利用ISA防火墙发布企业安全的网站服务器
扩扑图如下:
image001
这是在虚拟机环境下搭建的
一、在Florence虚拟机上安装ISA防火墙
1、 安装要求:至少有两块网卡,而且80和8080端口不能被占用。
2、 安装步骤:
A、首先网卡指向,如下图
image002
B、检查一下80和8080端口是否被占用
image003
C、将ISA2004放入虚拟机中(这里用的是ISA的2004版本),然后如下图片所示进行安装即可:
image004
image005
说明:选择自定义安装,到里后将“防火墙客户端安装共享”下的“这项功能及其所有子功能都会被安装到本地硬盘上”选上
image006
说明:点击“添加”
image007
说明:点击“选择网卡”进入下图:
image008
说明:去掉“添加下列专用范围…”前面的勾
选择上内网端的IP即(10.10.10.1)
image009
到这里ISA2004已经安装完成。
D、检查看8080端口出来没有,如下:
image010
3、 运行ISA:开始 ―― 程序 ―― Microsoft ISA Server ―― ISA服务器管理。
打开后看下监视,检测ISA安装是否正常,如下图
image011
4、 新建访问规则“允许本地主机访问外网”,如下图:
image012
image013
image014
image015
image016
image017
image018
image019
5、 新建访问规则“允许内网访问外网”,如下图:
image020
image021
image022
image017
二、发布内网Perth上的Web网站
1、 在C盘下创建libotao文件夹,里面放入default.htm文件(此文件名不能改)
2、 打开IIS,在网站下,停止“默认网站”,然后新建libotao站点。说明:还可以用Apache
image023
测试:
image024
三、在Florence上发布Perth上的Web服务器,如下:
右击“防火墙策略”――新建――Web服务器发布规则――发布名称――允许――定义要发布的网站(IP地址:10.10.10.2)――任何域名――侦听80,如下图:
image025
image026
image027
说明:10.10.10.2为要发布网站的虚拟机上的IP ,这里有个错误,下面的“转发原始主机头。。。”得勾上
image028
image029
image030 image031
物理机上测试结果:
image032
四、在Istanbul上建立DNS服务器
1、 在Perth虚拟机上,添加主机头,如下所示:
image033
image034
image035
2、 在Istanbul上安装上DNS服务器,有如下操作:
image036
说明:安装DNS(在windows组件中)
image037
说明:打开DNS,在正向查找区域中新建区域
image038
image039
说明:修改“起始授权机构”下的“主服务器”――Istanbul.libotao.com,
“名称服务器”下――Istanbul.libotao.com ―― 10.10.10.3(这是DNS服务器虚拟机上的IP,即Istanbul的IP)
新建一个A记录 ―― www.libotao.com ―― 192.168.0.101
image040
这里在客户机Berlin上的测试结果
3、 在Florence虚拟机上新建服务器发布规则
防火墙策略 ―― 新建 ―― 服务器发布规则 ―― 服务器发布名称(发布Istanbul上的DNS)―― 服务器IP地址(10.10.10.3)即DNS服务器虚拟机上的IP ―― 选择协议(DNS服务器)――IP地址(外部)――应用
image041
image042
image043
image044
image045
五、用https来访问
1、 在Perth上搭建一个SSL网站
前提:在Perth上创建一个CA服务器:
控制面板――添加或删除组件――证书服务――独立根――LIBOTAOCA。如下图:
image046
说明:安装证书服务(在windows组件中)
image047
说明:安装后的查看结果
image048
image049
说明:右击libotao站点--属性――目录安全性――服务器证书
image050
image051
说明:这里的公用名称不能错(填网站的域名)
image052
image053
image054
image055
说明:在浏览器地址中输入10.10.10.2/crtsrc,进入后点击“申请一个证书
image056
说明:点击“使用base64编码的CMC…
image057
image055
说明:将“certreq.txt”中的全部内容复制到过来后点击提交
image059
完成证书挂起。
image060
说明:颁布证书,开始――程序――管理工具――证书颁布机构
image061
说明:挂起的申请――右击证书――所有任务――颁布
image055
说明:10.10.10.2/certsrv进入后,选择“看挂起的证书申请的状态”
image062
image063
说明:选择“下载证书
image064
保存完成。
image065
说明:进入“服务器证书
image066
说明:选择“处理挂起的请求并安装证书”
image067
image068
image069
image070
说明:修改hosts文件,做测试
image071
image072
image073
image074 image075 image076
2、 将网站证书导到ISA上
将导出的网站的证书(在Perth上)复制到ISA上(即Florence上),可用的方法有:在运行中输入 \\10.10.10.2\$c或直接复制过去。步骤:运行――mmc――文件――添加或删除管理单元――添加――证书――计算机账户――本地计算机,如下图:
image077
image078
说明:进入“管理控制台
image079
image080
image081
image082
右击证书下的“个人”――所有任务――导入――perth_w3svc21067-8328_cert.pfx――123――证书存储(个人),如下:
image083
image084
image085
image086
image087
image088
做一个“ISA访问内网”的访问规则,如下
image089
image090
image016
image091
image092
3、 将CA证书导到ISA上
在Florence上,浏览器地址中输入10.10.10.2\certsrv
image093
说明:选择“下载一个CA证书…”
image094
说明:选择“下载CA证书”
image095
保存到C盘。
导入受信任的证书:受信任的证书――证书――所有任务――导入――certnew.cer――证书存储
image096
image097
image098
image099
image100
image101
4、 发布https
防火墙策略――安全Web服务器发布规则――发布perth上的https――ssl桥――允许――加密到客户端和Web服务器的连接――www.libotao.com(只能用域名),修改hosts文件10.10.10.2 www.libotao.com ――勾上(“转发原始主机头…”)――公共名称: www.libotao.com ――侦听443,如下图:
image102
image103
image104
image105
image106
image107
image108
image109
image110
image111
image112 image113
image114
5、 客户端测试:将CA证书导到客户端(在Berlin虚拟机上)
image115
image116
image117
image118
image119
image120
image121
image122
image123
image124
image125
image126
到这实验全部完成。