防火墻策略的組成與配置撥號連接

3．1防火墻策略的組成在ISA效勞器安裝成功后，其防火墻策略默認為禁止所有內外通訊，所以我們需要在效勞器上建立相應的防火墻策略，以使內外通訊成功。在本章，我們將介紹ISA的根本配置，使內部的所有用戶無限制的訪問外部網絡。在ISAServer2004中，防火墻策略是由網絡規(guī)那么、訪問規(guī)那么和效勞器發(fā)布規(guī)那么三者的共同組成。網絡規(guī)那么：定義了不同網絡間能否進行通訊、以及知用何各方式進行通訊。訪問規(guī)那么：那么定義了內、外網的進行通訊的具體細節(jié)。效勞器發(fā)布規(guī)那么：定義了如何讓用戶訪問效勞器。網絡規(guī)那么ISA2004通過網絡規(guī)那么來定義并描述網絡拓撲，其描述了兩個網絡實體之間是否存在連接，以及定義如何進行連接。相對于ISA2000，可以說網絡規(guī)那么是ISAServer2004中的一個很大的進步，它沒有了ISAServer2000只有一個LAT表的限制，可以很好的支持多網絡的復雜環(huán)境。在ISA2004的網絡規(guī)那么中定義的網絡連接的方式有：路由和網絡地址轉換。路由路由是指相互連接起來的網絡之間進行路徑尋找和轉發(fā)數據包的過程，由于ISA與Windows2000Server和WindowsServer2003路由和遠程訪問功能的緊密集成，使其具有很強的路由功能。在ISA2004中，當指定這種類型的連接時，來自源網絡的客戶端請求將被直接轉發(fā)到目標網絡，而無須進行地址的轉換。當需要發(fā)布位于DMZ網絡中的效勞器時，我們可以配置相應的路由網絡規(guī)那么。需要注意的是，路由網絡關系是雙向的。如果定義了從網絡A到網絡B的路由關系，那么從網絡B到網絡A也同樣存在著路由關系，這同我們在進行硬件或軟件路由器配置的原理相同。網絡地址轉換〔NAT〕NAT即網絡地址轉換〔NetworkAddressTranslator〕，在Windows2000Server和Windowsserver2003中，NAT是其IP路由的一項重要功能。NAT方式也稱之為Internet的路由連接，通過它在局域網和Internet主機間轉發(fā)數據包從而實現Internet的共享。ISA2004由于同Windows2000Server和Windowsserver2003的路由和遠程訪問功能集成，所以支持NAT的的連接類型。當運行NAT的計算機從一臺內部客戶機接收到外出請求數據包時，它會把信息包的包頭換掉，把客戶機的內部IP地址和端口號翻譯成NAT效勞器自己的外部IP地址和端口號，然后再將請求包發(fā)送給Internet上的目標主機。當NAT效勞器從Internet主機接收到答復信息后，它也會將其包頭進行替換，將自己的外部IP地址和端口號轉換為請求客戶機的內部IP地址的端口號，然后再把信息包發(fā)內網的客戶機。當在ISA2004中指定了這促類型的連接后，ISA效勞器將用它自己的IP地址替換源網絡中的客戶端的IP地址。從而對外隱藏了內部管理的IP，同時也隱藏了內部網絡結構，從而降低了內部網絡受到攻擊的風險，并可減少了IP地址注冊的費用。需要注意的是：NAT關系是唯一的和單向的。如果定義了從網絡A到網絡B的NAT關系，那么不會自動定義從B到A的網絡關系。您可以創(chuàng)立定義雙向關系的網絡規(guī)那么，但是ISA效勞器將忽略有序規(guī)那么列表中的第二條網絡規(guī)那么。默認網絡規(guī)那么在進行ISA2004的安裝時，系統會創(chuàng)立以下默認規(guī)那么〔如圖3-1所示〕：本地主機訪問：此規(guī)那么定義了在本地主機網絡與其他所有網絡之間存在的路由關系。VPN客戶端到內部網絡：此規(guī)那么指定在兩個VPN客戶端網絡〔.VPN客戶端.和.被隔離的VPN客戶端.〕與內部網絡之間存在著路由關系。Internet訪問：此規(guī)那么定義了在內部受保護的網絡〔如內部、VPN客戶端等〕與外部網絡之間存在的NAT關系。訪問規(guī)那么訪問規(guī)那么決定源網絡上的客戶端如何訪問目標網絡上的資源。我們可以將訪問規(guī)那么配置為適用于所有IP通訊、適用于特定的協議定義集或適用于除所選協議之外的所有IP通訊。也可以在訪問規(guī)那么中對用戶訪問進行精確的限定。當客戶端使用特定協議請求對象時，ISA效勞器會在訪問規(guī)那么列表中從上而下地進行檢查。只有當某個訪問規(guī)那么明確允許客戶端使用特定的協議進行通訊，并且允許訪問請求的對象時才處理請求。在ISA2004的安裝過程中會自動創(chuàng)立默認的系統策略，其中包含了預配置的、協議定義的訪問規(guī)那么列表，其中包括最廣泛使用的Internet協議，以允許ISAServer2004效勞器能訪問它連接到的網絡的特定效勞。下列圖顯示的是默認系統策略中的內容。

3．2建立允許客戶訪問Internet的防火墻策略在安裝好ISA2004后，我們需要建立相應的防火墻訪問策略以允許企業(yè)內部員工通過ISA效勞器進行平安的Internet訪問。在本節(jié)中，我們將以一個具體的實例讓大家體會一下如何利用防火墻策略來建立訪問規(guī)那么，以使企業(yè)內部的所有客戶能訪問Internet的所有效勞。要完成這個策略的建立，我們需要完成以下工作：配置內部的DNS效勞器。建立訪問策略。建立內部的DNS效勞器當用戶用域名在訪問Internet上的網站時，需要外部DNS為之進行域名解析；而當企業(yè)用戶用域名訪問公司內部的網絡資源時，需要內部DNS進行域名解析。但如果企業(yè)用戶既要訪問企業(yè)內部網站，又要訪問Internet上的資源時，DNS應怎樣進行設置的。在這種情況下，我們可以建立企業(yè)內部的DNS效勞器，使之可以解析內部域名，然后將之設置外部DNS的轉發(fā)器，當內部用戶訪問資源時，由內部DNS效勞器將其請求發(fā)給外部DNS，從而獲得外部資源的域名解析。安裝內部的DNS效勞器以管理員身份登錄到需要安裝DNS的Windows效勞器上〔可以同ISA效勞器安裝在同一臺計算機上，也可以分別在不同的計算機上進行安裝〕，進行如下過程的安裝和配置：1、翻開控制面板下的“添加/刪除程序〞，單擊“添加/刪除Windows組件〞。2、在Windows組件向導中雙擊“網絡效勞〞，在出現的對話框中選擇“域名系統〔DNS〕〞，點擊【確定】，再點擊【下一步】按鈕.，并按向導要求完成DNS效勞的安裝。3、在Windowsserver2003的“管理工具〞中選擇“DNS〞，進入DNS管理控制臺，右鍵單擊效勞器，在出的菜單中選擇“屬性〞。4、在屬性對話框中選擇“接口〞選項卡，然后添加內部接口地址。如下圖。圖3-7配置DNS內部接口5、選擇“轉發(fā)器〞選項卡，先選中上面的“所有其它DNS域〞，然后在“所選域的轉發(fā)器的IP地址列表〞中添加ISP為你提供的外部DNS效勞器的IP地址。如下圖。

6、單擊【確定】按鈕，完成效勞器端DNS的安裝和配置?？蛻舳说腄NS配置客戶端DNS的配置步驟如下：1、登錄到客戶機上，在桌面上用右鍵單擊“網上鄰居〞圖標，在出現的菜單中選擇“屬性〞。2、在網絡連接的屬性窗口中，用右鍵單擊“本地連接〞，在出現的菜單中選擇“屬性〞，進入到“本地連接屬性〞對話框中。3、在“本地連接屬性〞頁中選中“Internet協議〔TCP/IP〕〞，再點擊【屬性】按鈕，在出現的TCP/IP屬性頁的“首選DNS效勞器〞中，輸入內部DNS效勞器的IP地址，點擊【確定】按鈕，完成客戶端配置。如下圖。建立訪問策略要使內部用戶通過ISA效勞器訪問Internet，必須要建立訪問策略。在本例中我們需要建立兩條訪問策略：一條訪問策略以允許企業(yè)用戶通過ISA效勞器訪問Internet；另一條策略以允許企業(yè)用戶訪問ISAServer2004效勞器的DNS效勞。建立允許所有外出通訊的訪問策略建立訪問策略的步驟如下：1、翻開ISA管理控制臺，右鍵單擊“防火墻策略〞，在出現的菜單中選擇“新建〞→“訪問規(guī)那么〞。如下圖。

2、在新建訪問規(guī)那么向導中，輸入訪問規(guī)那么名稱。如下圖。圖3-12輸入規(guī)那么名稱3、在“規(guī)那么操作〞對話框中選擇“允許〞，以便允許通訊的進行。如下圖。圖3-13配置規(guī)那么操作4、在“協議〞對話框中選擇“所有出站通訊〞，表示可以訪問Internet上的所有效勞。如下圖。

5、在“訪問規(guī)那么源〞對話框中單擊【添加】按鈕。在出現的“添加網絡實體〞對話框中展開“網絡〞，選擇“內部〞〔如要允許ISA效勞器訪問Internet，在那么可選“本地主機〞〕，然后單擊【添加】按鈕，表示所有的通訊源來自于企業(yè)內部。如下圖。

6、在“訪問規(guī)那么目標〞對話框中單擊【添加】按鈕。在出現的“添加網絡實體〞對話框中展開“網絡〞，選擇“外部〞，然后點擊【添加】按鈕，表示要訪問網絡外部的資源。7、在“用戶集〞對話框中，采用默認的“所有用戶〞，表示內網的所有用戶都可以通過ISA效勞器訪問外部的資源。點擊【下一步】按鈕完成策略的建立。建立允許客戶訪問內部DNS的訪問策略建立過程如下：1、翻開ISA管理控制臺，右鍵單擊“防火墻策略〞，在出現的菜單中選擇“新建〞→“訪問規(guī)那么〞，在訪問規(guī)那么向導中輸入規(guī)那么名，這里我們取名為“訪問ISA主機上的DNS〞。2、在規(guī)那么操作中選擇“允許〞，在此規(guī)那么應用到選項中選擇“所選擇的協議〞，然后單擊【添加】按鈕，在“添加協議〞對話框中展開“通用協議〞，選擇“DNS〞，單擊【添加】按鈕，單擊【關閉】按鈕完成協議的設置。如下圖。

3、在“訪問規(guī)那么目標〞對話框中單擊【添加】按鈕，在出現的“添加網絡實體〞對話框中展開“網絡〞，然后選擇“本地主機〞，單擊【添加】按鈕，表示要訪問ISA效勞器上的DNS效勞4、根據向導按默認選項完本錢訪問策略的建立。應用訪問策略為了使所建立的訪問策略生效，須在右邊窗格中單擊【應用】按鈕，以保存修改和更新防火墻策略。防火策略生效后，你可以在客戶機通過ISA效勞器訪問Internet上的所有效勞，如QQ、MSN等。3．3配置撥號連接現在企業(yè)訪問互連網很多都是采用ADSL寬帶撥號方式，所以在ISAServer2004的效勞器中，需為通過撥號上網配置相應的撥號連接。配置好請求撥號后，無論何時本地網絡上的Web代理客戶端或者是防火墻客戶端請求一個遠程主機時，您的ISAServer計算機能自動啟動撥號連接。要完成ISA2004撥號上網配置，需要先在撥號效勞器上進行ADSL撥號設置，然后在ISA效勞器上進行撥號設置。建立撥號效勞器的撥號連接ADSL撥號的方式有很多種，如ethernet、raspppoe等，這些撥號方式需要安裝相應的撥號軟件，而WindowsServer2003內置了寬帶撥號的支持，按向導一步一步完成配置，簡單明了。在這里，我們就以Windowsserver2003的撥號連接建立方式為例，配置步驟如下：1、在網絡連接屬性窗口中，雙擊“新建連接向導〞，在出現的對話框中選擇“Internet連接“，單擊【下一步】按鈕，在出現的對話框中選擇“用要求用戶名和密碼的寬帶連接來連接〞。2、在“ISP名稱〞對話框中輸入向企業(yè)提供ADSL接入效勞的ISP的名稱。如圖3-23所示。3、在可用連接中選擇“任何人使用〞，表示允許內部所有用戶均可用這個撥號連接。4、在Internet帳號對話框中，輸入由ISP分配給你的用戶名和口令，點單擊【下一步】按鈕