使用ISA Server 网络模板建立访问策略
时间:2022-07-05 10:12:37
摘要:ISA Server 在防火墙配置和提供到Internet的安全访问上有了很大的提高,也更容易使用。ISA Server 提供了网络模板,可以轻松的设置防火墙策略,本文将以最常见的边缘防火墙模板进行配置介绍。
关键词:ISA Server 网络模板
ISA Server 管理控制台提供了一些图片,可以更清晰地了解这些名字所代表的意思。在本文中,将详细介绍最常用的边缘防火墙模板。这个模板是指ISA Server 处于Internet边缘,拥有一个接入到Internet的外部接口和一个接入到Lan的内部接口。我们最常使用的宽带拨号,然后把ISA Server 作为网关,就属于这种模板。
下图是ISA Server 对边缘防火墙模板的说明图。Internal Network在ISA Server 后面,并且受到ISA Server 的保护。Local Host指的是ISA Server 防火墙本身。External Network (Internet)指的是没有表现在Internet network和VPN客户网络的其他网络。VPN客户网络是由ISA Server 防火墙动态建立的网络,里面包含了VPN客户的地址。
边缘防火墙模板做两件主要的事情:
定义了内部网络的IP地址;
建立了两个包含防火墙策略在内的访问策略。
内部网络是在运行边缘防火墙向导时会配置的IP地址集。这个向导也会允许选择控制内部网络、VPN客户网络和外部网络之间通信流量的防火墙策略。
向导允许从一些不同的防火墙策略中进行选择,预定义的防火墙策略包括:
禁止访问:这个防火墙策略禁止通过防火墙的所有访问,只有想手动定义全部的防火墙策略时使用。
不能访问ISP网络的服务:这个防火墙策略阻止除了访问网络基础服务(如DNS)外的所有通过防火墙的访问,只有在想手动定义客户访问策略的时候才使用这个选项。使用这个策略,将会建立下列策略:
DNS:允许内部网络、VPN客户到Internet的DNS请求;
ISA Server是路由级软件防火墙,它可以让企业内部网络安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。可以在网络的任何地方,如两个或多个网络的边缘层、单个主机上配置ISA Server 来对你的网络或主机进行防护。
ISA Server作为一个路由级的软件防火墙,在安装ISA Server时,需要对内部网络中的路由及TCP/IP设置进行预先的规划和配置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现客户不能访问外部网络的问题。
ISA Server上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器。假设外部网卡上已经设置了DNS服务器,在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
客户机的TCP/IP设置和设置。SNAT客户和Web客户有些区别,防火墙客户兼容SNAT客户和Web客户的设置。在身份验证不是必需的情况下,请考虑使用SNAT客户,它是标准的网络路由,兼容性是最好的。
SNAT客户的TCP/IP配置要求:
必须和ISA Server的内部接口在同个子网;在此,使用192.168.0.2/24~192.168.0.254/24;配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1; DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者在内部建立一台DNS服务器;但是,DNS服务器是必需的。
Web客户和SNAT客户相比则要复杂一些:IP地址必须和ISA Server的内部接口位于同个子网;使用192.168.0.2/24~192.168.0.254/24; 默认网关和DNS服务器地址都可以不配置; 必须在IE的属性中配置ISA Server的,默认是内部接口的8080端口,在此是192.168.0.1:8080;对于其他需要访问网络的程序,必须设置HTTP(ISA Server),否则是不能访问网络;至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许所有用户访问,改为所有通过验证的用户即可。
防火墙客户默认会配置IE为web客户,然后对其他不能使用的Winsock应用程序进行转换,然后转发到所连接的ISA防火墙。对于防火墙客户,先按照SNAT客户进行设置,然后安装防火墙客户端,安装防火墙客户端后它会自动配置客户为Web客户。
在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,可以根据需要,自行配置访问规则。ISA Server中带了五个网络模型的模板。
使用ISA Server 网络模板建立访问策略
辽宁省电子研究设计院有限公司辽宁 沈阳110001
摘要:ISA Server 在防火墙配置和提供到Internet的安全访问上有了很大的提高,也更容易使用。ISA Server 提供了网络模板,可以轻松的设置防火墙策略,本文将以最常见的边缘防火墙模板进行配置介绍。
关键词:ISA Server 网络模板
ISA Server 管理控制台提供了一些图片,可以更清晰地了解这些名字所代表的意思。在本文中,将详细介绍最常用的边缘防火墙模板。这个模板是指ISA Server 处于Internet边缘,拥有一个接入到Internet的外部接口和一个接入到Lan的内部接口。我们最常使用的宽带拨号,然后把ISA Server 作为网关,就属于这种模板。
下图是ISA Server 对边缘防火墙模板的说明图。Internal Network在ISA Server 后面,并且受到ISA Server 的保护。Local Host指的是ISA Server 防火墙本身。External Network (Internet)指的是没有表现在Internet network和VPN客户网络的其他网络。VPN客户网络是由ISA Server 防火墙动态建立的网络,里面包含了VPN客户的地址。
边缘防火墙模板做两件主要的事情:
定义了内部网络的IP地址;
建立了两个包含防火墙策略在内的访问策略。
内部网络是在运行边缘防火墙向导时会配置的IP地址集。这个向导也会允许选择控制内部网络、VPN客户网络和外部网络之间通信流量的防火墙策略。
向导允许从一些不同的防火墙策略中进行选择,预定义的防火墙策略包括:
禁止访问:这个防火墙策略禁止通过防火墙的所有访问,只有想手动定义全部的防火墙策略时使用。
不能访问ISP网络的服务:这个防火墙策略阻止除了访问网络基础服务(如DNS)外的所有通过防火墙的访问,只有在想手动定义客户访问策略的时候才使用这个选项。使用这个策略,将会建立下列策略:
DNS:允许内部网络、VPN客户到Internet的DNS请求;
ISA Server是路由级软件防火墙,它可以让企业内部网络安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。可以在网络的任何地方,如两个或多个网络的边缘层、单个主机上配置ISA Server 来对你的网络或主机进行防护。
ISA Server作为一个路由级的软件防火墙,在安装ISA Server时,需要对内部网络中的路由及TCP/IP设置进行预先的规划和配置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现客户不能访问外部网络的问题。
ISA Server上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器。假设外部网卡上已经设置了DNS服务器,在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
客户机的TCP/IP设置和设置。SNAT客户和Web客户有些区别,防火墙客户兼容SNAT客户和Web客户的设置。在身份验证不是必需的情况下,请考虑使用SNAT客户,它是标准的网络路由,兼容性是最好的。
SNAT客户的TCP/IP配置要求:
必须和ISA Server的内部接口在同个子网;在此,使用192.168.0.2/24~192.168.0.254/24;配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1; DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者在内部建立一台DNS服务器;但是,DNS服务器是必需的。
Web客户和SNAT客户相比则要复杂一些:IP地址必须和ISA Server的内部接口位于同个子网;使用192.168.0.2/24~192.168.0.254/24; 默认网关和DNS服务器地址都可以不配置; 必须在IE的属性中配置ISA Server的,默认是内部接口的8080端口,在此是192.168.0.1:8080;对于其他需要访问网络的程序,必须设置HTTP(ISA Server),否则是不能访问网络;至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许所有用户访问,改为所有通过验证的用户即可。
防火墙客户默认会配置IE为web客户,然后对其他不能使用的Winsock应用程序进行转换,然后转发到所连接的ISA防火墙。对于防火墙客户,先按照SNAT客户进行设置,然后安装防火墙客户端,安装防火墙客户端后它会自动配置客户为Web客户。
在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,可以根据需要,自行配置访问规则。ISA Server中带了五个网络模型的模板。
注:文章内的图表及公式请以PDF格式查看
