isa防火墻如何配置
isa防火墻要怎么樣去配置,才能更好的使用呢?下面由學習啦小編給你做出詳細的isa防火墻配置介紹!希望對你有幫助!
isa防火墻配置一:
配置ISA Server網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)環(huán)境中是否有必要安裝ISA、是否可以安裝ISA、安裝前ISA保護的內(nèi)部網(wǎng)絡(luò)中的客戶如何進行配置、安裝后的訪問規(guī)則如何設(shè)置等問題,本文將具體闡述一下。 文章導讀 1、ISA server概述 2、邊緣防火墻模型 3、單網(wǎng)絡(luò)與多網(wǎng)絡(luò)模型
ISA Server 2004是目前世界上最好的路由級軟件防火墻,它可以讓你的企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet,性能可以和硬件防火墻媲美,并且深層次的應(yīng)用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的。
你可以在網(wǎng)絡(luò)的任何地方,如兩個或多個網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、單個主機上配置ISA Server 2004來對你的網(wǎng)絡(luò)或主機進行防護。
ISA Server 2004對于安裝的要求非常低,可以說,目前的服務(wù)器對于ISA Server 2004的硬件系統(tǒng)需求都是綽綽有余的。
ISA Server作為一個路由級的軟件防火墻,要求管理員要熟悉網(wǎng)絡(luò)中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等,它并不像其他單機防火墻一樣,只需安裝一下就可以很好的使用。在安裝ISA Server時,你需要對你內(nèi)部網(wǎng)絡(luò)中的路由及TCP/IP設(shè)置進行預先的規(guī)劃和配置,這樣才能做到安裝ISA Server后即可很容易的使用,而不會出現(xiàn)客戶不能訪問外部網(wǎng)絡(luò)的問題。
再談?wù)剬υ趩螜C上安裝ISA Server 2004的看法。ISA Server 2004可以安裝在單網(wǎng)絡(luò)適配器計算機上,它將會自動配置為Cache only的防火墻,同時,通過ISA Server 2004強大的IDS和應(yīng)用層識別機制,對本機提供了很好的防護。但是,ISA Server 2004的核心是多網(wǎng)絡(luò),它最適合的配置環(huán)境是作為網(wǎng)絡(luò)邊緣的防火墻;并且作為單機防火墻,它太過于龐大了,這樣會為服務(wù)器帶來不必要的性能消耗。
所以,我不推薦在單機上安裝ISA Server 2004。對于單機防火墻,我推薦Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等,它們都是非常好的單機防火墻。不過對于需要提供服務(wù)的主機,最好安裝Zonealarm或者Blackice,SPF Pro因為太過于強大,反而不適合作為服務(wù)器使用。對于基于IIS的Web服務(wù)器,你還可以安裝IISLockdown和UrlScan工具,這樣就可以做到比較安全了。對于單網(wǎng)絡(luò)適配器的ISA Server,我會在后面的實例中介紹。
至于安裝ISA Server前內(nèi)部的客戶如何進行配置,我以幾個實例來進行介紹:
1、邊緣防火墻模型
如下圖,ISA Server 2004上安裝有兩個網(wǎng)絡(luò)適配器,它作為邊緣防火墻,讓內(nèi)部客戶安全快速的連接到Internet,內(nèi)部的Lan我以192.168.0.0/24為例,不考慮接入Internet的方式(撥號或固定IP均可)。
ISA Server 2004上的內(nèi)部網(wǎng)絡(luò)適配器作為內(nèi)部客戶的默認網(wǎng)關(guān),根據(jù)慣例,它的IP地址要么設(shè)置為子網(wǎng)最前的IP(如192.168.0.1),或者設(shè)置為最末的IP(192.168.0.254),在此我設(shè)置為192.168.0.1;對于DNS服務(wù)器,只要內(nèi)部網(wǎng)絡(luò)中沒有域,那么內(nèi)部可以不建立DNS服務(wù)器,不過推薦你建立。在此例中,我們假設(shè)外部網(wǎng)卡(或撥號連接)上已經(jīng)設(shè)置了DNS服務(wù)器,所以我們在此不設(shè)置DNS服務(wù)器的IP地址;還有默認網(wǎng)關(guān),內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認網(wǎng)關(guān),因為Windows主機同時只能使用一個默認網(wǎng)關(guān),如果在外部和內(nèi)部網(wǎng)絡(luò)適配器上都設(shè)置了默認網(wǎng)關(guān),那么ISA Server可能會出現(xiàn)路由錯誤。
接下來是客戶機的TCP/IP設(shè)置和代理設(shè)置。SNAT客戶和Web代理客戶有些區(qū)別,防火墻客戶兼容SNAT客戶和Web代理客戶的設(shè)置。在身份驗證不是必需的情況下,請盡量考慮使用SNAT客戶,因為它是標準的網(wǎng)絡(luò)路由,兼容性是最好的。
SNAT客戶的TCP/IP配置要求:
必須和ISA Server的內(nèi)部接口在同個子網(wǎng);在此,我可以使用192.168.0.2/24~192.168.0.254/24;
配置ISA Server的內(nèi)部接口為默認網(wǎng)關(guān);此時默認網(wǎng)關(guān)是192.168.0.1;
DNS根據(jù)你的網(wǎng)絡(luò)環(huán)境來設(shè)置,可以使用ISP的DNS服務(wù)器或者你自己在內(nèi)部建立一臺DNS服務(wù)器;但是,DNS服務(wù)器是必需的。
Web代理客戶和SNAT客戶相比,則要復雜一些:
IP地址必須和ISA Server的內(nèi)部接口位于同個子網(wǎng);在此,我可以使用192.168.0.2/24~192.168.0.254/24;
默認網(wǎng)關(guān)和DNS服務(wù)器地址都可以不配置;
必須在IE的代理屬性中配置ISA Server的代理,默認是內(nèi)部接口的8080端口,在此是192.168.0.1:8080;
對于其他需要訪問網(wǎng)絡(luò)的程序,必須設(shè)置HTTP代理(ISA Server),否則是不能訪問網(wǎng)絡(luò);
至于關(guān)閉SNAT客戶的訪問,在ISA Server的訪問規(guī)則中不要允許所有用戶訪問,改為所有通過驗證的用戶即可。
防火墻客戶默認會配置IE為web代理客戶,然后對其他不能使用代理的Winsock應(yīng)用程序進行轉(zhuǎn)換,然后轉(zhuǎn)發(fā)到所連接的ISA防火墻。對于防火墻客戶,你最好先按照SNAT客戶進行設(shè)置,然后安裝防火墻客戶端,安裝防火墻客戶端后它會自動配置客戶為Web代理客戶。
在安裝ISA Server時,內(nèi)部網(wǎng)絡(luò)配置為192.168.0.0/24。安裝好后,你可以根據(jù)你的需要,自行配置訪問規(guī)則。ISA Server中帶了五個網(wǎng)絡(luò)模型的模板,可以讓你只是點幾下鼠標就可以設(shè)置好訪問規(guī)則,但是希望你能手動設(shè)置規(guī)則,這樣可以讓你有更深的認識。
下圖中是一種特殊的情況,在內(nèi)部網(wǎng)絡(luò)中還有其他子網(wǎng)的內(nèi)部客戶。此時,你首先得將這些子網(wǎng)的地址包含在ISA Server的內(nèi)部網(wǎng)絡(luò)中,然后在ISA Server上配置到這些子網(wǎng)的路由,其他的就和單內(nèi)部網(wǎng)絡(luò)的配置一致了。
2、多網(wǎng)絡(luò)模型中的邊緣防火墻
如下圖,我只是簡單的設(shè)計了一個三周長的多網(wǎng)絡(luò)模型。ISA Server 2004是專為多網(wǎng)絡(luò)而設(shè)計的,所以,對于這種環(huán)境,配置起來非常得心應(yīng)手。
在這種環(huán)境中,LAN(192.168.0.0)的客戶和ISA Server上連接LAN的網(wǎng)絡(luò)適配器,按照上面的方法進行配置,在此我重點給大家講解一下DMZ網(wǎng)絡(luò)的配置。
DMZ中的客戶以及ISA Server上連接DMZ網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器,也按照上面的辦法進行配置,但是,對于DMZ中的服務(wù)器,請配置為SNAT客戶,這樣可以得到最好的性能,配置為Web代理客戶可能會讓它不能正常工作,配置為防火墻客戶會導致它性能的降低。
在安裝ISA Server時,內(nèi)部網(wǎng)絡(luò)只是選擇192.168.0.0,安裝好后,在ISA管理控制臺的配置的網(wǎng)絡(luò)中,新建一個DMZ網(wǎng)絡(luò),選擇172.16.0.0網(wǎng)段。另外對于多網(wǎng)絡(luò),你還需要設(shè)置網(wǎng)絡(luò)規(guī)則。另外你利用ISA Server自帶的三周長網(wǎng)絡(luò)模板就可以很方便的實現(xiàn)DMZ網(wǎng)絡(luò)的配置。其他訪問則根據(jù)你的需要來自行設(shè)置。
3、單網(wǎng)絡(luò)適配器的環(huán)境
如下圖,ISA Server 2004安裝在一臺只有一個網(wǎng)絡(luò)適配器的Internet主機上,此時,ISA Server將自動配置為Cache only的防火墻,可以用做Web代理、緩存、Web發(fā)布、OWA發(fā)布等等,由于ISA Server 2004強大的IDS系統(tǒng),它也可以為主機提供非常強大的保護。關(guān)于在這種環(huán)境下如何發(fā)布ISA Server上的Web服務(wù)。
在單網(wǎng)卡網(wǎng)絡(luò)適配器環(huán)境下安裝ISA Server的時候,會自動在內(nèi)部網(wǎng)絡(luò)中包含所有的IP地址,所以在你建立訪問規(guī)則時,一定要注意允許內(nèi)部訪問本地主機和允許本地主機訪問內(nèi)部(此時,外部網(wǎng)絡(luò)已經(jīng)沒有實際作用了)。同樣的,通過ISA Server自帶的單一網(wǎng)絡(luò)適配器模板,你也可以很輕松的完成單網(wǎng)絡(luò)適配器模型的ISA Server 2004的配置。
isa防火墻配置二:
防火墻策略->右鍵->新建->訪問規(guī)則->允許,所選擇協(xié)議,HTTP,源自:內(nèi)部,目標:新建URL,把網(wǎng)站放在URL中;
刪除其他訪問規(guī)則,只留最后一打默認規(guī)則
看了“ isa防火墻如何配置”文章的還看了: