本实验室在虚拟计算机中使用以下六台计算机。
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。
Perth.contoso.com(×××)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。
Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。
Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。
这些计算机不能与主机通信。
为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。
在本练习中,您将了解 ISAServer 如何利用多个网络。
注意:本实验室练习使用以下计算机:Florence
1. 在 Florence 计算机上,了解 ISA Server 如何通过"IP 地址范围"(而非"本地地址表 (LAT)")概念来利用多个网络。
a.在 Florence 计算机上,在 ISA Server 控制台的左窗格中,依次展开"ITALY"、"配置",然后选择"网络"。
※ 与 ISA Server 2000 相比,ISA Server 2004 中最重要的变化之一是"多个网络"概念,这些网络均与ISAServer 相连,为便于配置,所有
网络的配置过程均"类似"。
※ 所有防火墙策略规则均可以按照"源"网络和"目标"网络来定义。
b. 在右窗格中(下面)的"网络"选项卡中,右键单击"内部",然后单击"属性"。
c. 在"内部属性"对话框中,选择"地址"选项卡。
比较:
●ISA Server 2004 -"内部"网络的 IP 地址只定义名为"内部"的网络中包括哪些网络接口。其他网络(如"外围"网络)的定义方式与之类
似。这里没有与ISAServer 2000中本地地址表 (LAT) 相对应的概念。数据包筛选器和规则的应用、网络地址转换 (NAT) 或IP 数据包路由等都是单独配置的。
●ISA Server 2000 - LAT 对于配置 ISA Server 起着非常重要的作用。它自动确定在哪些网络接口上应用数据包筛选器,以及在何处执行NAT 或 IP 数据包路由。
d. 单击"取消"以关闭"内部属性"对话框。
※注意,"外围"网络的 IP 地址范围被定义为23.1.1.0 - 23.1.1.255。"本地主机"网络被定义为ISAServer 计算机本身。所有其他 IP 地址均属于"外部"网络。
"××× 客户端"网络和"被隔离的 ××× 客户端"网络具有动态的成员关系,并包括已连接的 ××× 客户计算机。
e. 在"网络集"选项卡上,右键单击"所有受保护的网络",然后单击"属性"。
f. 在"所有受保护的网络属性"对话框中,选择"网络"选项卡。
※网络集是现有网络的分组,也可用于防火墙策略规则 中。这样便于称谓所有网络或所有相关的网络。您 可以定义其他网络集。
※"所有受保护的网络"网络集的定义是所有现有的网络,但不包括"外部"网络。
※ISA Server 2004 Enterprise Edition 还允许定义企业级网络和网络集,以便用在所有 ISA Server 阵列中。有了企业网络,各个阵列的 管理员无需了解更大的公司网络中所发生的变化。因而企业网络的变化不需要阵列管理员对各个阵列进行变更即可生效。
g. 单击"取消"以关闭"所有受保护的网络属性"对话框。
h. 在"开始"菜单中,单击"控制面板",然后单击"网络连接"。
※"开始"菜单上的"网络连接"菜单显示了 Florence 有三个网卡。在实验室练习中,为避免混淆,应在实验室设置过程中将 Florence 上的网卡从"本地连接"(#2 和 #3)重命名为"外部连接"、"内部连接"和"外围连接"。
i. 再次单击"开始"按钮以关闭"开始"菜单。
2. 了解"网络规则"如何定义网络之间的网络地址转换(NAT)或IP数据包路由。
※出于演示需要,请创建一个新的网络规则,并在用完后丢弃。
a. 在ISAServer控制台的左窗格中,确保选择"网络"。
b. 在右窗格中,选择"网络规则"选项卡。
※网络规则的作用在于,如果防火墙策略允许每对网络或网络集之间进行网络通讯,则网络规则定义ISAServer 是对这些网络之间的通讯使 用"NAT"(用ISAServer 地址取代客户端源地址),还是使用"路由"(使用所请求的客户端源地址)。
※目前,对于 ISA Server 计算机与所有网络之间(规则1)、×××网络与内部网络之间(规则 2),以及"外围"网络与"外部"网络之间(规则4)的所有通讯,Florence 采用的是"路由"。而对于从"内部"网络和 ××× 网络到"外围"网络(规则 3)以及从"内部"网络和 ××× 网络到"外部"网络(规则 5)的所有通讯,它使用的是"NAT"。
※"路由"网络规则自动双向工作。NAT 网络规则定义为单向规则。如果两个网络之间没有定义网络规则,则ISA Server 不允许在这两个网络之间进行通讯。
c. 在任务窗格的"任务"选项卡上,单击"创建网络规则"。
d. 在"新建网络规则向导"对话框中的"网络规则名称"文本框中,键入"××× 外围访问",然后单击"下一步"。
e. 在"网络通讯源"页面上,单击"添加"。
※此时将显示"添加网络实体"对话框。
f. 在"添加网络实体"对话框中,
●依次单击"网络"、"××× 客户端"和"添加",然后单击"关闭"以关闭"添加网络实体"对话框。
g. 在"网络通讯源"页面上,单击"下一步"。
h. 在"网络通讯目标"页面上,单击"添加"。
※此时将再次显示"添加网络实体"对话框。
i. 在"添加网络实体"对话框中,
●依次单击"网络"、"外围"和"添加",然后单击"关闭"以关闭"添加网络实体"对话框。
j. 在"网络通讯目标"页面上,单击"下一步"。
k. 在"网络关系"页面上,选择"路由",然后单击"下一步"。
l. 在"正在完成新建网络规则向导"页面上,单击"完成"。
※此时创建了一个新的网络规则。ISA Server 现在将来自"×××客户端"网络中各台计算机的 IP 数据包"路由"到"外围"网络。
※注意:新的网络规则尚未应用。
比较:
●ISA Server 2004 - 在每对网络之间使用NAT或路由是由网络规则定义的。
●ISA Server 2000 - 在网卡之间使用 NAT 或路由是固定不变的。LAT 中的网卡与所有"其他"网卡之间的通讯使用 NAT。绑定程度最高的非LAT网卡("外部"网卡)与其他非 LAT 网卡("DMZ"网卡)之间的通讯使用"路由"。
※创建这一新的"××× 外围访问"网络规则只是为了进行演示。请不要将此新规则应用于 ISA Server。
m. 在右窗格的顶部,单击"丢弃"以删除未保存的更改,如新的"××× 外围访问"规则。
n. 单击"是"以确认要丢弃更改。
3. 了解如何使用"网络模板"来配置网络规则和防火墙策略规则。
a. 在 ISA Server 控制台的左窗格中,确保选择"网络"。
b. 在任务窗格中,单击"模板"选项卡。
※"网络模板"是预定义的 XML 文件,其中包含常见的网络拓扑。可以使用它们来配置网络之间的网络规则以及防火墙策略规则。与每个网络模板相关的图形可帮助您了解所选的网络拓扑。
※ISA Server 2004 包含五个网络模板("边缘防火墙"、"3 向外围网络"、"前端防火墙"、"后端防火墙"和"单一网卡")。
※通常,设置 ISA Server 包括四个步骤:
1 安装"网卡"和分配 IP 地址。
2 安装 ISA Server 软件。安装向导将要求您指定内部网络的 IP 地址。
3 打开"ISA Server 控制台",选择与您的网络拓扑匹配最密切的"网络模板"。
4 修改已创建的"防火墙策略规则",以满足特定的安全需要。例如,将访问权限限定为特定的用户。
※注意:安装 ISA Server 2004 Enterprise Edition 还包括一个安装配置存储服务器的步骤,该服务器用于存储所有 ISA Server 阵列的配置信息。
c. 在"模板"选项卡上,单击"3 向外围网络"。
※注意:"3 向外围网络"已是 Florence 上当前活动的网络模板。它与该实验室环境的网络拓扑匹配最为密切。出于演示考虑,本任务只是探讨"网络模板向导"而没有更改任何设置。
d. 在"网络模板向导"对话框中,单击"下一步"。
※ISA Server 允许您将当前配置导出到一个备份 (XML)文件中,以备以后恢复所用。
e. 在"导出 ISA 服务器的配置"页面上,单击"下一步"。
f. 在"内部网络 IP 地址"页面上,单击"下一步"。
g. 在"外围网络 IP 地址"页面上,单击"下一步"。
※每个网络模板均包括一个或多个防火墙策略规则集。借助于这些防火墙策略,您可以制定一组最适合网络和安全策略要求的防火墙策略规则。
h. 在"选择一个防火墙策略"页上,从"选择一个防火墙策略"列表框中,选择"允许有限的 Web 访问;允许访问外围网络的网络服务"。
i. 在"描述"列表框中,如果已选择这一防火墙策略,则滚动至文本的末端,以查看所创建的防火墙策略规则的描述
j. 在"选择一个防火墙策略"页面上,单击"下一步"。
k. 在"正在完成网络模版向导"页上,单击"取消"(不要单击"完成")。
※这样,就不会更改 ISA Server 上的网络规则和防火墙策略规则。
4. 了解每个网络的"客户端支持"配置设置。
a. 在 ISA Server 控制台的左窗格中,确保选择"网络",然后在右窗格中,选择下方的"网络"选项卡。
b. 右键单击"内部",然后单击"属性"。
c. 在"内部属性"对话框中,选择"防火墙客户端"选项卡。
※"防火墙客户端"选项卡指定所选网络("内部")上的客户端计算机是否能够使用"防火墙客户端"软件(端口 1745),通过 ISA Server 访问其他网络(如Internet)。
d. 选择"Web 代理"选项卡。
※"Web 代理"选项卡指定所选网络("内部")上的客户端计算机是否能够使用"Web 代理客户端"(如 Web浏览器,端口 8080),通过 ISA Server 访问其他网络(如 Internet)。
e. 单击"取消"以关闭"内部属性"对话框。
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。
Perth.contoso.com(×××)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。
Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。
Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。
这些计算机不能与主机通信。
为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。
在本练习中,您将了解 ISAServer 如何利用多个网络。
注意:本实验室练习使用以下计算机:Florence
1. 在 Florence 计算机上,了解 ISA Server 如何通过"IP 地址范围"(而非"本地地址表 (LAT)")概念来利用多个网络。
a.在 Florence 计算机上,在 ISA Server 控制台的左窗格中,依次展开"ITALY"、"配置",然后选择"网络"。
※ 与 ISA Server 2000 相比,ISA Server 2004 中最重要的变化之一是"多个网络"概念,这些网络均与ISAServer 相连,为便于配置,所有
网络的配置过程均"类似"。
※ 所有防火墙策略规则均可以按照"源"网络和"目标"网络来定义。
b. 在右窗格中(下面)的"网络"选项卡中,右键单击"内部",然后单击"属性"。
c. 在"内部属性"对话框中,选择"地址"选项卡。
比较:
●ISA Server 2004 -"内部"网络的 IP 地址只定义名为"内部"的网络中包括哪些网络接口。其他网络(如"外围"网络)的定义方式与之类
似。这里没有与ISAServer 2000中本地地址表 (LAT) 相对应的概念。数据包筛选器和规则的应用、网络地址转换 (NAT) 或IP 数据包路由等都是单独配置的。
●ISA Server 2000 - LAT 对于配置 ISA Server 起着非常重要的作用。它自动确定在哪些网络接口上应用数据包筛选器,以及在何处执行NAT 或 IP 数据包路由。
d. 单击"取消"以关闭"内部属性"对话框。
※注意,"外围"网络的 IP 地址范围被定义为23.1.1.0 - 23.1.1.255。"本地主机"网络被定义为ISAServer 计算机本身。所有其他 IP 地址均属于"外部"网络。
"××× 客户端"网络和"被隔离的 ××× 客户端"网络具有动态的成员关系,并包括已连接的 ××× 客户计算机。
e. 在"网络集"选项卡上,右键单击"所有受保护的网络",然后单击"属性"。
f. 在"所有受保护的网络属性"对话框中,选择"网络"选项卡。
※网络集是现有网络的分组,也可用于防火墙策略规则 中。这样便于称谓所有网络或所有相关的网络。您 可以定义其他网络集。
※"所有受保护的网络"网络集的定义是所有现有的网络,但不包括"外部"网络。
※ISA Server 2004 Enterprise Edition 还允许定义企业级网络和网络集,以便用在所有 ISA Server 阵列中。有了企业网络,各个阵列的 管理员无需了解更大的公司网络中所发生的变化。因而企业网络的变化不需要阵列管理员对各个阵列进行变更即可生效。
g. 单击"取消"以关闭"所有受保护的网络属性"对话框。
h. 在"开始"菜单中,单击"控制面板",然后单击"网络连接"。
※"开始"菜单上的"网络连接"菜单显示了 Florence 有三个网卡。在实验室练习中,为避免混淆,应在实验室设置过程中将 Florence 上的网卡从"本地连接"(#2 和 #3)重命名为"外部连接"、"内部连接"和"外围连接"。
i. 再次单击"开始"按钮以关闭"开始"菜单。
2. 了解"网络规则"如何定义网络之间的网络地址转换(NAT)或IP数据包路由。
※出于演示需要,请创建一个新的网络规则,并在用完后丢弃。
a. 在ISAServer控制台的左窗格中,确保选择"网络"。
b. 在右窗格中,选择"网络规则"选项卡。
※网络规则的作用在于,如果防火墙策略允许每对网络或网络集之间进行网络通讯,则网络规则定义ISAServer 是对这些网络之间的通讯使 用"NAT"(用ISAServer 地址取代客户端源地址),还是使用"路由"(使用所请求的客户端源地址)。
※目前,对于 ISA Server 计算机与所有网络之间(规则1)、×××网络与内部网络之间(规则 2),以及"外围"网络与"外部"网络之间(规则4)的所有通讯,Florence 采用的是"路由"。而对于从"内部"网络和 ××× 网络到"外围"网络(规则 3)以及从"内部"网络和 ××× 网络到"外部"网络(规则 5)的所有通讯,它使用的是"NAT"。
※"路由"网络规则自动双向工作。NAT 网络规则定义为单向规则。如果两个网络之间没有定义网络规则,则ISA Server 不允许在这两个网络之间进行通讯。
c. 在任务窗格的"任务"选项卡上,单击"创建网络规则"。
d. 在"新建网络规则向导"对话框中的"网络规则名称"文本框中,键入"××× 外围访问",然后单击"下一步"。
e. 在"网络通讯源"页面上,单击"添加"。
※此时将显示"添加网络实体"对话框。
f. 在"添加网络实体"对话框中,
●依次单击"网络"、"××× 客户端"和"添加",然后单击"关闭"以关闭"添加网络实体"对话框。
g. 在"网络通讯源"页面上,单击"下一步"。
h. 在"网络通讯目标"页面上,单击"添加"。
※此时将再次显示"添加网络实体"对话框。
i. 在"添加网络实体"对话框中,
●依次单击"网络"、"外围"和"添加",然后单击"关闭"以关闭"添加网络实体"对话框。
j. 在"网络通讯目标"页面上,单击"下一步"。
k. 在"网络关系"页面上,选择"路由",然后单击"下一步"。
l. 在"正在完成新建网络规则向导"页面上,单击"完成"。
※此时创建了一个新的网络规则。ISA Server 现在将来自"×××客户端"网络中各台计算机的 IP 数据包"路由"到"外围"网络。
※注意:新的网络规则尚未应用。
比较:
●ISA Server 2004 - 在每对网络之间使用NAT或路由是由网络规则定义的。
●ISA Server 2000 - 在网卡之间使用 NAT 或路由是固定不变的。LAT 中的网卡与所有"其他"网卡之间的通讯使用 NAT。绑定程度最高的非LAT网卡("外部"网卡)与其他非 LAT 网卡("DMZ"网卡)之间的通讯使用"路由"。
※创建这一新的"××× 外围访问"网络规则只是为了进行演示。请不要将此新规则应用于 ISA Server。
m. 在右窗格的顶部,单击"丢弃"以删除未保存的更改,如新的"××× 外围访问"规则。
n. 单击"是"以确认要丢弃更改。
3. 了解如何使用"网络模板"来配置网络规则和防火墙策略规则。
a. 在 ISA Server 控制台的左窗格中,确保选择"网络"。
b. 在任务窗格中,单击"模板"选项卡。
※"网络模板"是预定义的 XML 文件,其中包含常见的网络拓扑。可以使用它们来配置网络之间的网络规则以及防火墙策略规则。与每个网络模板相关的图形可帮助您了解所选的网络拓扑。
※ISA Server 2004 包含五个网络模板("边缘防火墙"、"3 向外围网络"、"前端防火墙"、"后端防火墙"和"单一网卡")。
※通常,设置 ISA Server 包括四个步骤:
1 安装"网卡"和分配 IP 地址。
2 安装 ISA Server 软件。安装向导将要求您指定内部网络的 IP 地址。
3 打开"ISA Server 控制台",选择与您的网络拓扑匹配最密切的"网络模板"。
4 修改已创建的"防火墙策略规则",以满足特定的安全需要。例如,将访问权限限定为特定的用户。
※注意:安装 ISA Server 2004 Enterprise Edition 还包括一个安装配置存储服务器的步骤,该服务器用于存储所有 ISA Server 阵列的配置信息。
c. 在"模板"选项卡上,单击"3 向外围网络"。
※注意:"3 向外围网络"已是 Florence 上当前活动的网络模板。它与该实验室环境的网络拓扑匹配最为密切。出于演示考虑,本任务只是探讨"网络模板向导"而没有更改任何设置。
d. 在"网络模板向导"对话框中,单击"下一步"。
※ISA Server 允许您将当前配置导出到一个备份 (XML)文件中,以备以后恢复所用。
e. 在"导出 ISA 服务器的配置"页面上,单击"下一步"。
f. 在"内部网络 IP 地址"页面上,单击"下一步"。
g. 在"外围网络 IP 地址"页面上,单击"下一步"。
※每个网络模板均包括一个或多个防火墙策略规则集。借助于这些防火墙策略,您可以制定一组最适合网络和安全策略要求的防火墙策略规则。
h. 在"选择一个防火墙策略"页上,从"选择一个防火墙策略"列表框中,选择"允许有限的 Web 访问;允许访问外围网络的网络服务"。
i. 在"描述"列表框中,如果已选择这一防火墙策略,则滚动至文本的末端,以查看所创建的防火墙策略规则的描述
j. 在"选择一个防火墙策略"页面上,单击"下一步"。
k. 在"正在完成网络模版向导"页上,单击"取消"(不要单击"完成")。
※这样,就不会更改 ISA Server 上的网络规则和防火墙策略规则。
4. 了解每个网络的"客户端支持"配置设置。
a. 在 ISA Server 控制台的左窗格中,确保选择"网络",然后在右窗格中,选择下方的"网络"选项卡。
b. 右键单击"内部",然后单击"属性"。
c. 在"内部属性"对话框中,选择"防火墙客户端"选项卡。
※"防火墙客户端"选项卡指定所选网络("内部")上的客户端计算机是否能够使用"防火墙客户端"软件(端口 1745),通过 ISA Server 访问其他网络(如Internet)。
d. 选择"Web 代理"选项卡。
※"Web 代理"选项卡指定所选网络("内部")上的客户端计算机是否能够使用"Web 代理客户端"(如 Web浏览器,端口 8080),通过 ISA Server 访问其他网络(如 Internet)。
e. 单击"取消"以关闭"内部属性"对话框。