防火墙精灵之ISA2006.doc

今天给大家带来的是ISA2006的部署与应用，我相信同学们对ISA Server一定不陌生我在前面文章中给大家介绍了ISA2004的功能，本次文章主要做为硬件防火墙及ISA2004的一个补充。1、实验环境VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP1、ISA Server 2006企业版或标准版、Windows XP Professional。2、实验拓扑3. 实验要求（1）实验环境准备：CA：安装Windows Server 2003 Enterprise Edition；IP：/24，DNS：；设置DNS转发（目标：笔者所在的南昌网通：2），并同时设置在和两个地址上侦听；Web：安装Windows Server 2003 Standard/Enterprise Edition及 Internet Information Services （IIS）的计算机，配置IP信息：/24、DNS：，配置测试的Web网站；ISA Server：ISA Server是一台安装Windows Server 2003 Enterprise Edition SP1的计算机（ISA Server 2006是以Server 2003 Enterprise Edition SP1为平台开发的，因此安装ISA Server 2006要求Server 2003必须有SP1补丁；最新的Server 2003 SP2和ISA Server 2006存在兼容性上的问题，因此不建议初学者使用，对此感兴趣同学请参见微软发布的相关更新：KB939455）；要求本机有三个网卡，分别处于不同的网络：l LAN接口：VMnet 2，IP：/24，DNS：；l DMZ接口：VMnet 3，IP：/24；l Internet接口：Bridge，IP：33/24，DG：（模拟Internet）；l 一定要注意ISA Server网关的配置，ISA Server只能有一个网关！PC1：PC1是一部运行Windows XP Professional的计算机，模拟内网客户端，实验中可以省略，用CA来取代；PC2：PC2是一部运行Windows XP Professional的计算机，模拟Internet上的计算机，IP：00/24、DG：33，（实验中可用物理机来取代）；（2）实验步骤：本试验环境复杂，可逐步配置，逐步试验：实验一 ISA Server 2006的安装与实验环境（3向外围网络）的搭建l ISA Server 2006的安装 ，安装ISA Server 2006的标准版解压安装ISA Server 2006，在弹出的如图2的画面中，选择“安装ISA Server 2006”，按照提示，默认安装即可；若是ISA Server 2006企业版，则会弹出如图3的画面，在这里我们选择“同时安装ISA Server服务和配置存储服务器”。因为ISA Server 2006企业版支持网络负载平衡（NLB）最多可以扩展到32个节点；而标准版仅支持单个节点（最多个CPU，2GB内存）。同理，ISA Server 2006企业版的第一次安装要选择“创建新ISA Server服务器企业”，如图4。鉴于虚拟机的性能和ISA Server2006企业版专为多节点设计的特色，我们这里选择ISA Server2006标准版来进行实验，但必要时会提到企业版与标准版的不同。在弹出的“内部网络”对话框中，单击“添加”按钮，在弹出的“地址”对话框中，如图5，单击“添加适配器”按钮，添加内网网卡：LAN；按照提示，完成ISA Server 2006的安装，下面我们来完成实验环境的搭建。l 建立DMZ网络DMZ网络在ISA Server中被称作“三向外围网络，DMZ区域被称为外围网络；ISA Server 2006支持多重网络的分割，共包括内部网络、外围网络、VPN客户端网络、本地主机和VPN隔离客户端这六个内置的网络，此外用户还可以添加其它网络。ISA Server 2006将各个网络隔离开来，控制它们之间的通信。从程序菜单中打开“ISA Server服务器管理”，在弹出的启动画面中，我们选择ISA Server管理控制台下的“配置”下的“网络”；右击网络，在弹出的菜单中选择“新建”、单击“网络”，在弹出的“欢迎使用网络创建向导“页，输入合适的网络名，如：DMZ Network，如图6所示；下一步；在网络类型页，选择外围网络，如图7所示；在网络地址页，单击添加适配器，在弹出的页面中选择自定义的外围网络的网卡，如图8所示；完成新建网络向导，此时，我们可以在网络中看见新建的DMZ Network；最后别忘了“应用”我们的配置，在ISA Server 2006的实验中，每一次策略的更改，都要“应用”之后才能生效！l 实验网络环境的测试： PC 1上，Ping ISA Server不通；反之，不通！ PC 2上，Ping ISA Server不通；反之，不通！ Web上，Ping ISA Server不通；反之，不通！以上情况说明：ISA Server的网络环境已搭建成功，并阻止了各网对ISA Server的访问。网络建立好后，我们需要建立对应的网络规则。否则，ISA Server本机以及其连接的各个网络都如同孤岛一样，网络通信只能在各个网络内部进行。下面，我们进行网络规则的创建。实验二 建立网络规则网络规则定义了不同网络间是否能访问、以及该如何进行访问，ISA Server定义了两种类型的网络规则：路由和NAT。路由网络关系使用路由器的功能转发数据包；路由关系是双向的；默认情况下，是路由关系的是： DMZ网络（内用公共IP）与Internet网络之间； VPN客户端、VPN受隔离的客户端和内部网络之间；NAT网络关系使用NAT技术转发数据包，NAT关系是单向的；默认默认情况下，是NAT关系的是： VPN客户端、VPN受隔离的客户端和内部网络间到Internet网络之间； VPN客户端、VPN受隔离的客户端和内部网络间到DMZ网络。ISA Server：首先建立一条DMZ网络到内部网络的路由关系规则，点击“任务”面板中的“创建网络规则”，如图9所示；在欢迎使用新建网络向导页，如图10，输入合适的网络规则名称，如：DMZ to LAN，点击下一步；在网络通讯源页，点击添加按钮，然后在添加网络实体对话框中，选择网络下的“DMZ Network”，添加完毕后如图11所示，点击下一步； 在网络通讯目标页，点击添加，选择内部，如图12所示，点击下一步；在网络关系页，选择路由，点击下一步；在正在完成新建网络规则向导页，点击完成；然后创建一条DMZ网络到外部网络的NAT关系的网络规则，再次点击创建新的网络规则打开网络规则创建向导，步骤和上面的策略一样，不同的规则元素： 规则名字：DMZ to Internet； 通讯规则源：DMZ Network； 通讯规则目标：外部；实现内网对Internet的Web访问： 网络关系：网络地址转换（NAT）；建好后，在网络规则面板中显示如图12所示：实验三 建立防火墙策略接下来，我们该配置防火墙策略。首先我们建立一条访问规则，允许内部网络和DMZ网络之间相互的Ping。右击防火墙策略，选择新建，点击访问规则；欢迎使用新建访问规则向导页，输入合适的访问规则名称，在此我命名为Allow Ping between LAN and DMZ，如图14，点击下一步；在规则操作页，选择允许，如图15，点击下一步；在协议页，选择“所选的协议”，单击“添加”，在弹出的“添加协议”对话框中，选择“通用协议”下的“PING”，如图16所示，点击下一步；在访问规则源页，点击添加，添加DMZ Network和内部，如图17所示，点击下一步；在访问规则目标页，点击添加，同样添加DMZ Network和内部，点击下一步；在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；最后别忘了应用策略。测试我们创建的防火墙策略：l Ping测试：CA Ping DMZ， 通，TTL = 127；DMZ Ping CA， 通，TTL = 127；我们再建立一条访问规则，允许内部和DMZ网络访问外部网络（Internet）的Ping、HTTP和HTTPS服务。步骤和上面一样，规则元素为：l 规则名称：Allow LAN&DMZ access Internet Web；l 规则动作：允许；l 所选的协议：Ping、HTTP、HTTPS；l 访问规则源：DMZ Network和内部；l 访问规则目标：外部；l 用户集：所有用户；最后应用策略。现在我们是否已经可以访问Internet上的Web了呢？测试！发现，少了关键的一条：DNS解析！我们再建立一条访问规则，允许DNS解析，见图18。步骤和上面一样，规则元素为：l 规则名称：Allow DNS；l 规则动作：允许；l 所选的协议：DNS；l 访问规则源：所有网络和本地主机；l 访问规则目标：所有网络和本地主机；l 用户集：所有用户；最后应用策略，测试访问都成功，除了DMZ用域名访问Internet之外！进一步检查发现，DMZ没有DNS，指定DNS到CA即可！实验四 定制访问规则阻塞LAN和DMZ对“百度”的访问创建新的访问规则：l 规则名称：Block Baidu；l 规则动作：拒绝；l 所选的协议：所有出站通信；l 访问规则源：所有网络和本地主机；l 访问规则目标：自定义域名集“Baidu”；l 用户集：所有用户；l 最后应用策略，应用后的策略见图19。在目标通信页，单击添加，在弹出的“添加网络实体”对话框中，单击“新建”在弹出的下拉式菜单中选择“域名集”；在弹出的“新建域名集策略元素”对话框中，添加合适的名称和要阻止的域名集合“*.”等，如图19所示，完成并应用策略。测试：分别在CA和DMZ上访问，IE提示“错误代码： 403 Forbidden。The ISA Server denied the specified Uniform Resource Locator （URL）. （12202）”。