ISA防火墻策略配置.

1、2北穴青昌BENET v3 0北朮 FfQb大青處息技林 fW 公司防火墻主要分為哪幾類，各有何特點(diǎn)？防火墻體系結(jié)構(gòu)有哪幾類，各用于何種場合?ISA 2006主要包括哪些功能？* ISA客戶端有幾種類型，有何區(qū)別？V3.0技能展示理解ISA Server策略元素理解ISA Server訪問策略的作用 掌握ISAServer訪問策略的配置 理解服務(wù)器發(fā)布的作用掌握服務(wù)器發(fā)布的配置本章結(jié)構(gòu)企業(yè)和陣列一Web服務(wù)器發(fā)布 一郵件服務(wù)器發(fā)布多網(wǎng)絡(luò)環(huán)境防火墻策略ISA防火墻策略配置防火墻訪問規(guī)則配迅一Web服務(wù)器發(fā)布JBENETV3.0企業(yè)和陣列*企業(yè)是一個(gè)邏輯概念，類似于Windows中的域, 是企業(yè)管

2、理模型在防火墻軟件中的體現(xiàn)陣列是一組ISA計(jì)算機(jī)的組合。陣列的所有成員共享相同的配置，可以簡化對防火墻的管理網(wǎng)絡(luò)結(jié)構(gòu)本地主機(jī)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò) “ G 5：J6網(wǎng)絡(luò) 3向外網(wǎng)絡(luò):網(wǎng)絡(luò)模板*為方便設(shè)置防火墻策略，ISA為用戶提供5個(gè)預(yù)定 義的網(wǎng)絡(luò)模板邊緣防火墻：公司ISA Server有兩個(gè)網(wǎng)絡(luò)連接，一個(gè)連接內(nèi)部網(wǎng)絡(luò),ISAServer連接內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)的網(wǎng) 絡(luò)拓?fù)?。外圍網(wǎng)絡(luò)即DMZ區(qū)域前端防火墻ISA Server連接外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)的拓?fù)洌渥鳛榍岸朔阑饓?，?nèi)部還有一個(gè)防火墻，配置在后端保護(hù) 內(nèi)部網(wǎng)絡(luò)V3.0后端防火墻電連接外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的防火墻配置，用以保護(hù)內(nèi)部網(wǎng)絡(luò)，

3、為后端防火墻防火墻策略防火墻策略由策略元素組成，用于指定防火墻規(guī) 則的參數(shù) ISA的策略元素包括：協(xié)議用戶內(nèi)容類型計(jì)劃網(wǎng)絡(luò)對象協(xié)議：協(xié)議類型：TCP. UDP、ICMP或IP方向：UDP包括“發(fā)送”、“接收”、“發(fā)送接收” 或“接收發(fā)送”。TCP包括“入站”和“出站”o ICMP和IP包括“發(fā)送”和“發(fā)送接收”端口范圍：TCP和UDP的端口范圍是1到65535之間協(xié)議號：IP級別的協(xié)議是0到254之間的數(shù)BENETV3.0冷用戶：可以包括來自任何身份驗(yàn)證方案的用戶 ISA Server預(yù)定義了以下用戶：口所有經(jīng)過認(rèn)證的用戶 口所有用戶 口系統(tǒng)和網(wǎng)絡(luò)服務(wù)內(nèi)容類型：ISA可以根據(jù)已定義的規(guī)則檢查數(shù)

4、據(jù)包的內(nèi)容，以便限 制或過濾某些內(nèi)容計(jì)劃:時(shí)間計(jì)劃用于設(shè)定時(shí)間范圍，可以根據(jù)企業(yè)需求將一天24小時(shí)分成許多時(shí)段 ISA預(yù)定義時(shí)間計(jì)劃元素：周末(Weekends),包括星期六和星期天工作時(shí)間( (Work hours),包括從星期一到星期五的 上午9:00到下午5:00BENETVXO_ 12策略元素策略元素網(wǎng)絡(luò)對象:網(wǎng)絡(luò)：網(wǎng)絡(luò)是一定范圍的IP地址-網(wǎng)絡(luò)集：網(wǎng)絡(luò)集包含一個(gè)或多個(gè)網(wǎng)絡(luò) 計(jì)算機(jī)：一臺計(jì)算機(jī)代表一個(gè)IP地址地址范圍、子網(wǎng)和計(jì)算機(jī)集：代表一定范圍的IP地址網(wǎng)絡(luò)規(guī)則網(wǎng)絡(luò)規(guī)則定義了網(wǎng)絡(luò)拓?fù)浼熬W(wǎng)絡(luò)間如何連接口網(wǎng)絡(luò)地址轉(zhuǎn)換 口路由訪問規(guī)則訪問規(guī)則定義了用戶如何訪問網(wǎng)絡(luò)，包括訪問網(wǎng)絡(luò)的協(xié)議、訪問

5、 的時(shí)間、訪問的內(nèi)容等服務(wù)器發(fā)布規(guī)則在ISA上可以建立Web、郵件、FTP、SharePoint及 其他服務(wù)器的發(fā)布規(guī)則，使外網(wǎng)用戶可以訪問內(nèi)網(wǎng)的 這些服務(wù)器BENET VXO_115防火F1BENETV3.0請思考：ISA防火墻包含哪些常用的網(wǎng)絡(luò)結(jié)構(gòu)? ISA防火墻包含哪些策略元素？ISA防火墻包含哪幾種策略規(guī)則?防火墻策略規(guī)則的工作原理當(dāng)客戶要訪問Internet時(shí)，ISA首先檢測網(wǎng)絡(luò)規(guī)則。網(wǎng) 絡(luò)規(guī)則可以是路由或NAT檢查網(wǎng)絡(luò)規(guī)則后，ISA檢查訪問規(guī)則。只有訪問規(guī)則中 允許的協(xié)議才能通過，否則被拒絕山如果訪問規(guī)則中沒有定義任何協(xié)議，客戶的訪問也會 被拒絕如果ISA中設(shè)定了多個(gè)訪問規(guī)則， 前

6、面的規(guī)則拒絕了某 個(gè)協(xié)議，則此協(xié)議肯定被拒絕，無論后面的規(guī)則是否 允許此協(xié)議通過BENV3.0創(chuàng)建訪問規(guī)則*案例：BENET公司的局域網(wǎng)通過ISA防火墻與外 部Internet相連，如何使內(nèi)部局域網(wǎng)用戶可以通 過ISA防火墻訪問Internet?張打開“ISA服務(wù)器管理”，單擊“創(chuàng)創(chuàng)建訪問規(guī)則BENETV3.0教員演示操作過程J建訪問規(guī)則”BENETVXO 發(fā)布服務(wù)器發(fā)布服務(wù)器簡介 Web服務(wù)器的發(fā)布郵件服務(wù)器的發(fā)布其他服務(wù)器的發(fā)布將內(nèi)部網(wǎng)絡(luò)中的服務(wù)提供給外部網(wǎng)絡(luò)用戶訪問的 過程叫做“發(fā)布”冷發(fā)布內(nèi)部網(wǎng)絡(luò)中的服務(wù)后，ISA處理外部客戶向內(nèi)部提出的請求，并將請求轉(zhuǎn)發(fā)給內(nèi)部服務(wù)器發(fā)布服務(wù)器簡介We

7、b服務(wù)器Web服務(wù)器發(fā)布發(fā)布原理發(fā)布位于ISA之后的Web服務(wù)器后，ISA將代表內(nèi)部Web服務(wù)器接收請求。ISA上的Web發(fā)布規(guī)則將請求 轉(zhuǎn)發(fā)到內(nèi)部Web服務(wù)器弘發(fā)布方法2 Web服務(wù)器的網(wǎng)關(guān)指向ISA的內(nèi)網(wǎng)卡 Web服務(wù)器的DNS設(shè)為能解析Internet域名的DNS服 務(wù)器BENETV3.0 Web服務(wù)器發(fā)布示例發(fā)布內(nèi)網(wǎng)的Web站點(diǎn)DNS Server 1 Ol)|郵件服務(wù)器發(fā)布r(Mi：Iy*rO護(hù)k員演示操作(-活教員演示操作過程BENETVX0_其他服務(wù)器發(fā)布34除了可以發(fā)布Web和郵件服務(wù)之外，ISA還可以 發(fā)布其他服務(wù)器，如FTP服務(wù)器冷案例：BENET公司的

8、局域網(wǎng)通過ISA防火墻與外 網(wǎng)相連。如何在ISA上發(fā)布內(nèi)部FTP服務(wù)器，使員 工在出差時(shí)可以從FTP服務(wù)器上傳和下載文件DNS Server 1 (twnet.CIP:0JR認(rèn)網(wǎng)關(guān)：DNSK# 9:0對外提供DNSU務(wù))WS Sorvor2 (bcnot. comIP:0歡認(rèn)網(wǎng)關(guān):DNS服務(wù)：172.16. 1.20對內(nèi)提供DNS服務(wù)FTPi ftp. benet. cooIP:172.16. 1.100歡認(rèn)網(wǎng)關(guān):172.16. 1.1DNS農(nóng)務(wù):0ISA Server其IS

9、A 防火堆內(nèi)網(wǎng)卡界網(wǎng)卡IP: 172. 16.1.1IP:歐認(rèn)網(wǎng)關(guān):不描定聘關(guān):0DHS服務(wù)制:不描定0NSK務(wù)SM72：6：.2O外刑計(jì)算機(jī)IP:0網(wǎng)教員演示操作過程建立FTP服務(wù)器使用Serv_U建立FTP服務(wù)器建立兩個(gè)FTP帳號：Admin和Userl。Admin擁有向FTP服務(wù)器上傳數(shù)據(jù)的權(quán)限。Userl只能從FTP服務(wù)器 下載數(shù)據(jù)，不能上傳數(shù)據(jù)V3.0配置DNS服務(wù)器分別在DNS Serverl和DNS Server2中建立什主機(jī)記錄，使用戶可以使用該主機(jī)名訪 問FTP服務(wù)器教員演示操作過程V3.0其他服務(wù)器發(fā)布教員演

10、示操作過程發(fā)布FTP服務(wù)器其他服務(wù)器發(fā)布開放FTP上傳功能教員演示操作過程B EV3.0B EV3.0其他服務(wù)器發(fā)布訪問FTP服務(wù)器使用ftp:/訪問FTP服務(wù)器門使用訪問FTP服務(wù)器42e8SX8. ：:_ 字A上機(jī)部分BENET v3 0北朮H博參昆無火弁信.婦支術(shù)右限公耳實(shí)驗(yàn)案例 V:發(fā)布Web服務(wù)器需求描述:DNS Server 1 (benet. com)IP:172.16. 1.10默認(rèn)兩關(guān):DNS務(wù)8:0(對外提供DNSH務(wù))DNS Server2 biet. com)1P：172. 16.1.20歡認(rèn)網(wǎng)關(guān):

11、172.16. 1.1DNS眼務(wù)U：172.16. 1.20對內(nèi)提佻DNS載務(wù)網(wǎng)Mrvw. benct. cosIP:172.16. 1-100默認(rèn)牌關(guān):172.16. 1.1內(nèi)網(wǎng)卡IP：172. 16.1.1默認(rèn)網(wǎng)關(guān):不揃定外想卡IP R:0外網(wǎng)計(jì)算機(jī)IP:202.204,6.10聘關(guān):DNSK務(wù)越：DNSJR務(wù)Sk不指定DNSS務(wù)卻:仃2 ,6420ISA 防火塢BEN ET _ _ 一V3.043實(shí)驗(yàn)案例I：發(fā)布Web服務(wù)器需求描述：在Web服務(wù)器上建立網(wǎng)站配置內(nèi)網(wǎng)和外網(wǎng)的DNS服務(wù)器在ISA上發(fā)布為外網(wǎng)提供服務(wù)的DNS服務(wù)器 在ISA計(jì)算機(jī)上發(fā)布Web服務(wù)器中的網(wǎng)站從外網(wǎng)計(jì)算機(jī)用域名訪問Web網(wǎng)站 實(shí)驗(yàn)案例I:發(fā)布Web服務(wù)器實(shí)現(xiàn)思路：實(shí)驗(yàn)準(zhǔn)備配置DNS服務(wù)器發(fā)布DNS服務(wù)器 發(fā)布Web服務(wù)器訪問Web網(wǎng)站冷學(xué)員練習(xí)：40分鐘內(nèi)完成4640分鐘內(nèi)BENETVXO_逐實(shí)驗(yàn)案例2：發(fā)布Exchange郵件服務(wù)器需求描述：建立Exchange 2007郵件服務(wù)器 發(fā)布郵件服務(wù)器驗(yàn)證郵件服務(wù)器發(fā)