某市政务内网,原来各单位都是通过交换机与路由器连接到上级政务内网,网络中没有防火墙(注,国内有从×××到各省、各市、县、乡镇的政务内网,整个网络是一个大的局域网)。单位分配的IP地址段是3.x.128.0/24~3.x.255.0/24,现在已经分配使用了3.x.128.0~3.x.194.0/24,网络拓扑如图1所示。
图1 政务内网拓扑
现在上级要求有安全设施,准备在现有的网络之间添加一个防火墙。
1 总体改造
在接到这个要求后,经过与市信息中心人员沟通,了解到该单位以前购买过ISA Server,并且有闲置的服务器,就做出了如下的设计:
(1)出口路由器由上级政府部门主管,不能随意更改其参数(不知道密码)。
(2)在该 政务内网的“核心交换机”与出口“路由器”之间添加服务器,安装ISA Server做软路由及防火墙。
(3)修改核心交换机上联路由器端口的IP地址及网段,使用空闲的3.x.195.0/24网段(实际使用3.x.195.0/30网段,以节约IP地址),将其由3.x.128.254/24修改为3.x.195.2/24,修改核心路由器的静态路由,将静态路由的指向修改为
ip route-static 0.0.0.0 0.0.0.0 3.x.195.1
使之指向ISA Server。在ISA Server添加到原“路由器”与“核心交换机”的路由。
(4)修改之后,各单位原来的IP地址不需要做任何的变化。修改后的网络拓扑与IP地址如图2所示。
图2 修改后的网络拓扑
2 ISA Server软路由设置
其中ISA Server的主要设置如下:
(1)设置网卡IP地址:设置连接“核心交换机”的网卡名称为“内网”或“LAN”,设置IP地址为3.x.195.1,子网掩码为255.255.255.252,不要添加网关地址。设置连接“CISCO 2600路由器”的网卡为“外网”或“WAN”,设置IP地址为3.x.128.254,子网掩码为255.255.255.0,网关为3.x.128.253。
(2)进入命令提示符,添加到内网3.x.129.0/24~3.x.194.0/24的静态路由,命令如下:
route add -p 3.x.129.0 mask 255.255.255.0 3.x.195.2
route add -p 3.x.130.0 mask 255.255.255.0 3.x.195.2
route add -p 3.x.131.0 mask 255.255.255.0 3.x.195.2
route add -p 3.x.132.0 mask 255.255.252.0 3.x.195.2
route add -p 3.x.136.0 mask 255.255.248.0 3.x.195.2
route add -p 3.x.144.0 mask 255.255.240.0 3.x.195.2
route add -p 3.x.160.0 mask 255.255.224.0 3.x.195.2
route add -p 3.x.192.0 mask 255.255.255.0 3.x.195.2
route add -p 3.x.193.0 mask 255.255.255.0 3.x.195.2
route add -p 3.x.194.0 mask 255.255.255.0 3.x.195.2
(3)安装ISA Server,并为“内网”选择合适的网卡。安装完ISA Server之后,在“配置 →网络”中,在右侧的“网络规则”选项卡中,双击“Internet访问”,如图3所示。
图3 Internet访问
在打开的“Internet访问 属性”对话框中,在“网络关系”选项卡中,将网络关系由“网络地址转换(NAT)”修改为“路由”,如图4所示。
图4 修改网络关系
(4)在“防火墙策略”中,添加访问策略,允许“内部、外部”访问“内部、外部”。这样,这台ISA Server就做成带“防火墙”功能的“路由器”了。
3进阶使用
如果单位,想进一步查看单位访问内网的用户情况,可以将ISA Server配置成×××服务器,想访问政务内网的单位或个人,必须在现有网络的基础上,通过拨ISA Server组成的×××服务器,才能访问政务内网,可以做如下的配置:
(1)在“虚拟专用网络(×××)”中,分配×××客户端地址为3.x.196.0~3.x.200.255,如图5所示。然后启用×××服务。
图5 分配×××客户端地址
(2)修改“防火墙策略”,禁止“内部、外部”访问“内部、外部”策略,然后添加“×××客户端”策略,允许“×××客户端、外部”访问“×××客户端、外部”。
(3)对于某些内网的计算机,例如服务器,需要和以前一样,不通过×××拨号访问外部,可以专门针对这些计算机,创建一条策略,允许一些指定的计算机直接访问“外部”,如图6所示。
图6 创建防火墙策略
(4)在ISA Server“计算机管理”中,创建用户,并允许用户拨入权限。
(5)最后在“路由和远程访问”中,可以看到×××拨号用户的消息,如图7所示。
图7 ×××拨号用户