防火墻策略的組成與配置撥號連接

1、31 防火火墻策略略的組成成在ISA服服務(wù)器安安裝成功功后，其其防火墻墻策略默默認(rèn)為禁禁止所有有內(nèi)外通通訊，所所以我們們需要在在服務(wù)器器上建立立相應(yīng)的的防火墻墻策略，以以使內(nèi)外外通訊成成功。在在本章，我我們將介介紹ISA的基本本配置，使使內(nèi)部的的所有用用戶無限限制的訪訪問外部部網(wǎng)絡(luò)。在ISA Serrverr 20004中中，防火火墻策略略是由網(wǎng)網(wǎng)絡(luò)規(guī)則則、訪問問規(guī)則和和服務(wù)器器發(fā)布規(guī)規(guī)則三者者的共同同組成。網(wǎng)絡(luò)規(guī)則：定義了了不同網(wǎng)網(wǎng)絡(luò)間能能否進(jìn)行行通訊、以及知用何各方式進(jìn)行通訊。訪問規(guī)則：則定義義了內(nèi)、外外網(wǎng)的進(jìn)進(jìn)行通訊訊的具體體細(xì)節(jié)。服務(wù)器發(fā)布布規(guī)則：定義了了如何讓讓用戶訪訪問服務(wù)務(wù)器。3

2、.1.11網(wǎng)絡(luò)規(guī)規(guī)則ISA20004通過網(wǎng)網(wǎng)絡(luò)規(guī)則則來定義義并描述述網(wǎng)絡(luò)拓拓?fù)?，其其描述了了兩個網(wǎng)網(wǎng)絡(luò)實體體之間是是否存在在連接，以以及定義義如何進(jìn)進(jìn)行連接接。相對對于ISAA20000，可以以說網(wǎng)絡(luò)絡(luò)規(guī)則是是ISAA Seerveer 220044中的一一個很大大的進(jìn)步步，它沒沒有了ISAA Seerveer 220000只有一一個LAT表的限限制，可可以很好好的支持持多網(wǎng)絡(luò)絡(luò)的復(fù)雜雜環(huán)境。在ISA220044的網(wǎng)絡(luò)絡(luò)規(guī)則中中定義的的網(wǎng)絡(luò)連連接的方方式有：路由和和網(wǎng)絡(luò)地址轉(zhuǎn)換換。3.1.11.1路路由路由是指相相互連接接起來的的網(wǎng)絡(luò)之之間進(jìn)行行路徑尋尋找和轉(zhuǎn)轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)包的過過程，由由于ISA

3、與Winndowws 220000 Seerveer和Winndowws SServver 20003路由和和遠(yuǎn)程訪訪問功能能的緊密密集成，使使其具有有很強(qiáng)的的路由功功能。在ISA220044中，當(dāng)當(dāng)指定這這種類型型的連接接時，來來自源網(wǎng)網(wǎng)絡(luò)的客客戶端請請求將被被直接轉(zhuǎn)轉(zhuǎn)發(fā)到目目標(biāo)網(wǎng)絡(luò)絡(luò)，而無無須進(jìn)行行地址的的轉(zhuǎn)換。當(dāng)當(dāng)需要發(fā)發(fā)布位于于DMZ網(wǎng)絡(luò)中中的服務(wù)務(wù)器時，我我們可以以配置相相應(yīng)的路路由網(wǎng)絡(luò)絡(luò)規(guī)則。需要注意的的是，路路由網(wǎng)絡(luò)絡(luò)關(guān)系是是雙向的的。如果果定義了了從網(wǎng)絡(luò)絡(luò) A到網(wǎng)網(wǎng)絡(luò) B的路路由關(guān)系系，那么么從網(wǎng)絡(luò)B到網(wǎng)絡(luò) A也同同樣存在在著路由由關(guān)系，這這同我們們在進(jìn)行行硬件或或軟件路路由器

4、配配置的原原理相同同。3.1.11.2網(wǎng)網(wǎng)絡(luò)地址址轉(zhuǎn)換（NAT）NAT即網(wǎng)網(wǎng)絡(luò)地址址轉(zhuǎn)換（Nettworrk AAddrresss Trransslattor），在Winndowws 220000 Seerveer和Winndowws sservver 20003中，NAT是其IP路由的的一項重重要功能能。NAT方式也也稱之為為Intternnet的路由由連接，通通過它在在局域網(wǎng)網(wǎng)和Intternnet主機(jī)間間轉(zhuǎn)發(fā)數(shù)數(shù)據(jù)包從從而實現(xiàn)現(xiàn)Intternnet的共享享。ISAA20004由于同Winndowws 220000 Seerveer和Winndowws sservver 20003的路由由

5、和遠(yuǎn)程程訪問功功能集成成，所以以支持NAT的的連連接類型型。當(dāng)運(yùn)行NAAT的計算算機(jī)從一一臺內(nèi)部部客戶機(jī)機(jī)接收到到外出請請求數(shù)據(jù)據(jù)包時，它它會把信信息包的的包頭換換掉，把把客戶機(jī)機(jī)的內(nèi)部部IP地址和和端口號號翻譯成成NAT服務(wù)器器自己的的外部IP地址和和端口號號，然后后再將請請求包發(fā)發(fā)送給Intternnet上的目目標(biāo)主機(jī)機(jī)。當(dāng)NAT服務(wù)器器從Intternnet主機(jī)接接收到回回答信息息后，它它也會將將其包頭頭進(jìn)行替替換，將將自己的的外部IP地址和和端口號號轉(zhuǎn)換為為請求客客戶機(jī)的的內(nèi)部IP地址的的端口號號，然后后再把信信息包發(fā)發(fā)內(nèi)網(wǎng)的的客戶機(jī)機(jī)。當(dāng)在ISAA20004中指定定了這促類型型的連接

6、接后， ISSA服務(wù)務(wù)器將用用它自己己的 IPP地址替替換源網(wǎng)網(wǎng)絡(luò)中的的客戶端端的 IPP地址。從從而對外外隱藏了了內(nèi)部管管理的IP，同時時也隱藏藏了內(nèi)部部網(wǎng)絡(luò)結(jié)結(jié)構(gòu)，從從而降低低了內(nèi)部部網(wǎng)絡(luò)受受到攻擊擊的風(fēng)險險，并可可減少了了IP地址址注冊的的費(fèi)用。需要注意的的是：NATT關(guān)系是是唯一的的和單向向的。如如果定義義了從網(wǎng)網(wǎng)絡(luò)A到網(wǎng)絡(luò) B的 NAAT關(guān)系系，則不不會自動動定義從從 B到 A的網(wǎng)網(wǎng)絡(luò)關(guān)系系。您可可以創(chuàng)建建定義雙雙向關(guān)系系的網(wǎng)絡(luò)絡(luò)規(guī)則，但但是 ISSA服務(wù)務(wù)器將忽忽略有序序規(guī)則列列表中的的第二條條網(wǎng)絡(luò)規(guī)規(guī)則。3.1.11.3默默認(rèn)網(wǎng)絡(luò)絡(luò)規(guī)則在進(jìn)行ISSA20004的安裝裝時，系系統(tǒng)會

7、創(chuàng)建以下下默認(rèn)規(guī)規(guī)則（如如圖3-1所示）：本地主機(jī)訪訪問：此此規(guī)則定定義了在在本地主主機(jī)網(wǎng)絡(luò)絡(luò)與其他他所有網(wǎng)網(wǎng)絡(luò)之間間存在的的路由關(guān)關(guān)系。VPN客戶戶端到內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)：此規(guī)規(guī)則指定定在兩個個 VPPN客戶戶端網(wǎng)絡(luò)絡(luò)（.VPPN客戶戶端.和.被隔離離的 VPPN客戶戶端.）與內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)之間存存在著路路由關(guān)系系。Interrnett訪問：此規(guī)則則定義了了在內(nèi)部部受保護(hù)護(hù)的網(wǎng)絡(luò)絡(luò)（如內(nèi)內(nèi)部、VPN客戶端端等）與與外部網(wǎng)網(wǎng)絡(luò)之間間存在的的 NAAT關(guān)系。3.1.22訪問規(guī)規(guī)則訪問規(guī)則決決定源網(wǎng)網(wǎng)絡(luò)上的的客戶端端如何訪訪問目標(biāo)標(biāo)網(wǎng)絡(luò)上上的資源源。我們們可以將將訪問規(guī)規(guī)則配置置為適用用于所有有 IPP通

8、訊、適適用于特特定的協(xié)協(xié)議定義義集或適適用于除除所選協(xié)協(xié)議之外外的所有有 IPP通訊。也也可以在在訪問規(guī)規(guī)則中對對用戶訪訪問進(jìn)行行精確的的限定。當(dāng)客戶端使使用特定定協(xié)議請請求對象象時，ISAA服務(wù)器器會在訪訪問規(guī)則則列表中中從上而而下地進(jìn)進(jìn)行檢查查。只有有當(dāng)某個個訪問規(guī)規(guī)則明確確允許客客戶端使使用特定定的協(xié)議議進(jìn)行通通訊，并并且允許許訪問請請求的對對象時才才處理請請求。在ISA22004的安裝裝過程中中會自動動創(chuàng)建默默認(rèn)的系系統(tǒng)策略略，其中中包含了了預(yù)配置置的、已已知協(xié)議議定義的的訪問規(guī)規(guī)則列表表，其中中包括最最廣泛使使用的 Innterrnett協(xié)議，以以允許ISA Serrverr 200

9、04服務(wù)器器能訪問問它連接接到的網(wǎng)網(wǎng)絡(luò)的特特定服務(wù)務(wù)。下圖圖顯示的的是默認(rèn)認(rèn)系統(tǒng)策策略中的的內(nèi)容。32 建立立允許客客戶訪問問Intternnet的的防火墻墻策略在安裝好IISA220044后，我們們需要建建立相應(yīng)應(yīng)的防火火墻訪問問策略以以允許企企業(yè)內(nèi)部部員工通通過ISA服務(wù)器器進(jìn)行安安全的Intternnet訪問。在在本節(jié)中中，我們們將以一一個具體體的實例例讓大家家體會一一下如何何利用防防火墻策策略來建建立訪問問規(guī)則，以以使企業(yè)業(yè)內(nèi)部的的所有客客戶能訪訪問Intternnet的所有有服務(wù)。要完成這個個策略的的建立，我我們需要要完成以以下工作作：配置內(nèi)部的的DNS服務(wù)器器。建立訪問策策略。3.

10、2.11建立內(nèi)內(nèi)部的DNS服務(wù)器器當(dāng)用戶用域域名在訪訪問Intternnet上的網(wǎng)網(wǎng)站時，需需要外部部DNS為之進(jìn)行行域名解解析；而而當(dāng)企業(yè)業(yè)用戶用用域名訪訪問公司司內(nèi)部的的網(wǎng)絡(luò)資資源時，需需要內(nèi)部部DNS進(jìn)行域域名解析析。但如如果企業(yè)業(yè)用戶既既要訪問問企業(yè)內(nèi)內(nèi)部網(wǎng)站站，又要要訪問Intternnet上的資資源時，DNS應(yīng)怎樣樣進(jìn)行設(shè)設(shè)置的。在在這種情情況下，我我們可以以建立企企業(yè)內(nèi)部部的DNS服務(wù)器器，使之之可以解解析內(nèi)部部域名，然然后將之之設(shè)置外外部DNS的轉(zhuǎn)發(fā)發(fā)器，當(dāng)當(dāng)內(nèi)部用用戶訪問問資源時時，由內(nèi)內(nèi)部DNS服務(wù)器器將其請請求發(fā)給給外部DNS，從而而獲得外外部資源源的域名名解析。3.2.

11、11.1安安裝內(nèi)部部的DNS服務(wù)器器以管理員身身份登錄錄到需要要安裝DNS的Winndowws服務(wù)器器上（可可以同ISA服務(wù)器器安裝在在同一臺臺計算機(jī)機(jī)上，也也可以分分別在不不同的計計算機(jī)上上進(jìn)行安安裝），進(jìn)進(jìn)行如下下過程的的安裝和和配置：1、打開控控制面板板下的“添加/刪除程程序”，單擊“添加/刪除Winndowws組件”。2、在Wiindoows組件向向?qū)е须p雙擊“網(wǎng)絡(luò)服服務(wù)”，在出出現(xiàn)的對對話框中中選擇“域名系系統(tǒng)（DNS）”，點擊擊【確定定】，再再點擊【下下一步】按按鈕.，并按按向?qū)б笸瓿沙蒁NS服務(wù)的的安裝。3、在Wiindoows serrverr 20003的的“管理工工具”

12、中選擇“DNSS”，進(jìn)入入DNSS管理控控制臺，右右鍵單擊擊服務(wù)器器，在出出的菜單單中選擇“屬性”。4、在屬性性對話框框中選擇“接口”選項卡卡，然后后添加內(nèi)內(nèi)部接口口地址。如如圖所示示。圖 3-77 配置置DNSS內(nèi)部接接口5、選擇“轉(zhuǎn)發(fā)器”選項卡卡，先選選中上面面的“所有其其它DNNS域”，然后后在“所選域域的轉(zhuǎn)發(fā)發(fā)器的IIP地址址列表”中添加加ISPP為你提提供的外外部DNNS服務(wù)務(wù)器的IIP地址址。如圖圖所示。6、單擊【確定】按鈕，完成服務(wù)器端DNS的安裝和配置。3.2.11.2客客戶端的的DNS配置客戶端DNNS的配置置步驟如如下：1、登錄到到客戶機(jī)機(jī)上，在在桌面上上用右鍵鍵單擊“網(wǎng)上

13、鄰鄰居”圖標(biāo)，在在出現(xiàn)的的菜單中中選擇“屬性”。2、在網(wǎng)絡(luò)絡(luò)連接的的屬性窗窗口中，用用右鍵單單擊“本地連連接”，在出出現(xiàn)的菜菜單中選選擇“屬性”，進(jìn)入入到“本地連連接屬性性”對話框框中。3、在“本本地連接接屬性”頁中選選中“Inteerneet協(xié)議議（TCCP/IIP）”，再點點擊【屬屬性】按鈕，在在出現(xiàn)的的TCPP/IPP屬性頁頁的“首選DNNS服務(wù)務(wù)器”中，輸輸入內(nèi)部部DNSS服務(wù)器器的IPP地址，點點擊【確確定】按鈕，完完成客戶戶端配置置。如圖圖所示。3.2.22建立訪訪問策略略要使內(nèi)部用用戶通過過ISA服務(wù)器器訪問Intternnet，必須須要建立訪問問策略。在在本例中中我們需需要建立

14、立兩條訪訪問策略略：一條條訪問策策略以允允許企業(yè)業(yè)用戶通通過ISA服務(wù)器器訪問Intternnet；另一一條策略略以允許許企業(yè)用用戶訪問問ISAASerrverr20004服務(wù)務(wù)器的DNS服務(wù)。3.2.22.1建建立允許許所有外外出通訊訊的訪問問策略建立訪問策策略的步步驟如下下：1、打開IISA管理控控制臺，右右鍵單擊擊“防火墻墻策略”，在出出現(xiàn)的菜菜單中選選擇“新建”“訪問規(guī)規(guī)則”。如圖圖所示。2、在新建建訪問規(guī)規(guī)則向?qū)?dǎo)中，輸輸入訪問問規(guī)則名名稱。如如圖所示示。圖 3-112 輸輸入規(guī)則則名稱3、在“規(guī)規(guī)則操作作”對話框框中選擇擇“允許”，以便便允許通通訊的進(jìn)進(jìn)行。如如圖所示示。圖 3-1

15、13 配配置規(guī)則則操作4、在“協(xié)協(xié)議”對話框框中選擇擇“所有出出站通訊訊”，表示示可以訪訪問Intternnet上的所所有服務(wù)務(wù)。如圖圖所示。5、在“訪訪問規(guī)則則源”對話框框中單擊擊【添加加】按鈕鈕。在出出現(xiàn)的“添加網(wǎng)網(wǎng)絡(luò)實體體”對話框框中展開“網(wǎng)絡(luò)”，選擇“內(nèi)部”（如要要允許ISA服務(wù)器器訪問Intternnet，在則則可選“本地主主機(jī)”），然然后單擊擊【添加加】按鈕鈕，表示示所有的的通訊源源來自于于企業(yè)內(nèi)內(nèi)部。如如圖所示示。6、在“訪訪問規(guī)則則目標(biāo)”對話框框中單擊擊【添加加】按鈕鈕。在出出現(xiàn)的“添加網(wǎng)網(wǎng)絡(luò)實體體”對話框框中展開開“網(wǎng)絡(luò)”，選擇“外部”，然后后點擊【添添加】按按鈕，表表示要訪

16、訪問網(wǎng)絡(luò)絡(luò)外部的的資源。7、在“用用戶集”對話框框中，采采用默認(rèn)認(rèn)的“所有用用戶”，表示示內(nèi)網(wǎng)的的所有用用戶都可可以通過過ISA服務(wù)器器訪問外外部的資資源。點點擊【下下一步】按按鈕完成成策略的的建立。3.2.22.2建建立允許許客戶訪訪問內(nèi)部部DNS的訪問問策略建立過程如如下：1、打開IISA管理控控制臺，右右鍵單擊擊“防火墻墻策略”，在出出現(xiàn)的菜菜單中選選擇“新建”“訪問規(guī)規(guī)則”，在訪訪問規(guī)則則向?qū)е兄休斎胍?guī)規(guī)則名，這這里我們們?nèi)∶麨闉椤霸L問ISA主機(jī)上上的DNS”。2、在規(guī)則則操作中中選擇“允許”，在此此規(guī)則應(yīng)應(yīng)用到選選項中選選擇“所選擇擇的協(xié)議議”，然后后單擊【添加】按按鈕，在在“添加協(xié)

17、協(xié)議”對話框框中展開“通用協(xié)協(xié)議”，選擇“DNS”，單擊【添添加】按按鈕，單單擊【關(guān)關(guān)閉】按按鈕完成成協(xié)議的的設(shè)置。如如圖所示示。3、在“訪訪問規(guī)則則目標(biāo)”對話框框中單擊擊【添加加】按鈕鈕，在出出現(xiàn)的“添加網(wǎng)網(wǎng)絡(luò)實體體”對話框框中展開開“網(wǎng)絡(luò)”，然后后選擇“本地主主機(jī)”，單擊擊【添加加】按鈕鈕，表示示要訪問問ISA服務(wù)器器上的DNS服務(wù)4、根據(jù)向向?qū)О茨J(rèn)選項項完成本本訪問策策略的建建立。3.2.22.3應(yīng)應(yīng)用訪問問策略為了使所建建立的訪訪問策略略生效，須須在右邊邊窗格中中單擊【應(yīng)應(yīng)用】按按鈕，以以保存修修改和更更新防火火墻策略略。防火策略生生效后，你你可以在在客戶機(jī)機(jī)通過ISA服務(wù)器器訪問

18、Intternnet上的所所有服務(wù)務(wù)，如QQ、MSN等。33 配置置撥號連連接現(xiàn)在企業(yè)訪訪問互連網(wǎng)網(wǎng)很多都都是采用用ADSSL寬帶撥撥號方式式，所以以在ISAA Seerveer 220044的服務(wù)務(wù)器中，需需為通過過撥號上上網(wǎng)配置置相應(yīng)的的撥號連連接。配配置好請請求撥號號后，無無論何時時本地網(wǎng)網(wǎng)絡(luò)上的的Web代理客客戶端或或者是防防火墻客客戶端請請求一個個遠(yuǎn)程主主機(jī)時，您您的ISAA Seerveer計算機(jī)機(jī)能自動動啟動撥撥號連接接。要完成ISSA20004撥號上上網(wǎng)配置置，需要要先在撥撥號服務(wù)務(wù)器上進(jìn)進(jìn)行ADSSL撥號設(shè)設(shè)置，然然后在ISA服務(wù)器器上進(jìn)行行撥號設(shè)設(shè)置。3.3.11建立撥撥號服務(wù)務(wù)器的撥撥號連接接ADSL撥撥號的方方式有很很多種，如ethernet、raspppoe等，這些撥號方式需要安裝相應(yīng)的撥號軟件，而Windows Server 2003內(nèi)置了寬帶撥號的支持，按向?qū)б徊揭徊酵瓿膳渲?，簡單明了。在這里，我們就以Window