配置ISA Server 的网络环境

   ISA Server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。你可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到×××等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。
  
  ISA Server 2004对于安装的要求非常低,可以说,目前的服务器对于ISA Server 2004是绰绰有余,具体的系统要求见“ISA Server 2004完全上手指南”一文。
  
  ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用了。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和设置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现内部客户不能访问外部网络的问题。
  
  再谈谈对在单机上安装ISA Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上,它将会自动配置为Cache only的防火墙,同时,通过ISA Server 2004强大的IDS和应用层识别机制,对本机提供了很好的防护。但是,ISA Server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。所以,我不推荐在单机上安装ISA Server 2004。对于单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice、NetPatrol等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装Zonealarm或者Blackice,SPF Pro和NetPatrol因为太过于强大,反而不适合作为服务器使用。对于基于IIS的Web服务器,你还可以安装IISLockdown和UrlScan工具,这样就可以做到比较安全了。对于单网络适配器的ISA Server,我会在后面的实例中介绍。
  
  至于安装ISA Server前内部的客户如何进行配置,我以几个实例来进行介绍:
  
  1、边缘防火墙模型
  如下图,ISA Server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到Internet,内部的Lan我以192.168.0.0/24为例,不考虑接入Internet的方式(拨号或固定IP均可)。
  
    
  ISA Server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址要么设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此我设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器,不过推荐你建立,具体介绍可以见“建立内部的DNS服务器”一文。在此例中,我们假设外部网卡(或拨号连接)上已经设置了DNS服务器,所以我们在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
  
  接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别,防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下,请尽量考虑使用SNAT客户,因为它是标准的网络路由,兼容性是最好的。
  
  SNAT客户的TCP/IP配置要求:
  1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
  
  2、配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1;
  
  3、DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者你自己在内部建立一个。但是,DNS服务器是必需的。
  
  Web代理客户和SNAT客户相比,则要复杂一些:
  1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
  
  2、默认网关和DNS服务器地址都可以不配置;
  
  3、必须在IE的代理属性中配置ISA Server的代理,默认是内部接口的8080端口,在此是192.168.0.1:8080;
  
  4、对于其他需要访问网络的程序,必须设置HTTP代理(ISA Server),否则是不能访问网络;
  
  至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许“所有用户”访问,改为“所有通过验证的用户”即可。
  
  防火墙客户默认会配置IE为web代理客户,然后对其他不能使用代理的应用程序基于SNAT的方式进行转换,所以,对于防火墙客户,你最好按照SNAT客户进行设置,然后安装防火墙客户端后,它会自动配置客户为Web代理客户。
  
  在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,你可以根据你的需要,自行配置访问规则。ISA Server中带了五个网络模型的模板,可以让你只是点几下鼠标就可以设置好访问规则,但是希望你能手动设置规则,这样可以让你有更深的认识,具体操作可以参见ISA中文站其他的文章。
  
  对于ISA Server的这三种客户更详细的描述,请见“ISA Server客户端类型”一文。
  
  下图中是一种特殊的情况,在内部网络中还有子网的内部客户。此时,你首先得将这些子网的地址包含在ISA Server的内部网络中,然后在ISA Server上配置到这些子网的路由,其他的就和单内部网络的配置一致了。具体可以见“浅谈ISA Server 2004、KWF中的路由”一文。
  
    
  2、多网络模型中的边缘防火墙
  如下图,我只是简单的设计了一个三周长的多网络模型。ISA Server 2004是专为多网络而设计的,所以,对于这种环境,配置起来非常得心应手。
  
    
  在这种环境中,LAN(192.168.0.0)的客户和ISA Server上连接LAN的网络适配器,按照上面的方法进行配置,在此我重点给大家讲解一下DMZ网络的配置。
  
  DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器,也按照上面的办法进行配置,但是,对于DMZ中的服务器,请配置为SNAT客户,这样可以得到最好的性能,配置为Web代理客户可能会让它不能正常工作,配置为防火墙客户会导致它性能的降低。
  
  在安装ISA Server时,内部网络只是选择192.168.0.0,安装好后,在ISA管理控制台的配置的网络中,新建一个DMZ网络,选择172.16.0.0网段。另外对于多网络,你还需要设置网络规则。另外你利用ISA
  Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。
  
  3、单网络适配器的环境
  如下图,ISA Server 2004安装在一台只有一个网络适配器的Internet主机上,此时,ISA Server将自动配置为Cache only的防火墙,可以用做Web代理、缓存、Web发布、OWA发布等等,由于ISA Server 2004强大的IDS系统,它也可以为主机提供非常强大的保护。Thomas Shinder在他的文章“The ISA 2004 Firewall ISP Co-location Configuration”中,,专门介绍在此情况下,如何发布Web服务器,主要方法是通过安装Microsoft Loopback网络适配器,然后将IIS的Web服务器绑定在此网络适配器的地址上,ISA占用外部接口的IP地址来发布侦听在Loopback网络适配器上的Web服务器。
  
  
  在安装ISA Server的时候,会自动在内部网络中包含所有的IP地址,所以在你建立访问规则时,一定要注意允许内部访问本地主机和允许本地主机访问内部.