系,这里我们选择【网络地址转换NAT】,然后点击下一步

在【完成新建网络规则向导】对话框中点击【完成】

同样的方法创建DMZinternetNAT关系的网络规则

3.3 添加访问规则

建立网络规则后我们要为两个网络添加访问规则,ISA防火墙默认规则是阻止一切通信,所以在内网到DMZ建立访问规则,DMZ到外网建立发布规则。

首先在 ISA 服务管理器中找到【防火墙策略】组件右键新建【访问规则】

进入【新建访问规则向导】输入访问规则名称点击下一步

在规则操作对话框中选择【允许】并点击下一步

由于DMZ区域只有WEBFTP服务器,所以这里协议只选择相应的访问协议

在访问规则源对话框中添加【内部】网络

在访问规则目标添加【DMZ】目标网络

在用户集对话框中选择规则应用的用户,根据企业不同的访问需求可以选择不同的用户,这里我们选择所有用户。

完成访问规则向导

由于ISA本地主机也是属于一个网络,可以同时设置一条本地主机访问其他网络的规则,设置方法相同,这里不再陈述。

要实现内网用户访问外网,需再添加一条策略让内网用户和外网进行通信.

四、      发布webftp服务

上面我们说了DMZinternetNAT的网络关系,所以我们要应用服务器的发布规则。

4.1 发布web服务器

发布web服务有两种方式,一种是安全的一种是不安全的。这里我们设置不安全的web发布规则。

ISA 服务管理器找到【防火墙策略】右键新建【网站发布规则】

进入新建web发布规则向导输入web发布规则名称点击下一步

在选择规则操作对话框中选择【允许】选项,然后点击下一步

由于我们只发布一个web服务器,所以我们选择第一项【发布单个网站或负载平衡器】并点击下一步

网站设计中并没有要求安全的web访问所以我们选择【使用不安全的连接连接发布的web服务器】并点击下一步

在内部发布详细信息对话框中填写内部站点名称,我们发布的web站点是属于工作组环境,我们要勾选【使用计算机名称或IP地址连接到发布的服务器】并填写web服务器的IP地址,然后点击下一步

由于这里我们搭建的web没有虚拟路径,这里就填写所有文件如图所示

在公共名称细节对话框中填写公用名称,表示凡是www.testorg.com访问请求都被转发到发布的web站点。

在【选择web侦听器】对话框中新建一个80侦听器,让外网卡侦听80端口。

进入新建web侦听器定义向导页面,输入侦听器名称然后点击下一步

在【客户端连接安全设置】对话框中选择【不需要与客户端建立ssl安全连接】然后点击下一步

在【web侦听器IP地址】选择外部网卡侦听

在【身份验证设置】对话框中选择【没有身份验证】然后点击下一步

在【单一登录设置】对话框中单击下一步并完成。

然后选择我们刚建好的listen 80侦听器并单击【下一步】在【身份验证委派】选择【无委派,客户端无法直接进行身份验证】

在【用户集】对话框中添加【所有用户】并点击下一步

在【正在完成新建web发布规则 向导】页面中点击【完成】并应用防火墙规则

五、      测试

5.1内网用户访问外网

内网用户设置SNAT客户端模式,并访问百度网站

5.2外网用户访问web站点

实验环境下我们在外部网络客户端上设置DNS记录并以域名访问