防火墙策略的组成

1、31 防火墙策略的组成在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。访问规则则：则定定义了内内、外网网的进行行通讯的的具体细细节。服务器发发布规则则：定义义了如何何让用户户访问服服务器。3.1.1 网网络规则则ISA220044通过网网络规则则来定义义并描述述网络拓拓扑，其其描述了

2、了两个网网络实体体之间是是否存在在连接，以及定定义如何何进行连连接。相相对于IISA220000，可以以说网络络规则是是ISAA Seerveer 220044中的一一个很大大的进步步，它没没有了IISA Serrverr 20000只只有一个个LATT表的限限制，可可以很好好的支持持多网络络的复杂杂环境。在ISAA20004的网网络规则则中定义义的网络络连接的的方式有有：路由由和网络络地址转转换。1 路由由路由是指指相互连连接起来来的网络络之间进进行路径径寻找和和转发数数据包的的过程，由于IISA与与Winndowws 220000 Seerveer和WWinddowss Se

3、erveer 220033路由和和远程访访问功能能的紧密密集成，使其具具有很强强的路由由功能。在ISAA20004中，当指定定这种类类型的连连接时，来自源源网络的的客户端端请求将将被直接接转发到到目标网网络，而而无须进进行地址址的转换换。当需需要发布布位于DDMZ网网络中的的服务器器时，我我们可以以配置相相应的路路由网络络规则。需要注意意的是，路由网网络关系系是双向向的。如如果定义义了从网网络 AA 到网网络 BB 的路路由关系系，那么么从网络络 B到到网络 A 也也同样存存在着路路由关系系，这同同我们在在进行硬硬件或软软件路由由器配置置的原理理相同。2 网络络地址转转换（NNA

4、T）NAT即即网络地地址转换换（Neetwoork Adddresss TTrannslaatorr），在在Winndowws 220000 Seerveer和WWinddowss seerveer 220033中，NNAT是是其IPP路由的的一项重重要功能能。NAAT方式式也称之之为Innterrnett的路由由连接，通过它它在局域域网和IInteerneet主机机间转发发数据包包从而实实现Innterrnett的共享享。ISSA20004由由于同WWinddowss 20000 Serrverr和Wiindoows serrverr 20003的的路由和和远程访访问功能能集成，所以支支持N

5、AAT的的的连接类类型。当运行NNAT的的计算机机从一台台内部客客户机接接收到外外出请求求数据包包时，它它会把信信息包的的包头换换掉，把把客户机机的内部部IP地地址和端端口号翻翻译成NNAT服服务器自自己的外外部IPP地址和和端口号号，然后后再将请请求包发发送给IInteerneet上的的目标主主机。当当NATT服务器器从Innterrnett主机接接收到回回答信息息后，它它也会将将其包头头进行替替换，将将自己的的外部IIP地址址和端口口号转换换为请求求客户机机的内部部IP地地址的端端口号，然后再再把信息息包发内内网的客客户机。当在ISSA20004中中指定了了这促类类型的连连接后， ISSA

6、 服服务器将将用它自自己的 IP 地址替替换源网网络中的的客户端端的 IIP 地地址。从从而对外外隐藏了了内部管管理的IIP，同同时也隐隐藏了内内部网络络结构，从而降降低了内内部网络络受到攻攻击的风风险，并并可减少少了IPP 地址址注册的的费用。需要注意意的是：NATT 关系系是唯一一的和单单向的。如果定定义了从从网络 A到网网络 BB 的 NATT 关系系，则不不会自动动定义从从 B 到 AA 的网网络关系系。您可可以创建建定义双双向关系系的网络络规则，但是 ISAA 服务务器将忽忽略有序序规则列列表中的的第二条条网络规规则。3 默认认网络规规则在进行IISA220044的安装

7、装时，系系统会创创建以下下默认规规则（如如图3-1所示示）：本地主机机访问：此规则则定义了了在本地地主机网网络与其其他所有有网络之之间存在在的路由由关系。VPN 客户端端到内部部网络：此规则则指定在在两个 VPNN 客户户端网络络（.VVPN 客户端端.和.被隔离离的 VVPN 客户端端.）与与内部网网络之间间存在着着路由关关系。Inteerneet 访访问：此此规则定定义了在在内部受受保护的的网络（如内部部、VPPN客户户端等）与外部部网络之之间存在在的 NNAT关关系。3.1.2 访访问规则则访问规则则决定源源网络上上的客户户端如何何访问目目标网络络上的资资源。我我们可以以将访问问规则配配

8、置为适适用于所所有 IIP 通通讯、适适用于特特定的协协议定义义集或适适用于除除所选协协议之外外的所有有 IPP 通讯讯。也可可以在访访问规则则中对用用户访问问进行精精确的限限定。当客户端端使用特特定协议议请求对对象时，ISAA 服务务器会在在访问规规则列表表中从上上而下地地进行检检查。只只有当某某个访问问规则明明确允许许客户端端使用特特定的协协议进行行通讯，并且允允许访问问请求的的对象时时才处理理请求。在ISAA20004的安安装过程程中会自自动创建建默认的的系统策策略，其其中包含含了预配配置的、已知协协议定义义的访问问规则列列表，其其中包括括最广泛泛使用的的 Innterrnett 协议议

9、，以允允许ISSA SServver 20004服务务器能访访问它连连接到的的网络的的特定服服务。下下图显示示的是默默认系统统策略中中的内容容。32 建建立允许许客户访访问Innterrnett的防火火墙策略略在安装好好ISAA20004后，我们需需要建立立相应的的防火墙墙访问策策略以允允许企业业内部员员工通过过ISAA服务器器进行安安全的IInteerneet访问问。在本本节中，我们将将以一个个具体的的实例让让大家体体会一下下如何利利用防火火墙策略略来建立立访问规规则，以以使企业业内部的的所有客客户能访访问Innterrnett的所有有服务。要完成这这个策略略的建立立，我们们需要完完成以下下

10、工作：配置内部部的DNNS服务务器。建立访问问策略。 3.2.1 建建立内部部的DNNS服务务器Inteerneet的基基本协议议是TCCP/IIP，在在网上的的每一台台计算机机用唯一一的IPP地址进进行标识识。但在在实际的的运用中中，为了了便于记记忆，往往往给每每一台计计算机取取友好名名称，要要访问的的网址也也是一样样，称为为域名。比如我我们要访访问微软软网站，则在浏浏览器的的地址栏栏输入的的域名是是urrlwwww.miccrossoftt.coom/urll，但但是计算算机系统统本身是是不能识识别这个个域名的的，要访访问到这这个网站站需要知知道服务务器的真真实IPP地址，所以在在中间就就

11、需要一一个名称称解析系系统，即即将域名名urrlwwww.miccrossoftt.coom/urll解析析为其服服务器的的IP地地址如2207.46.1566.2552，这这个名称称解析系系统现在在的互联联网中使使用的是是DNSS（Doomaiin NNamee Syysteem）。当用户用用域名在在访问IInteerneet上的的网站时时，需要要外部DDNS为为之进行行域名解解析；而而当企业业用户用用域名访访问公司司内部的的网络资资源时，需要内内部DNNS进行行域名解解析。但但如果企企业用户户既要访访问企业业内部网网站，又又要访问问Intternnet上上的资源源时，DDNS应应怎样进进行

12、设置置的。在在这种情情况下，我们可可以建立立企业内内部的DDNS服服务器，使之可可以解析析内部域域名，然然后将之之设置外外部DNNS的转转发器，当内部部用户访访问资源源时，由由内部DDNS服服务器将将其请求求发给外外部DNNS，从从而获得得外部资资源的域域名解析析。1 安装装内部的的DNSS服务器器以管理员员身份登登录到需需要安装装DNSS的Wiindoows服服务器上上（可以以同ISSA服务务器安装装在同一一台计算算机上，也可以以分别在在不同的的计算机机上进行行安装），进行行如下过过程的安安装和配配置：1、打开开控制面面板下的的“添加加/删除除程序”，单击击“添加加/删除除Wi

13、nndowws组件件”。2、在WWinddowss组件向向导中双双击“网网络服务务”，在在出现的的对话框框中选择择“域名名系统（DNSS）”，点击【确定】，再点点击【下下一步】按钮.，并按按向导要要求完成成DNSS服务的的安装。3、在WWinddowss seerveer 220033的“管管理工具具”中选选择“DDNS”，进入入DNSS管理控控制台，右键单单击服务务器，在在出的菜菜单中选选择“属属性”。4、在属属性对话话框中选选择“接接口”选选项卡，然后添添加内部部接口地地址。如如图所示示。图 3-7 配配置DNNS内部部接口5、选择择“转发发器”选选项卡，先选中中上面的的“所有有其它DDN

14、S域域”，然然后在“所选域域的转发发器的IIP地址址列表”中添加加ISPP为你提提供的外外部DNNS服务务器的IIP地址址。如图图所示。6、单击击【确定定】按钮钮，完成成服务器器端DNNS的安安装和配配置。2 客户户端的DDNS配配置客户端DDNS的的配置步步骤如下下：1、登录录到客户户机上，在桌面面上用右右键单击击“网上上邻居”图标，在出现现的菜单单中选择择“属性性”。2、在网网络连接接的属性性窗口中中，用右右键单击击“本地地连接”，在出出现的菜菜单中选选择“属属性”，进入到到“本地地连接属属性”对对话框中中。3、在“本地连连接属性性”页中中选中“Intternnet协协议（T

15、TCP/IP）”，再再点击【属性】按钮，在出现现的TCCP/IIP属性性页的“首选DDNS服服务器”中，输输入内部部DNSS服务器器的IPP地址，点击【确定】按钮，完成客客户端配配置。如如图所示示。3.2.2 建建立访问问策略要使内部部用户通通过ISSA服务务器访问问Intternnet，必须要要建立访访问策略略。在本本例中我我们需要要建立两两条访问问策略：一条访访问策略略以允许许企业用用户通过过ISAA服务器器访问IInteerneet；另另一条策策略以允允许企业业用户访访问ISSASeerveer20004 服务器器的DNNS服务务。1 建立立允许所所有外出出通讯的的访问策策

16、略建立访问问策略的的步骤如如下：1、打开开ISAA管理控控制台，右键单单击“防防火墙策策略”，在出现现的菜单单中选择择“新建建”“访问问规则”。如图图所示。2、在新新建访问问规则向向导中，输入访访问规则则名称。如图所所示。图 3-12 输入规规则名称称3、在“规则操操作”对对话框中中选择“允许”，以便便允许通通讯的进进行。如如图所示示。图 3-13 配置规规则操作作4、在“协议”对话框框中选择择“所有有出站通通讯”，表示可可以访问问Intternnet上上的所有有服务。如图所所示。 5、在“访问规规则源”对话框框中单击击【添加加】按钮钮。在出出现的“添加网网络实体体”对话话框中展展开“网网络”

17、，选择“内部”（如要要允许IISA服服务器访访问Innterrnett，在则则可选“本地主主机”），然后后单击【添加】按钮，表示所所有的通通讯源来来自于企企业内部部。如图图所示。6、在“访问规规则目标标”对话话框中单单击【添添加】按按钮。在在出现的的“添加加网络实实体”对对话框中中展开“网络”，选择择“外部部”，然然后点击击【添加加】按钮钮，表示示要访问问网络外外部的资资源。7、在“用户集集”对话话框中，采用默默认的“所有用用户”，表示内内网的所所有用户户都可以以通过IISA服服务器访访问外部部的资源源。点击击【下一一步】按按钮完成成策略的的建立。2 建立立允许客客户访问问内部D

18、DNS的的访问策策略建立过程程如下：1、打开开ISAA管理控控制台，右键单单击“防防火墙策策略”，在出现现的菜单单中选择择“新建建”“访问规规则”，在访问问规则向向导中输输入规则则名，这这里我们们取名为为“访问问ISAA主机上上的DNNS”。2、在规规则操作作中选择择“允许许”，在在此规则则应用到到选项中中选择“所选择择的协议议”，然然后单击击【添加加】按钮钮，在“添加协协议”对对话框中中展开“通用协协议”，选择“DNSS”，单单击【添添加】按按钮，单单击【关关闭】按按钮完成成协议的的设置。如图所所示。3、在“访问规规则目标标”对话话框中单单击【添添加】按按钮，在在出现的的“添加加网络实实体”

19、对对话框中中展开“网络”，然后后选择“本地主主机”，单击【添加】按钮，表示要要访问IISA服服务器上上的DNNS服务务4、根据据向导按按默认选选项完成成本访问问策略的的建立。3 应用用访问策策略为了使所所建立的的访问策策略生效效，须在在右边窗窗格中单单击【应应用】按按钮，以以保存修修改和更更新防火火墙策略略。防火策略略生效后后，你可可以在客客户机通通过ISSA服务务器访问问Intternnet上上的所有有服务，如QQQ、MSSN等。33 配配置拨号号连接现在企业业访问互互连网很很多都是是采用AADSLL宽带拨拨号方式式，所以以在ISSA SServver 20004的服服务器中中

20、，需为为通过拨拨号上网网配置相相应的拨拨号连接接。配置置好请求求拨号后后，无论论何时本本地网络络上的WWeb代代理客户户端或者者是防火火墙客户户端请求求一个远远程主机机时，您您的ISSA SServver计计算机能能自动启启动拨号号连接。要完成IISA220044拨号上上网配置置，需要要先在拨拨号服务务器上进进行ADDSL拨拨号设置置，然后后在ISSA服务务器上进进行拨号号设置。3.3.1 建建立拨号号服务器器的拨号号连接ADSLL 拨号号的方式式有很多多种，如如ethhernnet、rassppppoe等等，这些些拨号方方式需要要安装相相应的拨拨号软件件，而WWinddowss Seerveer 220033 内置置了宽带带拨号的的支持，按向导导一步一一