使用ISA Server 2006的DMZ区保护内网的服务器群

使用ISA Server 2006的DMZ区保护内网的服务器群

在大多数单位中，网络中的所有服务器通常接在核心交换机上，工作站通过接入层交换机接到核心交换机，服务器与工作站划分在不同的 VLAN 中，如图 1 所示。

图 1  一般单位服务器区所在位置

在图 1 的拓扑情况下，网络中的“路由器”（或者防火墙）可以阻止 Internet 的用户访问“服务器”，从而对服务器提供了一定的保护能力，但对于局域网来说，所有的工作站可以“直接”访问服务器，如果服务器没有及时打补丁或者存在某些漏洞，很容易被内网上的工作站攻击，这种攻击有时候并不是由使用工作站的用户发起的，而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。另外，在大多数情况下，使用“路由器”提供到 Internet 的访问，性能与功能有限。

基于此，可以将图 1 改成图 2 的拓扑结构，并且用一台具有三块网卡的、已经安装 ISA Server 2006 的服务器代替原来的“路由器”，这台 ISA Server 的两块网卡设置与原来的“路由器”相同的 IP 地址，第三块网卡接入一个单独的交换机，网络中的服务器也接到这个单独的交换机上。假设：

在图 1 所示的网络中，划分了 60 个 VLAN ，分别从 192.168.1.0 ～ 192.168.1.60.0 ，子网掩码都是 255.255.255.0 ，服务器区使用了 192.168.100.0/24 ，每个 VLAN 的网关地址都是 254 （例如 192.168.1.0 的网关地址是 192.168.1.254 ）。路由器的内网地址是 10.10.10 .20/24 ，路由器接三层交换机的端口地址是 10.10.10.10/24 。三层交换机上有一条静态路由：

ip route-static 0.0.0 .0 0.0.0.0 10.10.10.20

在改造后， ISA Server 内网的地址设置为 10.10.10 .20/24 ，在此块网卡上不添加网关地址（并将此网卡命名为“ LAN ”），外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与 DNS 地址（并将此网卡命名为“ Internet ”）。并且在该 ISA Server 的命令提示符下键入：

Route add �Cp 192.168.0.0 mask 255.255.192.0 10.10.10 .10

这条命令的意义，添加 192.168.0.0 ～ 192.168.63.0/24 这 64 个网段的静态路由，包括了原来的 60 个 VLAN 的内部地址。

在该 ISA Server 上创建一条规则，允许“从内网到外部”，该规则允许“内网”中的计算机访问 Internet ，从而 ISA Server 完成了代替图 1 中“路由器”的功能。

图 2  改造后网络

改造后“核心交换机”做如下的调试：

将图 1 中“服务器区”所在的 VLAN 的 IP 地址删除（在本例中，就是 192.168.100.0/24 ），并且把所在 VLAN 删除；

在 ISA Server 上再添加一块网卡，将新添加网卡接到新添加的千兆交换机上，原来服务器上的网线接到该千兆交换机上。

在 ISA Server 上主要做以下的调试：

（ 1 ）将新添加的网卡重命名为“ DMZ ”，设置 IP 地址为 192.168.100.254 （就是在核心交换机中删除的那个 VLAN 端口的 IP 地址），设置子网掩码为 255.255.255.0 ，不要设置网关地址。

（ 2 ）进入 ISA Server 2006 管理控制台，在“配置→网络”中，在右侧的任务窗格中，选中“模板”，单击“ 3 向外围网络”，在“欢迎使用网络模板向导”中单击“下一步”按钮，如图 3 所示。

图 3  使用 3 向外围网络

在“导出 ISA 服务器的配置”页中，单击“导出”按钮，在“导出”向导中单击“下一步”按钮，在“导出首选项”页中单击“下一步”按钮，在“导出文件位置”页中，选择导出的位置及导出的文件名，然后单击“下一步”按钮，在“正在完成导出向导”页中，单击“完成”按钮。

返回到“导出 ISA 服务器的配置”页，单击“下一步”按钮，在“内部 网络 IP 地址”页中，单击“添加适配器”按钮，添加名为“ LAN ”的网卡，如图 4 所示。

图 4  选择内网网络

在“外围 网络 IP 地址”页中，单击“添加适配器”，选择名为“ DMZ ”的网卡，如图 5 所示。

图 5  选择 DMZ 区

在“选择一个防火墙策略”页中，选择“阻止所有访问”，然后单击“下一步”按钮，如图 6 所示。

图 6  阻止所有访问

在“正在完成网络模板向导”页中，单击“完成”按钮。

（ 3 ）导入策略：定位到“防火墙策略”中，用鼠标右键单击，从弹出的快捷菜单中选择“导入”，导入前面导出的策略，如果策略比较少，可以不导入策略，一会再重建所需要的策略也可。

（ 4 ）修改网络规则：在默认情况下，“外围”与“内部”的关系是“ NAT ”，“外围”与“外部”的关系是“路由”，如图 7 所示。在此，需要修改“外围”与“内部”的关系是“路由”，修改“外围”与“外部”的关系是“ NAT ”，如图 8 所示。

图 7  网络规则

用鼠标双击“外围配置”，在弹出的“外围配置 属性”页中，在“网络关系”选项卡中，单击“路由”，然后单击“确定”按钮，如图 8 所示。

图 8  修改网络规则

同样，双击图 7 中的“外围访问”，将“网络关系”修改为“网络地址转换（ NAT ）”，单击“确定”按钮。

然后，返回到“网络”项，确认“内部”、“外围”网络地址正确，如图 9 所示。在有的时候，修改了图 7 、图 8 中的网络规则后，内部与外围地址可能会发生改变。

图 9  确认内部地址与外围地址正确

（ 5 ）在 ISA Server 上创建规则，允许“内部”到“外围”区，一般使用 HTTP 、 SMTP 、 FTP 、 POP3 、 DMZ 、 HTTPS 协议即可，这样包括了大多数的协议，如果你的服务器区使用了其他的协议，例如 SQL Server 、非默认的 Web 端口（例如 TCP 的 81 ），则添加这些协议即可，如图 10 所示。

图 10  创建规则

最后，单击“应用”按钮，让设置生效。

改造后，不需要修改服务器的地址，也不需要修改客户端访问服务器的地址，但工作站与服务器之间经过 ISA Server 进行保护，增强了网络的安全。如果需要让 Internet 上的用户访问 DMZ 区的服务器，创建到 DMZ 区的服务器发布规则即可，有关这些操作将不在介绍。

后记：这是一个真实的案例，为了保护原单位的信息，文中的 IP 地址已经做了改动，但不会影响读者的阅读。从理论上来说，改造后的网络，在“内部”访问服务器时速度要比原来略慢，因为与以前的网络相比，增加了防火墙。但在实际使用中，最终用户没有觉察到网络做了改变。在改造后到现在已经过了一段时间，用户的使用与以前相同。