ISA防火墙策略配置

   上一篇博文中我们一起研究了ISA防火墙的安装和部署，分析了ISA的网络结构，分为本地主机网络，内部网络和外部网络。并深入研究了不同环境下使用不同的网络结构，利用单网卡，双网卡，和背靠背三种结构解决不同的企业网络的需求。在应用ISA防火墙的时候，我们注重应用企业和阵列两种管理方法。企业包含阵列，阵列中包含多个ISA防火墙。也就是说，我们通过阵列管理内部网络的多台ISA防火墙，而通过企业管理其中包含的多个阵列。在这些网络环境中，除了我们前一章所描述的双网卡和三网卡形式的防火墙，还是加入了背靠背网络中的前端防火墙和后端防火墙。

      在上一章我们还提到了关于ISA防火墙可以隐藏内部网络结构，如果说我们通过ISA防火墙隐藏了内部的服务器，那么internet网络中的用户又如何来访问我们的web，ftp等服务器呢？在一章中我们都会进行细致的讲解。 
    ISA防火墙属于应用层的防火墙，它会通过协议，用户，内容类型，计划，网络对象五种元素对出站和入站的数据包进行过滤。下面我们通过发布内部服务器来描述这些内容。

      实验环境：我们使用一台ISA防火墙，一台内网中的集WEB，DNS，Exchange服务一身的2003来实现。使用一台2003作为internet的用户。

      首先，因为实验环境没有根域服务器的支持，也不会为internet的用户对域名进行解析，所以我们修改internet客户机的hosts文件，在其中添加我们需要使用的域名，通过hosts文件进行解析。

      在我们描述规则之前，进行一下出站和入站的描述，往往有很多人将出站和出混淆，其实不是，比如，如果我们向外部发送请求，而我们发送的请求能进行回复，这是出站，而我们发送请求能够出去，反馈的请求不能接收，那么这就是单纯的出入了。

      我们使用Web服务器的发布来完成实验，在计算机上装入ISA，在另一台机器上装上IIS。然后我们需要配置两台DNS来实现外部和内部的解析，因为我们已经修改了外部客户机的hosts文件，所以只需要配置内部的DNS，在DNS上创建一条A记录，指向我们的Web服务器。

进行设置了以后我们看看internet的客户端是否能够PING通www.benet.com.cn

在WEB服务器上创建网站首页后，我们就可以在ISA进行发布规则的设置了。

通过以上路径我们就能找到我们的发布向导了。

选择允许的规则，建立发布单个网站，并且使用不安全的网站连接。

在内部发布详细信息中添加正确的域名和IP地址。

注意，这里我们需要填写域名和IP地址的都需要正确填写，而路径我们可以选择不填。

在下一步之后需要创建一个新的监听器，监听对象为外部。

      内部网络访问服务器不需要通过ISA，不然会造成慢和ISA负担过重的情况。所以这里只监听外部。而Internet上的用户访问服务器不需要输入用户密码，所以下一步之后我们选择不需要身份验证。

下一步之后我们就创建好了，对其规则进行应用。

之后我们就可以进行测试了，利用internet的客户端进行网页访问。

本文转自 郑伟  51CTO博客，原文链接:http://blog.51cto.com/zhengweiit/313606