防火墙策略的组成与配置拨号连接

1、31 防火火墙策略略的组成成在ISA服服务器安安装成功功后，其其防火墙墙策略默默认为禁禁止所有有内外通通讯，所所以我们们需要在在服务器器上建立立相应的的防火墙墙策略，以以使内外外通讯成成功。在在本章，我我们将介介绍ISA的基本本配置，使使内部的的所有用用户无限限制的访访问外部部网络。在ISA Serrverr 20004中中，防火火墙策略略是由网网络规则则、访问问规则和和服务器器发布规规则三者者的共同同组成。网络规则：定义了了不同网网络间能能否进行行通讯、以及知用何各方式进行通讯。访问规则：则定义义了内、外外网的进进行通讯讯的具体体细节。服务器发布布规则：定义了了如何让让用户访访问服务务器。3

2、.1.11网络规规则ISA20004通过网网络规则则来定义义并描述述网络拓拓扑，其其描述了了两个网网络实体体之间是是否存在在连接，以以及定义义如何进进行连接接。相对对于ISAA20000，可以以说网络络规则是是ISAA Seerveer 220044中的一一个很大大的进步步，它没没有了ISAA Seerveer 220000只有一一个LAT表的限限制，可可以很好好的支持持多网络络的复杂杂环境。在ISA220044的网络络规则中中定义的的网络连连接的方方式有：路由和和网络地址转换换。3.1.11.1路路由路由是指相相互连接接起来的的网络之之间进行行路径寻寻找和转转发数据据包的过过程，由由于ISA

3、与Winndowws 220000 Seerveer和Winndowws SServver 20003路由和和远程访访问功能能的紧密密集成，使使其具有有很强的的路由功功能。在ISA220044中，当当指定这这种类型型的连接接时，来来自源网网络的客客户端请请求将被被直接转转发到目目标网络络，而无无须进行行地址的的转换。当当需要发发布位于于DMZ网络中中的服务务器时，我我们可以以配置相相应的路路由网络络规则。需要注意的的是，路路由网络络关系是是双向的的。如果果定义了了从网络络 A到网网络 B的路路由关系系，那么么从网络B到网络 A也同同样存在在着路由由关系，这这同我们们在进行行硬件或或软件路路由器

4、配配置的原原理相同同。3.1.11.2网网络地址址转换（NAT）NAT即网网络地址址转换（Nettworrk AAddrresss Trransslattor），在Winndowws 220000 Seerveer和Winndowws sservver 20003中，NAT是其IP路由的的一项重重要功能能。NAT方式也也称之为为Intternnet的路由由连接，通通过它在在局域网网和Intternnet主机间间转发数数据包从从而实现现Intternnet的共享享。ISAA20004由于同Winndowws 220000 Seerveer和Winndowws sservver 20003的路由由

5、和远程程访问功功能集成成，所以以支持NAT的的连连接类型型。当运行NAAT的计算算机从一一台内部部客户机机接收到到外出请请求数据据包时，它它会把信信息包的的包头换换掉，把把客户机机的内部部IP地址和和端口号号翻译成成NAT服务器器自己的的外部IP地址和和端口号号，然后后再将请请求包发发送给Intternnet上的目目标主机机。当NAT服务器器从Intternnet主机接接收到回回答信息息后，它它也会将将其包头头进行替替换，将将自己的的外部IP地址和和端口号号转换为为请求客客户机的的内部IP地址的的端口号号，然后后再把信信息包发发内网的的客户机机。当在ISAA20004中指定定了这促类型型的连接

6、接后， ISSA服务务器将用用它自己己的 IPP地址替替换源网网络中的的客户端端的 IPP地址。从从而对外外隐藏了了内部管管理的IP，同时时也隐藏藏了内部部网络结结构，从从而降低低了内部部网络受受到攻击击的风险险，并可可减少了了IP地址址注册的的费用。需要注意的的是：NATT关系是是唯一的的和单向向的。如如果定义义了从网网络A到网络 B的 NAAT关系系，则不不会自动动定义从从 B到 A的网网络关系系。您可可以创建建定义双双向关系系的网络络规则，但但是 ISSA服务务器将忽忽略有序序规则列列表中的的第二条条网络规规则。3.1.11.3默默认网络络规则在进行ISSA20004的安装装时，系系统会

7、创建以下下默认规规则（如如图3-1所示）：本地主机访访问：此此规则定定义了在在本地主主机网络络与其他他所有网网络之间间存在的的路由关关系。VPN客户户端到内内部网络络：此规规则指定定在两个个 VPPN客户户端网络络（.VPPN客户户端.和.被隔离离的 VPPN客户户端.）与内内部网络络之间存存在着路路由关系系。Interrnett访问：此规则则定义了了在内部部受保护护的网络络（如内内部、VPN客户端端等）与与外部网网络之间间存在的的 NAAT关系。3.1.22访问规规则访问规则决决定源网网络上的的客户端端如何访访问目标标网络上上的资源源。我们们可以将将访问规规则配置置为适用用于所有有 IPP通

8、讯、适适用于特特定的协协议定义义集或适适用于除除所选协协议之外外的所有有 IPP通讯。也也可以在在访问规规则中对对用户访访问进行行精确的的限定。当客户端使使用特定定协议请请求对象象时，ISAA服务器器会在访访问规则则列表中中从上而而下地进进行检查查。只有有当某个个访问规规则明确确允许客客户端使使用特定定的协议议进行通通讯，并并且允许许访问请请求的对对象时才才处理请请求。在ISA22004的安装装过程中中会自动动创建默默认的系系统策略略，其中中包含了了预配置置的、已已知协议议定义的的访问规规则列表表，其中中包括最最广泛使使用的 Innterrnett协议，以以允许ISA Serrverr 200

9、04服务器器能访问问它连接接到的网网络的特特定服务务。下图图显示的的是默认认系统策策略中的的内容。32 建立立允许客客户访问问Intternnet的的防火墙墙策略在安装好IISA220044后，我们们需要建建立相应应的防火火墙访问问策略以以允许企企业内部部员工通通过ISA服务器器进行安安全的Intternnet访问。在在本节中中，我们们将以一一个具体体的实例例让大家家体会一一下如何何利用防防火墙策策略来建建立访问问规则，以以使企业业内部的的所有客客户能访访问Intternnet的所有有服务。要完成这个个策略的的建立，我我们需要要完成以以下工作作：配置内部的的DNS服务器器。建立访问策策略。3.

10、2.11建立内内部的DNS服务器器当用户用域域名在访访问Intternnet上的网网站时，需需要外部部DNS为之进行行域名解解析；而而当企业业用户用用域名访访问公司司内部的的网络资资源时，需需要内部部DNS进行域域名解析析。但如如果企业业用户既既要访问问企业内内部网站站，又要要访问Intternnet上的资资源时，DNS应怎样样进行设设置的。在在这种情情况下，我我们可以以建立企企业内部部的DNS服务器器，使之之可以解解析内部部域名，然然后将之之设置外外部DNS的转发发器，当当内部用用户访问问资源时时，由内内部DNS服务器器将其请请求发给给外部DNS，从而而获得外外部资源源的域名名解析。3.2.

11、11.1安安装内部部的DNS服务器器以管理员身身份登录录到需要要安装DNS的Winndowws服务器器上（可可以同ISA服务器器安装在在同一台台计算机机上，也也可以分分别在不不同的计计算机上上进行安安装），进进行如下下过程的的安装和和配置：1、打开控控制面板板下的“添加/删除程程序”，单击“添加/删除Winndowws组件”。2、在Wiindoows组件向向导中双双击“网络服服务”，在出出现的对对话框中中选择“域名系系统（DNS）”，点击击【确定定】，再再点击【下下一步】按按钮.，并按按向导要要求完成成DNS服务的的安装。3、在Wiindoows serrverr 20003的的“管理工工具”

12、中选择“DNSS”，进入入DNSS管理控控制台，右右键单击击服务器器，在出出的菜单单中选择“属性”。4、在属性性对话框框中选择“接口”选项卡卡，然后后添加内内部接口口地址。如如图所示示。图 3-77 配置置DNSS内部接接口5、选择“转发器”选项卡卡，先选选中上面面的“所有其其它DNNS域”，然后后在“所选域域的转发发器的IIP地址址列表”中添加加ISPP为你提提供的外外部DNNS服务务器的IIP地址址。如图图所示。6、单击【确定】按钮，完成服务器端DNS的安装和配置。3.2.11.2客客户端的的DNS配置客户端DNNS的配置置步骤如如下：1、登录到到客户机机上，在在桌面上上用右键键单击“网上

13、邻邻居”图标，在在出现的的菜单中中选择“属性”。2、在网络络连接的的属性窗窗口中，用用右键单单击“本地连连接”，在出出现的菜菜单中选选择“属性”，进入入到“本地连连接属性性”对话框框中。3、在“本本地连接接属性”页中选选中“Inteerneet协议议（TCCP/IIP）”，再点点击【属属性】按钮，在在出现的的TCPP/IPP属性页页的“首选DNNS服务务器”中，输输入内部部DNSS服务器器的IPP地址，点点击【确确定】按钮，完完成客户户端配置置。如图图所示。3.2.22建立访访问策略略要使内部用用户通过过ISA服务器器访问Intternnet，必须须要建立访问问策略。在在本例中中我们需需要建立

14、立两条访访问策略略：一条条访问策策略以允允许企业业用户通通过ISA服务器器访问Intternnet；另一一条策略略以允许许企业用用户访问问ISAASerrverr20004服务务器的DNS服务。3.2.22.1建建立允许许所有外外出通讯讯的访问问策略建立访问策策略的步步骤如下下：1、打开IISA管理控控制台，右右键单击击“防火墙墙策略”，在出出现的菜菜单中选选择“新建”“访问规规则”。如图图所示。2、在新建建访问规规则向导导中，输输入访问问规则名名称。如如图所示示。图 3-112 输输入规则则名称3、在“规规则操作作”对话框框中选择择“允许”，以便便允许通通讯的进进行。如如图所示示。图 3-1

15、13 配配置规则则操作4、在“协协议”对话框框中选择择“所有出出站通讯讯”，表示示可以访访问Intternnet上的所所有服务务。如图图所示。5、在“访访问规则则源”对话框框中单击击【添加加】按钮钮。在出出现的“添加网网络实体体”对话框框中展开“网络”，选择“内部”（如要要允许ISA服务器器访问Intternnet，在则则可选“本地主主机”），然然后单击击【添加加】按钮钮，表示示所有的的通讯源源来自于于企业内内部。如如图所示示。6、在“访访问规则则目标”对话框框中单击击【添加加】按钮钮。在出出现的“添加网网络实体体”对话框框中展开开“网络”，选择“外部”，然后后点击【添添加】按按钮，表表示要访

16、访问网络络外部的的资源。7、在“用用户集”对话框框中，采采用默认认的“所有用用户”，表示示内网的的所有用用户都可可以通过过ISA服务器器访问外外部的资资源。点点击【下下一步】按按钮完成成策略的的建立。3.2.22.2建建立允许许客户访访问内部部DNS的访问问策略建立过程如如下：1、打开IISA管理控控制台，右右键单击击“防火墙墙策略”，在出出现的菜菜单中选选择“新建”“访问规规则”，在访访问规则则向导中中输入规规则名，这这里我们们取名为为“访问ISA主机上上的DNS”。2、在规则则操作中中选择“允许”，在此此规则应应用到选选项中选选择“所选择择的协议议”，然后后单击【添加】按按钮，在在“添加协

17、协议”对话框框中展开“通用协协议”，选择“DNS”，单击【添添加】按按钮，单单击【关关闭】按按钮完成成协议的的设置。如如图所示示。3、在“访访问规则则目标”对话框框中单击击【添加加】按钮钮，在出出现的“添加网网络实体体”对话框框中展开开“网络”，然后后选择“本地主主机”，单击击【添加加】按钮钮，表示示要访问问ISA服务器器上的DNS服务4、根据向向导按默默认选项项完成本本访问策策略的建建立。3.2.22.3应应用访问问策略为了使所建建立的访访问策略略生效，须须在右边边窗格中中单击【应应用】按按钮，以以保存修修改和更更新防火火墙策略略。防火策略生生效后，你你可以在在客户机机通过ISA服务器器访问

18、Intternnet上的所所有服务务，如QQ、MSN等。33 配置置拨号连连接现在企业访访问互连网网很多都都是采用用ADSSL宽带拨拨号方式式，所以以在ISAA Seerveer 220044的服务务器中，需需为通过过拨号上上网配置置相应的的拨号连连接。配配置好请请求拨号号后，无无论何时时本地网网络上的的Web代理客客户端或或者是防防火墙客客户端请请求一个个远程主主机时，您您的ISAA Seerveer计算机机能自动动启动拨拨号连接接。要完成ISSA20004拨号上上网配置置，需要要先在拨拨号服务务器上进进行ADSSL拨号设设置，然然后在ISA服务器器上进行行拨号设设置。3.3.11建立拨拨号服务务器的拨拨号连接接ADSL拨拨号的方方式有很很多种，如ethernet、raspppoe等，这些拨号方式需要安装相应的拨号软件，而Windows Server 2003内置了宽带拨号的支持，按向导一步一步完成配置，简单明了。在这里，我们就以Window