防火墙策略的组成

3．1 防火墙策略的组成在ISA 服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA 的基本配置，使内部的

3．1 防火墙策略的组成

在ISA 服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA 的基本配置，使内部的所有用户无限制的访问外部网络。

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。

●∙∙网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。 ●∙∙访问规则：则定义了内、外网的进行通讯的具体细节。

●∙∙服务器发布规则：定义了如何让用户访问服务器。

3.1.1 网络规则

ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 2004中的一个很大的进步，它没有了ISA Server 2000只有一个LAT 表的限制，可以很好的支持多网络的复杂环境。

在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。

3.1.1.1 路由

路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA 与Windows 2000 Server 和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。

在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ 网络中的服务器时，我们可以配置相应的路由网络规则。

需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络 B 到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。

3.1.1.2 网络地址转换（NAT ）

NAT 即网络地址转换（Network Address Translator ），在Windows 2000 Server 和Windows server 2003中，NAT 是其IP 路由的一项重要功能。NAT 方式也称之为Internet 的路由连接，通过它在局域网和Internet 主机间转发数据包从而实现Internet 的共享。ISA2004由于同Windows 2000 Server 和Windows server 2003的路由和远程访问功能集成，所以支持NAT 的的连接类型。

当运行NAT 的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP 地址和端口号翻译成NAT 服务器自己的外部IP 地址和端口号，然后再将请求包发送给Internet 上的目标主机。当N

AT 服务器从Internet 主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP 地址和端口号转换为请求客户机的内部IP 地址的端口号，然后再把信息包发内网的客户机。

当在ISA2004中指定了这促类型的连接后， ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。从而对外隐藏了内部管理的IP ，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了I P 地址注册的费用。

需要注意的是：NAT 关系是唯一的和单向的。如果定义了从网络 A 到网络 B 的 NAT 关系，则不会自动定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。

3.1.1.3 默认网络规则

在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）： ●∙∙本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关

系。

●∙∙VPN 客户端到内部网络：此规则指定在两个 VPN 客户端网络（.VPN 客户端. 和.

被隔离的 VPN 客户端. ）与内部网络之间存在着路由关系。

●∙∙Internet 访问：此规则定义了在内部受保护的网络（如内部、VPN 客户端等）与

外部网络之间存在的 NAT 关系。

3.1.2 访问规则

访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有 IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有 IP 通讯。也可以在访问规则中对用户访问进行精确的限定。

当客户端使用特定协议请求对象时，ISA 服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯，并且允许访问请求的对象时才处理请求。

在ISA2004的安装过程中会自动创建默认的系统策略，其中包含了预配置的、已知协议定义的访问规则列表，其中包括最广泛使用的 Internet 协议，以允许ISA Server 2004服务器能访问它连接到的网络的特定服务。下图显示的是默认系统策略中的内容。

3．2 建立允许客户访问Internet 的防火墙策略

在安装好ISA2004后，我们需要建立相应的防火墙访问策略以允许企业内部员工通过ISA 服务器进行安全的Internet 访问。在本节中，我们将以一个具体的实例让大家体会一下如何利用防火墙策略来建立访问规则，以使企业内部的所有客户能访问Internet 的所有服务。

要完成这个策略的建立，我们需要完成以下工作：

●∙∙配置内部的DNS 服务器。

●∙∙建立访问策略。

3.2.1 建立内部的DNS 服务器

Internet 的基本协议是TCP/IP，在网上的每一台计算机用唯一的IP 地址进行标识。但在实际的运用中，为了便于记忆，往往给每一台计算机取友好名称，要访问的网址也是一样，称为域名。比如我们要访问微软网站，则在浏览器的地址栏输入的域名是[url]www.microsoft.com[/url]，但是计算机系统本身是不能识别这个域名的，要访问到这个网站需要知道服务器的真实IP 地址，所以在中间就需要一个名称解析系统，即将域名[url]www.microsoft.com[/url]解析

为其服务器的IP 地址如207.46.156.252，这个名称解析系统现在的互联网中使用的是DNS （Domain Name System ）。

当用户用域名在访问Internet 上的网站时，需要外部DNS 为之进行域名解析；而当企业用户用域名访问公司内部的网络资源时，需要内部DNS 进行域名解析。但如果企业用户既要访问企业内部网站，又要访问Internet 上的资源时，DNS 应怎样进行设置的。在这种情况下，我们可以建立企业内部的DNS 服务器，使之可以解析内部域名，然后将之设置外部DNS 的转发器，当内部用户访问资源时，由内部DNS 服务器将其请求发给外部DNS ，从而获得外部资源的域名解析。

3.2.1.1 安装内部的DNS 服务器

以管理员身份登录到需要安装DNS 的Windows 服务器上（可以同ISA 服务器安装在同一台计算机上，也可以分别在不同的计算机上进行安装），进行如下过程的安装和配置：

1、打开控制面板下的“添加/删除程序”，单击“添加/删除Windows 组件”。

2、在Windows 组件向导中双击“网络服务”，在出现的对话框中选择“域名系统（DNS ）”，点击【确定】，再点击【下一步】按钮. ，并按向导要求完成DNS 服务的安装。

3、在Windows server 2003的“管理工具”中选择“DNS ”，进入DNS 管理控制台，右键单击服务器，在出的菜单中选择“属性”。

4、在属性对话框中选择“接口”选项卡，然后添加内部接口地址。如图所示。

图 3-7 配置DNS 内部接口

5、选择“转发器”选项卡，先选中上面的“所有其它DNS 域”，然后在“所选域的转发器的IP 地址列表”中添加ISP 为你提供的外部DNS 服务器的IP 地址。如图所示。

6、单击【确定】按钮，完成服务器端DNS 的安装和配置。

3.2.1.2 客户端的DNS 配置

客户端DNS 的配置步骤如下：

1、登录到客户机上，在桌面上用右键单击“网上邻居”图标，在出现的菜单中选择“属性”。

2、在网络连接的属性窗口中，用右键单击“本地连接”，在出现的菜单中选择“属性”，进入到“本地连接属性”对话框中。

3、在“本地连接属性”页中选中“Internet 协议（TCP/IP）”，再点击【属性】按钮，在出现的TCP/IP属性页的“首选DNS 服务器”中，输入内部DNS 服务器的IP 地址，点击【确定】按钮，完成客户端配置。如图所示。

3.2.2 建立访问策略

要使内部用户通过ISA 服务器访问Internet ，必须要建立访问策略。在本例中我们需要建立两条访问策略：一条访问策略以允许企业用户通过ISA 服务器访问Internet ；另一条策略以允许企业用户访问ISAServer2004 服务器的DNS 服务。

3.2.2.1 建立允许所有外出通讯的访问策略

建立访问策略的步骤如下：

1、打开ISA 管理控制台，右键单击“防火墙策略”，在出现的菜单中选择“新建”→“访问规则”。如图所示。

2、在新建访问规则向导中，输入访问规则名称。如图所示。

图 3-12 输入规则名称

3、在“规则操作”对话框中选择“允许”，以便允许通讯的进行。如图所示。

图 3-13 配置规则操作

4、在“协议”对话框中选择“所有出站通讯”，表示可以访问Internet 上的所有服务。如图所示。

5、在“访问规则源”对话框中单击【添加】按钮。在出现的“添加网络实体”对话框中展开“网络”，选择“内部”（如要允许ISA 服务器访问Internet ，在则可选“本地主机”），然后单击【添加】按钮，表示所有的通讯源来自于企业内部。如图所示。

6、在“访问规则目标”对话框中单击【添加】按钮。在出现的“添加网络实体”对话框中展开“网络”，选择“外部”，然后点击【添加】按钮，表示要访问网络外部的资源。

7、在“用户集”对话框中，采用默认的“所有用户”，表示内网的所有用户都可以通过ISA 服务器访问外部的资源。点击【下一步】按钮完成策略的建立。

3.2.2.2 建立允许客户访问内部DNS 的访问策略

建立过程如下：

1、打开ISA 管理控制台，右键单击“防火墙策略”，在出现的菜单中选择“新建”→“访问规则”，在访问规则向导中输入规则名，这里我们取名为“访问ISA 主机上的DNS”。

2、在规则操作中选择“允许”，在此规则应用到选项中选择“所选择的协议”，然后单击【添加】按钮，在“添加协议”对话框中展开“通用协议”，选择“DNS”，单击【添加】按钮，单击【关闭】按钮完成协议的设置。如图所示。

3、在“访问规则目标”对话框中单击【添加】按钮，在出现的“添加网络实体”对话框中展开“网络”，然后选择“本地主机”，单击【添加】按钮，表示要访问ISA 服务器上的DNS 服务

4、根据向导按默认选项完成本访问策略的建立。

3.2.2.3 应用访问策略

为了使所建立的访问策略生效，须在右边窗格中单击【应用】按钮，以保

存修改和更新防火墙策略。

防火策略生效后，你可以在客户机通过ISA 服务器访问Internet 上的所有服务，如QQ 、MSN 等。

3．3 配置拨号连接

现在企业访问互连网很多都是采用ADSL 宽带拨号方式，所以在ISA Se rver 2004的服务器中，需为通过拨号上网配置相应的拨号连接。配置好请求拨号后，无论何时本地网络上的Web 代理客户端或者是防火墙客户端请求一个远程主机时，您的ISA Server 计算机能自动启动拨号连接。

要完成ISA2004拨号上网配置，需要先在拨号服务器上进行ADSL 拨号设置，然后在ISA 服务器上进行拨号设置。

3.3.1 建立拨号服务器的拨号连接

ADSL 拨号的方式有很多种，如ethernet 、raspppoe 等，这些拨号方式需要安装相应的拨号软件，而Windows Server 2003 内置了宽带拨号的支持，按向导一步一步完成配置，简单明了。在这里，我们就以Windows serv er 2003的拨号连接建立方式为例，配置步骤如下：

1、在网络连接属性窗口中，双击“新建连接向导”，在出现的对话框中选择“Internet连接“，单击【下一步】按钮，在出现的对话框中选择“用要求用户名和密码的宽带连接来连接”。

2、在“ISP名称”对话框中输入向企业提供ADSL 接入服务的ISP 的名称。如图3-23所示。

3、在可用连接中选择“任何人使用”，表示允许内部所有用户均可用这个拨号连接。

4、在Internet 帐号对话框中，输入由ISP 分配给你的用户名和口令，点单击【下一步】按钮完成ADSL 连接的建立。

3.3.2 配置ISA 服务器的拨号连接

在ISA 服务器上配置拨号连接的步骤如下：

1、在ISA 管理控制台中，选择“常规”，然后在右边的详细窗格中选择“指定拨号首选项”。如图所示。