防火墻策略的組成與配置撥號(hào)連接

3．1防火墻策略的組成在ISA效勞器安裝成功后，其防火墻策略默認(rèn)為禁止所有內(nèi)外通訊，因此我們需要在效勞器上建立相應(yīng)的防火墻策略，以使內(nèi)外通訊成功。在本章，我們將介紹ISA的全然配置，使內(nèi)部的所有用戶無(wú)限制的訪咨詢外部網(wǎng)絡(luò)。在ISAServer2004中，防火墻策略是由網(wǎng)絡(luò)規(guī)那么、訪咨詢規(guī)那么和效勞器公布規(guī)那么三者的共同組成。網(wǎng)絡(luò)規(guī)那么：定義了不同網(wǎng)絡(luò)間能否進(jìn)行通訊、以及知用何各方式進(jìn)行通訊。訪咨詢規(guī)那么：那么定義了內(nèi)、外網(wǎng)的進(jìn)行通訊的具體細(xì)節(jié)。效勞器公布規(guī)那么：定義了如何讓用戶訪咨詢效勞器。網(wǎng)絡(luò)規(guī)那么ISA2004通過(guò)網(wǎng)絡(luò)規(guī)那么來(lái)定義并描述網(wǎng)絡(luò)拓?fù)?，其描述了兩個(gè)網(wǎng)絡(luò)實(shí)體之間是否存在連接，以及定義如何進(jìn)行連接。相關(guān)于ISA2000，能夠講網(wǎng)絡(luò)規(guī)那么是ISAServer2004中的一個(gè)特別大的進(jìn)步，它沒有了ISAServer2000只有一個(gè)LAT表的限制，能夠特別好的支持多網(wǎng)絡(luò)的復(fù)雜環(huán)境。在ISA2004的網(wǎng)絡(luò)規(guī)那么中定義的網(wǎng)絡(luò)連接的方式有：路由和網(wǎng)絡(luò)地址轉(zhuǎn)換。路由路由是指相互連接起來(lái)的網(wǎng)絡(luò)之間進(jìn)行路徑尋尋和轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程，由于ISA與Windows2000Server和WindowsServer2003路由和遠(yuǎn)程訪咨詢功能的緊密集成，使其具有特別強(qiáng)的路由功能。在ISA2004中，當(dāng)指定這種類型的連接時(shí)，來(lái)自源網(wǎng)絡(luò)的客戶端請(qǐng)求將被直截了當(dāng)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)，而無(wú)須進(jìn)行地址的轉(zhuǎn)換。當(dāng)需要公布位于DMZ網(wǎng)絡(luò)中的效勞器時(shí)，我們能夠配置相應(yīng)的路由網(wǎng)絡(luò)規(guī)那么。需要注重的是，路由網(wǎng)絡(luò)關(guān)系是雙向的。要是定義了從網(wǎng)絡(luò)A到網(wǎng)絡(luò)B的路由關(guān)系，那么從網(wǎng)絡(luò)B到網(wǎng)絡(luò)A也同樣存在著路由關(guān)系，這同我們?cè)谶M(jìn)行硬件或軟件路由器配置的原理相同。網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換〔NetworkAddressTranslator〕，在Windows2000Server和Windowsserver2003中，NAT是其IP路由的一項(xiàng)重要功能。NAT方式也稱之為Internet的路由連接，通過(guò)它在局域網(wǎng)和Internet主機(jī)間轉(zhuǎn)發(fā)數(shù)據(jù)包從而實(shí)現(xiàn)Internet的共享。ISA2004由于同Windows2000Server和Windowsserver2003的路由和遠(yuǎn)程訪咨詢功能集成，因此支持NAT的的連接類型。當(dāng)運(yùn)行NAT的計(jì)算機(jī)從一臺(tái)內(nèi)部客戶機(jī)接收到外出請(qǐng)求數(shù)據(jù)包時(shí)，它會(huì)把信息包的包頭換掉，把客戶機(jī)的內(nèi)部IP地址和端口號(hào)翻譯成NAT效勞器自己的外部IP地址和端口號(hào)，然后再將請(qǐng)求包發(fā)送給Internet上的目標(biāo)主機(jī)。當(dāng)NAT效勞器從Internet主機(jī)接收到答復(fù)信息后，它也會(huì)將其包頭進(jìn)行替換，將自己的外部IP地址和端口號(hào)轉(zhuǎn)換為請(qǐng)求客戶機(jī)的內(nèi)部IP地址的端口號(hào)，然后再把信息包發(fā)內(nèi)網(wǎng)的客戶機(jī)。當(dāng)在ISA2004中指定了這促類型的連接后，ISA效勞器將用它自己的IP地址替換源網(wǎng)絡(luò)中的客戶端的IP地址。從而對(duì)外隱躲了內(nèi)部治理的IP，同時(shí)也隱躲了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而落低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)，并可減少了IP地址注冊(cè)的費(fèi)用。需要注重的是：NAT關(guān)系是唯一的和單向的。要是定義了從網(wǎng)絡(luò)A到網(wǎng)絡(luò)B的NAT關(guān)系，那么可不能自動(dòng)定義從B到A的網(wǎng)絡(luò)關(guān)系。您能夠創(chuàng)立定義雙向關(guān)系的網(wǎng)絡(luò)規(guī)那么，然而ISA效勞器將忽略有序規(guī)那么列表中的第二條網(wǎng)絡(luò)規(guī)那么。默認(rèn)網(wǎng)絡(luò)規(guī)那么在進(jìn)行ISA2004的安裝時(shí)，系統(tǒng)會(huì)創(chuàng)立以下默認(rèn)規(guī)那么〔如圖3-1所示〕：本地主機(jī)訪咨詢：此規(guī)那么定義了在本地主機(jī)網(wǎng)絡(luò)與其他所有網(wǎng)絡(luò)之間存在的路由關(guān)系。VPN客戶端到內(nèi)部網(wǎng)絡(luò)：此規(guī)那么指定在兩個(gè)VPN客戶端網(wǎng)絡(luò)〔.VPN客戶端.和.被隔離的VPN客戶端.〕與內(nèi)部網(wǎng)絡(luò)之間存在著路由關(guān)系。Internet訪咨詢：此規(guī)那么定義了在內(nèi)部受保衛(wèi)的網(wǎng)絡(luò)〔如內(nèi)部、VPN客戶端等〕與外部網(wǎng)絡(luò)之間存在的NAT關(guān)系。訪咨詢規(guī)那么訪咨詢規(guī)那么決定源網(wǎng)絡(luò)上的客戶端如何訪咨詢目標(biāo)網(wǎng)絡(luò)上的資源。我們能夠?qū)⒃L咨詢規(guī)那么配置為適用于所有IP通訊、適用于特定的協(xié)議定義集或適用于除所選協(xié)議之外的所有IP通訊。也能夠在訪咨詢規(guī)那么中對(duì)用戶訪咨詢進(jìn)行精確的限定。當(dāng)客戶端使用特定協(xié)議請(qǐng)求對(duì)象時(shí)，ISA效勞器會(huì)在訪咨詢規(guī)那么列表中從上而下地進(jìn)行檢查。只有當(dāng)某個(gè)訪咨詢規(guī)那么明確準(zhǔn)許客戶端使用特定的協(xié)議進(jìn)行通訊，同時(shí)準(zhǔn)許訪咨詢請(qǐng)求的對(duì)象時(shí)才處理請(qǐng)求。在ISA2004的安裝過(guò)程中會(huì)自動(dòng)創(chuàng)立默認(rèn)的系統(tǒng)策略，其中包含了預(yù)配置的、協(xié)議定義的訪咨詢規(guī)那么列表，其中包括最廣泛使用的Internet協(xié)議，以準(zhǔn)許ISAServer2004效勞器能訪咨詢它連接到的網(wǎng)絡(luò)的特定效勞。以如下面圖顯示的是默認(rèn)系統(tǒng)策略中的內(nèi)容。3．2建立準(zhǔn)許客戶訪咨詢Internet的防火墻策略在安裝好ISA2004后，我們需要建立相應(yīng)的防火墻訪咨詢策略以準(zhǔn)許企業(yè)內(nèi)部職員通過(guò)ISA效勞器進(jìn)行平安的Internet訪咨詢。在本節(jié)中，我們將以一個(gè)具體的實(shí)例讓大伙兒體會(huì)一下如何利用防火墻策略來(lái)建立訪咨詢規(guī)那么，以使企業(yè)內(nèi)部的所有客戶能訪咨詢Internet的所有效勞。要完成那個(gè)策略的建立，我們需要完成以下工作：配置內(nèi)部的DNS效勞器。建立訪咨詢策略。建立內(nèi)部的DNS效勞器當(dāng)用戶用域名在訪咨詢Internet上的網(wǎng)站時(shí)，需要外部DNS為之進(jìn)行域名解析；而當(dāng)企業(yè)用戶用域名訪咨詢公司內(nèi)部的網(wǎng)絡(luò)資源時(shí)，需要內(nèi)部DNS進(jìn)行域名解析。但要是企業(yè)用戶既要訪咨詢企業(yè)內(nèi)部網(wǎng)站，又要訪咨詢Internet上的資源時(shí)，DNS應(yīng)如何樣進(jìn)行設(shè)置的。在這種情況下，我們能夠建立企業(yè)內(nèi)部的DNS效勞器，使之能夠解析內(nèi)部域名，然后將之設(shè)置外部DNS的轉(zhuǎn)發(fā)器，當(dāng)內(nèi)部用戶訪咨詢資源時(shí)，由內(nèi)部DNS效勞器將其請(qǐng)求發(fā)給外部DNS，從而獲得外部資源的域名解析。安裝內(nèi)部的DNS效勞器以治理員身份登錄到需要安裝DNS的Windows效勞器上〔能夠同ISA效勞器安裝在同一臺(tái)計(jì)算機(jī)上，也能夠分不在不同的計(jì)算機(jī)上進(jìn)行安裝〕，進(jìn)行如下過(guò)程的安裝和配置：1、翻開操縱面板下的“添加/刪除程序〞，單擊“添加/刪除Windows組件〞。2、在Windows組件向?qū)е须p擊“網(wǎng)絡(luò)效勞〞，在出現(xiàn)的對(duì)話框中選擇“域名系統(tǒng)〔DNS〕〞，點(diǎn)擊【確定】，再點(diǎn)擊【下一步】按鈕.，并按向?qū)б笸瓿蒁NS效勞的安裝。3、在Windowsserver2003的“治理工具〞中選擇“DNS〞，進(jìn)進(jìn)DNS治理操縱臺(tái)，右鍵單擊效勞器，在出的菜單中選擇“屬性〞。4、在屬性對(duì)話框中選擇“接口〞選項(xiàng)卡，然后添加內(nèi)部接口地址。如如下面圖。圖3-7配置DNS內(nèi)部接口5、選擇“轉(zhuǎn)發(fā)器〞選項(xiàng)卡，先選中上面的“所有其它DNS域〞，然后在“所選域的轉(zhuǎn)發(fā)器的IP地址列表〞中添加ISP為你提供的外部DNS效勞器的IP地址。如如下面圖。6、單擊【確定】按鈕，完成效勞器端DNS的安裝和配置。客戶端的DNS配置客戶端DNS的配置步驟如下：1、登錄到客戶機(jī)上，在桌面上用右鍵單擊“網(wǎng)上鄰居〞圖標(biāo)，在出現(xiàn)的菜單中選擇“屬性〞。2、在網(wǎng)絡(luò)連接的屬性窗口中，用右鍵單擊“本地連接〞，在出現(xiàn)的菜單中選擇“屬性〞，進(jìn)進(jìn)到“本地連接屬性〞對(duì)話框中。3、在“本地連接屬性〞頁(yè)中選中“Internet協(xié)議〔TCP/IP〕〞，再點(diǎn)擊【屬性】按鈕，在出現(xiàn)的TCP/IP屬性頁(yè)的“首選DNS效勞器〞中，輸進(jìn)內(nèi)部DNS效勞器的IP地址，點(diǎn)擊【確定】按鈕，完成客戶端配置。如如下面圖。建立訪咨詢策略要使內(nèi)部用戶通過(guò)ISA效勞器訪咨詢Internet，必須要建立訪咨詢策略。在本例中我們需要建立兩條訪咨詢策略：一條訪咨詢策略以準(zhǔn)許企業(yè)用戶通過(guò)ISA效勞器訪咨詢Internet；另一條策略以準(zhǔn)許企業(yè)用戶訪咨詢ISAServer2004效勞器的DNS效勞。建立準(zhǔn)許所有外出通訊的訪咨詢策略建立訪咨詢策略的步驟如下：1、翻開ISA治理操縱臺(tái)，右鍵單擊“防火墻策略〞，在出現(xiàn)的菜單中選擇“新建〞→“訪咨詢規(guī)那么〞。如如下面圖。2、在新建訪咨詢規(guī)那么向?qū)е?，輸進(jìn)訪咨詢規(guī)那么名稱。如如下面圖。圖3-12輸進(jìn)規(guī)那么名稱3、在“規(guī)那么操作〞對(duì)話框中選擇“準(zhǔn)許〞，以便準(zhǔn)許通訊的進(jìn)行。如如下面圖。圖3-13配置規(guī)那么操作4、在“協(xié)議〞對(duì)話框中選擇“所有出站通訊〞，表示能夠訪咨詢Internet上的所有效勞。如如下面圖。5、在“訪咨詢規(guī)那么源〞對(duì)話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體〞對(duì)話框中展開“網(wǎng)絡(luò)〞，選擇“內(nèi)部〞〔如要準(zhǔn)許ISA效勞器訪咨詢Internet，在那么可選“本地主機(jī)〞〕，然后單擊【添加】按鈕，表示所有的通訊源來(lái)自于企業(yè)內(nèi)部。如如下面圖。6、在“訪咨詢規(guī)那么目標(biāo)〞對(duì)話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體〞對(duì)話框中展開“網(wǎng)絡(luò)〞，選擇“外部〞，然后點(diǎn)擊【添加】按鈕，表示要訪咨詢網(wǎng)絡(luò)外部的資源。7、在“用戶集〞對(duì)話框中，采納默認(rèn)的“所有用戶〞，表示內(nèi)網(wǎng)的所有用戶都能夠通過(guò)ISA效勞器訪咨詢外部的資源。點(diǎn)擊【下一步】按鈕完成策略的建立。建立準(zhǔn)許客戶訪咨詢內(nèi)部DNS的訪咨詢策略建立過(guò)程如下：1、翻開ISA治理操縱臺(tái)，右鍵單擊“防火墻策略〞，在出現(xiàn)的菜單中選擇“新建〞→“訪咨詢規(guī)那么〞，在訪咨詢規(guī)那么向?qū)е休斶M(jìn)規(guī)那么名，那個(gè)地點(diǎn)我們?nèi)∶麨椤霸L咨詢ISA主機(jī)上的DNS〞。2、在規(guī)那么操作中選擇“準(zhǔn)許〞，在此規(guī)那么應(yīng)用到選項(xiàng)中選擇“所選擇的協(xié)議〞，然后單擊【添加】按鈕，在“添加協(xié)議〞對(duì)話框中展開“通用協(xié)議〞，選擇“DNS〞，單擊【添加】按鈕，單擊【關(guān)閉】按鈕完成協(xié)議的設(shè)置。如如下面圖。3、在“訪咨詢規(guī)那么目標(biāo)〞對(duì)話框中單擊【添加】按鈕，在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體〞對(duì)話框中展開“網(wǎng)絡(luò)〞，然后選擇“本地主機(jī)〞，單擊【添加】按鈕，表示要訪咨詢ISA效勞器上的DNS效勞4、依據(jù)向?qū)О茨J(rèn)選項(xiàng)完本鈔票訪咨詢策略的建立。應(yīng)用訪咨詢策略為了使所建立的訪咨詢策略生效，須在右邊窗格中單擊【應(yīng)用】按鈕，以保持修改和更新防火墻策略。防火策略生效后，你能夠在客戶機(jī)通過(guò)ISA效勞器訪咨詢Internet上的所有效勞，如QQ、MSN等。3．3配置撥號(hào)連接現(xiàn)在企業(yè)訪咨詢互連網(wǎng)許多根基上采納ADSL寬帶撥號(hào)方式，因此在ISAServer2004的效勞器中，需為通過(guò)撥號(hào)上網(wǎng)配置相應(yīng)的撥號(hào)連接。配置好請(qǐng)求撥號(hào)后，不管何時(shí)本地網(wǎng)絡(luò)上的Web代理客戶端或者是防火墻客戶端請(qǐng)求一個(gè)遠(yuǎn)程主機(jī)時(shí)，您的ISAServer計(jì)算機(jī)能自動(dòng)啟動(dòng)撥號(hào)連接。要完成ISA2004撥號(hào)上網(wǎng)配置，需要先在撥號(hào)效勞器上進(jìn)行ADSL撥號(hào)設(shè)置，然后在ISA效勞器上進(jìn)行撥號(hào)設(shè)置。建立撥號(hào)效勞器的撥號(hào)連接ADSL撥號(hào)的方式有許多種，如ethernet、raspppoe等，這些撥號(hào)方式需要安裝相應(yīng)的撥號(hào)軟件，而WindowsServer2003內(nèi)置了寬帶撥號(hào)的支持，按向?qū)б徊揭徊酵瓿膳渲?，?jiǎn)單明了。在那個(gè)地點(diǎn)，我們就以Windowsserver2003的撥號(hào)連接建立方式為例，配置步驟如下：1、在網(wǎng)絡(luò)連接屬性窗口中，雙擊“新建連接向?qū)Ж?，在出現(xiàn)的對(duì)話框中選擇“Internet連接“，單擊【下一步】按鈕，在出現(xiàn)的對(duì)話框中選擇“用要求用戶名和密碼的寬帶連接來(lái)連接〞。2、在“ISP名稱〞對(duì)話框中輸進(jìn)向企業(yè)提供ADSL接進(jìn)效勞的ISP的名稱。如圖3-23所示。3、在可用連接中選擇“任何人使用〞，表示準(zhǔn)許內(nèi)部所有用戶均可用那個(gè)撥號(hào)連接。4、在Internet帳號(hào)對(duì)話框中，輸進(jìn)由ISP分配給你的用戶名和口令，點(diǎn)單擊【下一步】按鈕完成A