在中小型企业的网络架构设计中企业为了节约成本,一般不采用价格昂贵的硬件防火墙,但又为了保证内部网络的安全很多企业采用微软的ISA server 2006软件防火墙实现内部网络安全的作用。
实例环境:公司总共有300多人,另外有一台对外发布的WEB服务器,公司通过一条出口介入internet。
实例拓扑:
注:内部网络和ISA服务器均加入到域
一、加入域
在添加三块网卡的服务器上配置内部、DMZ、外部网卡的信息。然后加入到域如图所示
二、 安装ISA 2006
插入ISA2006光盘出现如图所示的画面
点击【安装ISA Server 2006】选项卡进入安装向导,按照向导一步一步的安装,如图选择【同时安装ISA Server服务和配置存储服务器】
点击【下一步】选择安装路径,这里我们用默认的。
由于这是第一台ISA服务器所以我们选择【创建新ISA服务企业】然后点击【下一步】
这时弹出一个警告,我们不用管它继续下一步
选择【添加】选项卡进入网络地址配置对话框
选择【添加网络适配器】确定内部网络地址范围如图所示然后点击确定并【下一步】
这里提示防火墙客户端是否支持加密,由于内部客户端我们选择SNAT模式所以这里我们选择不加密点击【下一步】继续
提示一些需要重新启动的服务,我们点击【下一步】
在【可以安装程序】对话框中单击【安装】开始安装过程
这时需要等上一段时间,然后出现如图所示的向导完成界面,并点击【完成】完成安装向导
三、 配置ISA sever 2006
3.1 添加外围网络
在【开始】——【所有程序】——【ISA服务管理器】。并找到阵列下面的网络配置界面,并新建网络如图所示。
进入向导模式,填写网络名称
点击下一步,选择【外围网络】选项卡。然后点击下一步
选择DMZ区域的网络适配器如图所示
然后点击确定并下一步完成向导
3.2 创建网络规则
在企业网络中创建DMZ网络区域放置WWW、FTP服务器来对外发布。为了内部网络的安全,可以设置内网到DMZ的网络规则是NAT,DMZ到internet是NAT。具体设计步骤如下:
在ISA服务管理器中找到网络组件,然后右键选择创建【网络规则】如图所示
进入【新建网络规则向导】输入网络规则名称点击下一步
在网络通讯源对话框中添加源网络“内部”,然后点击下一步
在网络通讯目标对话框中添加目标网络“DMZ”,然后点击下一步
在网络关系对话框中有两种网络关系,这里我们选择【网络地址转换NAT】,然后点击下一步
在【完成新建网络规则向导】对话框中点击【完成】
同样的方法创建DMZ到internet为NAT关系的网络规则
3.3 添加访问规则
建立网络规则后我们要为两个网络添加访问规则,ISA防火墙默认规则是阻止一切通信,所以在内网到DMZ建立访问规则,DMZ到外网建立发布规则。
首先在 ISA 服务管理器中找到【防火墙策略】组件右键新建【访问规则】
进入【新建访问规则向导】输入访问规则名称点击下一步
在规则操作对话框中选择【允许】并点击下一步
由于DMZ区域只有WEB和FTP服务器,所以这里协议只选择相应的访问协议
在访问规则源对话框中添加【内部】网络
在访问规则目标添加【DMZ】目标网络
在用户集对话框中选择规则应用的用户,根据企业不同的访问需求可以选择不同的用户,这里我们选择所有用户。
完成访问规则向导
由于ISA本地主机也是属于一个网络,可以同时设置一条本地主机访问其他网络的规则,设置方法相同,这里不再陈述。
要实现内网用户访问外网,需再添加一条策略让内网用户和外网进行通信.
四、 发布web和ftp服务
上面我们说了DMZ到internet是NAT的网络关系,所以我们要应用服务器的发布规则。
4.1 发布web服务器
发布web服务有两种方式,一种是安全的一种是不安全的。这里我们设置不安全的web发布规则。
在 ISA 服务管理器找到【防火墙策略】右键新建【网站发布规则】
进入新建web发布规则向导输入web发布规则名称点击下一步
在选择规则操作对话框中选择【允许】选项,然后点击下一步
由于我们只发布一个web服务器,所以我们选择第一项【发布单个网站或负载平衡器】并点击下一步
网站设计中并没有要求安全的web访问所以我们选择【使用不安全的连接连接发布的web服务器】并点击下一步
在内部发布详细信息对话框中填写内部站点名称,我们发布的web站点是属于工作组环境,我们要勾选【使用计算机名称或IP地址连接到发布的服务器】并填写web服务器的IP地址,然后点击下一步
由于这里我们搭建的web没有虚拟路径,这里就填写所有文件如图所示
在公共名称细节对话框中填写公用名称,表示凡是www.testorg.com访问请求都被转发到发布的web站点。
在【选择web侦听器】对话框中新建一个80侦听器,让外网卡侦听80端口。
进入新建web侦听器定义向导页面,输入侦听器名称然后点击下一步
在【客户端连接安全设置】对话框中选择【不需要与客户端建立ssl安全连接】然后点击下一步
在【web侦听器IP地址】选择外部网卡侦听
在【身份验证设置】对话框中选择【没有身份验证】然后点击下一步
在【单一登录设置】对话框中单击下一步并完成。
然后选择我们刚建好的listen 80侦听器并单击【下一步】在【身份验证委派】选择【无委派,客户端无法直接进行身份验证】
在【用户集】对话框中添加【所有用户】并点击下一步
在【正在完成新建web发布规则 向导】页面中点击【完成】并应用防火墙规则
五、 测试
5.1内网用户访问外网
内网用户设置SNAT客户端模式,并访问百度网站
5.2外网用户访问web站点
实验环境下我们在外部网络客户端上设置DNS记录并以域名访问
