ISA网络连接设置

ISA Server 2006不仅功能强大,而且设置与使用也很方便,入门也很容易。如果读者有配置其他防火墙的经验,在做过一些实际操作后,可以很容易的掌握ISA Server 2006的使用。

ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例,如果选择三向外围网络模板,则分为内网、外网、本地主机、DMZ区),这一点是和其他防火墙软件包括ISA Server 2000不同的地方,其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分,可以进一步提高ISA Server 2006本身的安全性。

对于普通防火墙来说,根据网络通讯的“方向”不同,有两项设置,即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。而对于ISA Server来说,除了有两这项设置之外,还包括对ISA Server服务器本身“称做‘本地主机’”的访问:“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。

在默认情况下,ISA Server 2006安装完成后,ISA Server会“隔离”内、外网的通讯,任何通过ISA Server进行通讯的上述行为都要经过设置。在ISA Server中,任何未经明确“允许”的行为,默认都是“禁止”。

11.5.1 允许内网访问Internet

前面已经说过,ISA Server中的任意一种网络行为都要经过“定制”,未经明确设置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后,如果网络中的用户想通过ISA Server连接到Internet,必须要进行设置。对于一般的上网来说,通常要包括访问远程(指Internet上的)服务器的这些服务:

●WWW服务,即访问远程Web服务器,实际为使用TCP协议访问远程的TCP 80端口,如果远程的Web服务器没有使用TCP的80端口,必须要另加定义。

●邮件服务,收发电子邮件,实际为使用TCP协议访问远程的SMTP服务(TCP的25端口)和POP3服务(TCP的110端口)。

●FTP服务,即文件上传下载服务,实际为使用TCP协议访问远程的21端口(实际上还要使用TCP的20端口,如果使用PASV方式,还需要使用一个动态端口)。

上面这三种:浏览网页、收发邮件、FTP是Internet的三大基本应用之后,设计任何防火墙策略,这都是必不要少的。实际中,为了使用这三种功能,还需要使用DNS服务和SSL Web访问服务:

●DNS服务,提供域名解析功能,实际为使用TCP和UDP协议访问远程的53端口。

●SSL Web服务,实际为使用TCP协议访问远程的TCP的443端口。 把上面这些规则进行统一,本条防火墙策略为:

设置原则:允许“内网”使用Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中,创建这条规则的步骤如下:

第1步,在ISA Server 2006计算机上,从“程序→Microsoft ISA Server”程序组中运行“ISA服务器管理”,进入ISA Server 2006管理控制台。 第2步,用鼠标右键单击“防火墙策略”,从弹出的快捷方式中选择“访问规则”,如图11-11所示。

图11-11 新建访问规则

第3步,在“欢迎使用新建访问规则向导”页中,在“访问规则名称”文本框中键入“允许内网访问Internet”,然后单击“下一步”按钮,如图11-12所示。

图11-12 规则名称

说明:在图11-12的“访问规则名称”文本框中,根据规则的行为或者目的键入规则的名称,在以后的设置中,要创建许多访问规则。一个容易标识的名称可以减轻管理员的工作负担。

第4步,在“规则操作”页选择新建规则的动作:允许或拒绝。通常情况下,ISA Server建立允许规则(默认拒绝),这可以减少ISA Server规则的数目。单击“允许”单选按钮,然后单击”下一步”按钮,如图11-13所示。

图11-13 规则操作

第5步,在“协议”页中选择建立规则使用的协议,可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。

如果选择“所有出站通讯”,则允许所有的协议,这样设置等于防火墙不起作用(所有的端口都开放了,防火墙也就无意义了)。只有在指定的、不需要加限制的计算机访问网络时,才设置这条规则。

在此选择“所选的协议”,然后单击”添加”按钮,在弹出的“添加协议”对话框中从“通用协议”中双击“DNS”、“HTTP”、“HTTPS”、“POP3”、“SMTP”,然后再从“Web”中双击“FTP”,然后单击“关闭”按钮返回“协议”页,单击“下一步”按钮,如图11-14所示。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4