3．1?? 防火墻策略的組成<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

在ISA服務器安裝成功后，其防火墻策略默認為禁止所有內外通訊，所以我們需要在服務器上建立相應的防火墻策略，以使內外通訊成功。在本章，我們將介紹ISA的基本配置，使內部的所有用戶無限制的訪問外部網絡。

在ISA Server 2004中，防火墻策略是由網絡規則、訪問規則和服務器發布規則三者的共同組成。 l??網絡規則：定義了不同網絡間能否進行通訊、以及知用何各方式進行通訊。 l??訪問規則：則定義了內、外網的進行通訊的具體細節。 l??服務器發布規則：定義了如何讓用戶訪問服務器。

?

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />3.1.1 網絡規則

ISA2004通過網絡規則來定義并描述網絡拓撲，其描述了兩個網絡實體之間是否存在連接，以及定義如何進行連接。相對于ISA2000，可以說網絡規則是ISA Server 2004中的一個很大的進步，它沒有了ISA Server 2000只有一個LAT表的限制，可以很好的支持多網絡的復雜環境。 在ISA2004的網絡規則中定義的網絡連接的方式有：路由和網絡地址轉換。

3.1.1.1 路由

路由是指相互連接起來的網絡之間進行路徑尋找和轉發數據包的過程，由于ISA與Windows 2000 Server和Windows Server 2003路由和遠程訪問功能的緊密集成，使其具有很強的路由功能。 在ISA2004中，當指定這種類型的連接時，來自源網絡的客戶端請求將被直接轉發到目標網絡，而無須進行地址的轉換。當需要發布位于DMZ網絡中的服務器時，我們可以配置相應的路由網絡規則。 需要注意的是，路由網絡關系是雙向的。如果定義了從網絡 A 到網絡 B 的路由關系，那么從網絡 B到網絡 A 也同樣存在著路由關系，這同我們在進行硬件或軟件路由器配置的原理相同。

3.1.1.2 網絡地址轉換（NAT）

NAT即網絡地址轉換（Network Address Translator），在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一項重要功能。NAT方式也稱之為Internet的路由連接，通過它在局域網和Internet主機間轉發數據包從而實現Internet的共享。ISA2004由于同Windows 2000 Server和Windows server 2003的路由和遠程訪問功能集成，所以支持NAT的的連接類型。 當運行NAT的計算機從一臺內部客戶機接收到外出請求數據包時，它會把信息包的包頭換掉，把客戶機的內部IP地址和端口號翻譯成NAT服務器自己的外部IP地址和端口號，然后再將請求包發送給Internet上的目標主機。當NAT服務器從Internet主機接收到回答信息后，它也會將其包頭進行替換，將自己的外部IP地址和端口號轉換為請求客戶機的內部IP地址的端口號，然后再把信息包發內網的客戶機。 當在ISA2004中指定了這促類型的連接后， ISA 服務器將用它自己的 IP 地址替換源網絡中的客戶端的 IP 地址。從而對外隱藏了內部管理的IP，同時也隱藏了內部網絡結構，從而降低了內部網絡受到***的風險，并可減少了IP 地址注冊的費用。 需要注意的是：NAT 關系是唯一的和單向的。如果定義了從網絡 A到網絡 B 的 NAT 關系，則不會自動定義從 B 到 A 的網絡關系。您可以創建定義雙向關系的網絡規則，但是 ISA 服務器將忽略有序規則列表中的第二條網絡規則。

3.1.1.3 默認網絡規則

在進行ISA2004的安裝時，系統會創建以下默認規則（如圖3-1所示）： l??本地主機訪問：此規則定義了在本地主機網絡與其他所有網絡之間存在的路由關系。 l??××× 客戶端到內部網絡：此規則指定在兩個 ××× 客戶端網絡（.××× 客戶端.和.被隔離的 ××× 客戶端.）與內部網絡之間存在著路由關系。 l??Internet 訪問：此規則定義了在內部受保護的網絡（如內部、×××客戶端等）與外部網絡之間存在的 NAT關系。

?

3.1.2 訪問規則

訪問規則決定源網絡上的客戶端如何訪問目標網絡上的資源。我們可以將訪問規則配置為適用于所有 IP 通訊、適用于特定的協議定義集或適用于除所選協議之外的所有 IP 通訊。也可以在訪問規則中對用戶訪問進行精確的限定。 當客戶端使用特定協議請求對象時，ISA 服務器會在訪問規則列表中從上而下地進行檢查。只有當某個訪問規則明確允許客戶端使用特定的協議進行通訊，并且允許訪問請求的對象時才處理請求。 在ISA2004的安裝過程中會自動創建默認的系統策略，其中包含了預配置的、已知協議定義的訪問規則列表，其中包括最廣泛使用的 Internet 協議，以允許ISA Server 2004服務器能訪問它連接到的網絡的特定服務。下圖顯示的是默認系統策略中的內容。

?

?

3．2?? 建立允許客戶訪問Internet的防火墻策略

在安裝好ISA2004后，我們需要建立相應的防火墻訪問策略以允許企業內部員工通過ISA服務器進行安全的Internet訪問。在本節中，我們將以一個具體的實例讓大家體會一下如何利用防火墻策略來建立訪問規則，以使企業內部的所有客戶能訪問Internet的所有服務。 要完成這個策略的建立，我們需要完成以下工作： l??配置內部的DNS服務器。 l??建立訪問策略。

3.2.1 建立內部的DNS服務器

Internet的基本協議是TCP/IP，在網上的每一臺計算機用唯一的IP地址進行標識。但在實際的運用中，為了便于記憶，往往給每一臺計算機取友好名稱，要訪問的網址也是一樣，稱為域名。比如我們要訪問微軟網站，則在瀏覽器的地址欄輸入的域名是[url]www.microsoft.com[/url]，但是計算機系統本身是不能識別這個域名的，要訪問到這個網站需要知道服務器的真實IP地址，所以在中間就需要一個名稱解析系統，即將域名[url]www.microsoft.com[/url]解析為其服務器的IP地址如207.46.156.252，這個名稱解析系統現在的互聯網中使用的是DNS（Domain Name System）。 當用戶用域名在訪問Internet上的網站時，需要外部DNS為之進行域名解析；而當企業用戶用域名訪問公司內部的網絡資源時，需要內部DNS進行域名解析。但如果企業用戶既要訪問企業內部網站，又要訪問Internet上的資源時，DNS應怎樣進行設置的。在這種情況下，我們可以建立企業內部的DNS服務器，使之可以解析內部域名，然后將之設置外部DNS的轉發器，當內部用戶訪問資源時，由內部DNS服務器將其請求發給外部DNS，從而獲得外部資源的域名解析。

3.2.1.1 安裝內部的DNS服務器

以管理員身份登錄到需要安裝DNS的Windows服務器上（可以同ISA服務器安裝在同一臺計算機上，也可以分別在不同的計算機上進行安裝），進行如下過程的安裝和配置： 1、打開控制面板下的“添加/刪除程序”，單擊“添加/刪除Windows組件”。 2、在Windows組件向導中雙擊“網絡服務”，在出現的對話框中選擇“域名系統（DNS）”，點擊【確定】，再點擊【下一步】按鈕.，并按向導要求完成DNS服務的安裝。 3、在Windows server 2003的“管理工具”中選擇“DNS”，進入DNS管理控制臺，右鍵單擊服務器，在出的菜單中選擇“屬性”。 4、在屬性對話框中選擇“接口”選項卡，然后添加內部接口地址。如圖所示。

?

圖 3-7 配置DNS內部接口 5、選擇“轉發器”選項卡，先選中上面的“所有其它DNS域”，然后在“所選域的轉發器的IP地址列表”中添加ISP為你提供的外部DNS服務器的IP地址。如圖所示。

?

6、單擊【確定】按鈕，完成服務器端DNS的安裝和配置。

3.2.1.2 客戶端的DNS配置

客戶端DNS的配置步驟如下： 1、登錄到客戶機上，在桌面上用右鍵單擊“網上鄰居”圖標，在出現的菜單中選擇“屬性”。 2、在網絡連接的屬性窗口中，用右鍵單擊“本地連接”，在出現的菜單中選擇“屬性”，進入到“本地連接屬性”對話框中。 3、在“本地連接屬性”頁中選中“Internet協議（TCP/IP）”，再點擊【屬性】按鈕，在出現的TCP/IP屬性頁的“首選DNS服務器”中，輸入內部DNS服務器的IP地址，點擊【確定】按鈕，完成客戶端配置。如圖所示。

?

3.2.2 建立訪問策略

要使內部用戶通過ISA服務器訪問Internet，必須要建立訪問策略。在本例中我們需要建立兩條訪問策略：一條訪問策略以允許企業用戶通過ISA服務器訪問Internet；另一條策略以允許企業用戶訪問ISAServer2004 服務器的DNS服務。

3.2.2.1 建立允許所有外出通訊的訪問策略

建立訪問策略的步驟如下： 1、打開ISA管理控制臺，右鍵單擊“防火墻策略”，在出現的菜單中選擇“新建”→“訪問規則”。如圖所示。

?

? 2、在新建訪問規則向導中，輸入訪問規則名稱。如圖所示。

?

圖 3-12 輸入規則名稱 3、在“規則操作”對話框中選擇“允許”，以便允許通訊的進行。如圖所示。 圖 3-13 配置規則操作 4、在“協議”對話框中選擇“所有出站通訊”，表示可以訪問Internet上的所有服務。如圖所示。

?

? 5、在“訪問規則源”對話框中單擊【添加】按鈕。在出現的“添加網絡實體”對話框中展開“網絡”，選擇“內部”（如要允許ISA服務器訪問Internet，在則可選“本地主機”），然后單擊【添加】按鈕，表示所有的通訊源來自于企業內部。如圖所示。 ? 6、在“訪問規則目標”對話框中單擊【添加】按鈕。在出現的“添加網絡實體”對話框中展開“網絡”，選擇“外部”，然后點擊【添加】按鈕，表示要訪問網絡外部的資源。 7、在“用戶集”對話框中，采用默認的“所有用戶”，表示內網的所有用戶都可以通過ISA服務器訪問外部的資源。點擊【下一步】按鈕完成策略的建立。

?

3.2.2.2 建立允許客戶訪問內部DNS的訪問策略

建立過程如下： 1、打開ISA管理控制臺，右鍵單擊“防火墻策略”，在出現的菜單中選擇“新建”→“訪問規則”，在訪問規則向導中輸入規則名，這里我們取名為“訪問ISA主機上的DNS”。 2、在規則操作中選擇“允許”，在此規則應用到選項中選擇“所選擇的協議”，然后單擊【添加】按鈕，在“添加協議”對話框中展開“通用協議”，選擇“DNS”，單擊【添加】按鈕，單擊【關閉】按鈕完成協議的設置。如圖所示。

?

? 3、在“訪問規則目標”對話框中單擊【添加】按鈕，在出現的“添加網絡實體”對話框中展開“網絡”，然后選擇“本地主機”，單擊【添加】按鈕，表示要訪問ISA服務器上的DNS服務 4、根據向導按默認選項完成本訪問策略的建立。

3.2.2.3 應用訪問策略

為了使所建立的訪問策略生效，須在右邊窗格中單擊【應用】按鈕，以保存修改和更新防火墻策略。

?

防火策略生效后，你可以在客戶機通過ISA服務器訪問Internet上的所有服務，如QQ、MSN等。

3．3?? 配置撥號連接

現在企業訪問互連網很多都是采用ADSL寬帶撥號方式，所以在ISA Server 2004的服務器中，需為通過撥號上網配置相應的撥號連接。配置好請求撥號后，無論何時本地網絡上的Web代理客戶端或者是防火墻客戶端請求一個遠程主機時，您的ISA Server計算機能自動啟動撥號連接。 要完成ISA2004撥號上網配置，需要先在撥號服務器上進行ADSL撥號設置，然后在ISA服務器上進行撥號設置。

3.3.1 建立撥號服務器的撥號連接

ADSL 撥號的方式有很多種，如ethernet、raspppoe等，這些撥號方式需要安裝相應的撥號軟件，而Windows Server 2003 內置了寬帶撥號的支持，按向導一步一步完成配置，簡單明了。在這里，我們就以Windows server 2003的撥號連接建立方式為例，配置步驟如下：

1、在網絡連接屬性窗口中，雙擊“新建連接向導”，在出現的對話框中選擇“Internet連接“，單擊【下一步】按鈕，在出現的對話框中選擇“用要求用戶名和密碼的寬帶連接來連接”。

?

2、在“ISP名稱”對話框中輸入向企業提供ADSL接入服務的ISP的名稱。如圖3-23所示。 3、在可用連接中選擇“任何人使用”，表示允許內部所有用戶均可用這個撥號連接。

?

4、在Internet帳號對話框中，輸入由ISP分配給你的用戶名和口令，點單擊【下一步】按鈕完成ADSL連接的建立。

3.3.2 配置ISA服務器的撥號連接

在ISA服務器上配置撥號連接的步驟如下：

1、在ISA管理控制臺中，選擇“常規”，然后在右邊的詳細窗格中選擇“指定撥號首選項”。如圖所示。

?

2、在“撥號配置”對話框中選擇“自動撥此網絡”，并將值設為“外部”。勾選“將此撥號連接配置為默認網關”，在撥號連接中選擇在Windows Server 2003中建立的169寬帶撥號連接，然后單擊【設置帳戶】按鈕。如圖所示。

?

4、在“設置帳戶”對話框中，輸入由ISP提供的用戶名和口令，單擊【確定】按鈕完成配置。

?

轉載于:https://blog.51cto.com/sea2008/74066

總結

以上是生活随笔為你收集整理的ISA Server 2004防火墙的基本配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。