ISA防火墙策略配置/服务器发布
本文主要讲解了,ISA防火墙策略配置,发布内部Web/mail服务器,发布Exchange SSL OWA网站。
防火墙策略
策略元素
策略元素:每条防火墙策略都是由一些“零件”组成的,这些“零件”称为策略元素。每个策略元素都可以指定防火墙规则的某些参数,多个策略元素便构成整个防火墙策略。
ISA Server中的元素策略包括:协议、用户、内容类型、计划、网络对象。
例如,要在防火墙中拒绝一组用户在某个时间段访问某个Web网站,其中的时间段(计划)、用户(用户)、Web网站(网络对象)等策略元素组成一条防火墙策略。
防火墙策略规则
1. 网络规则
网络规则定义了网络拓扑及网络间如何连接。
ISA2006网络规则定义的网络连接方式有两种:路由和NAT。
2. 访问规则
访问规则定义了用户如何访问网络。
在安装ISA 2006后,系统会自动创建许多系统策略,这些策略允许ISA 2006服务器访问特定的网络服务。
还需要管理员自己定义访问规则,来限制用户对特定网络和服务的访问,从而提升网络安全性。
在安装ISA Server时系统将创建一条默认规则,用于拒绝所有出入网络的访问。不能修改或删除此默认规则。
当客户发出请求要求访问Internet资源时,ISA首先检查网络规则。网络规则可以是路由或NAT。检查网络规则后,ISA Server会检查访问规则。如果ISA中设定了多个访问规则,若前面的规则拒绝了某个协议,则此协议肯定被拒绝,无论后面的规则是否允许此协议通过。例如,规则1拒绝HTTP协议的连接,而规则2允许HTTP连接,则最终规则1生效,拒绝HTTP连接。(规则顺序很重要,前面允许了后面再多的拒绝设置也无效,反之一样。一般拒绝放在前面,一些常用的规则(DNS等)放在前面。)如果访问规则中没有匹配的规则,将会被拒绝。会执行默认规则,拒绝所有。
3. 服务器发布规则
为了使外网用户能够访问内网的特定服务器,同时又不危及内网的安全,需要在ISA中创建服务器发布规则。
防火墙访问规则的配置
创建访问规则
1. 打开ISA服务器管理
2. 单击创建访问规则。输入访问规则的名称,单击下一步。
3. 选择允许,单击下一步。
4. 在协议页选择,所选的协议,添加协议DNS。
5. 单击添加,网络类型选择内部。
6. 单击下一步,添加访问规则的目标为外部,单击下一步。
7. 指定用户为所有用户,单击下一步。
8. 单击完成,完成设置过程。
9. 单击应用按钮,应用新建的规则。
实例:
配置ISA访问规则,使内网用户工作时间可以跨过防火墙访问外网,但是不能访问音频和视频文件。
在ISA计算机上新建访问规则
执行的操作,为允许。
所选的协议为,HTTP,HTTPS。
从内部到外部
用户集为所有用户
下一步,完成。应用。
选中新建的规则,单击右键,选择属性。
选中计划页面,选中工作时间(也可以自己定义)。
选中内容类型,单击选择的内容类型。不勾选视频和音频,单击确定。
应用即可。
发布服务器
一、 配置网络参数
DC/CA/内部DNS/Web/mail服务器:IP:192.168.20.1 DNS:192.168.20.1
ISA Server2006:内网:IP: 192.168.20.2 DNS:192.168.20.1
ISA Server2006:外网:IP:80.80.80.80 DNS:None
客户端: IP:80.80.80.1 DNS:None
(实验环境,外部DNS解析用修改客户端hosts文件来实现。工作环境中,一般是注册一个域名,建立一条A记录,指向ISA的外网卡。)
发布内部Web服务器
发布原理:通过发布位于ISA Server之后的Web服务器,ISA Server会代表内部Web服务器接收请求。位于Internet中的客户机发出请求时,该请求会被传送到ISA Server计算机的外部地址,此时,ISA Server计算机上的Web发布规则会将请求转发到内部的Web服务器。
发布方法:
一. 将Web服务器配置成SecureNAT客户端,Web服务器的网关指向ISA的内网网卡。
二. IP地址与网站域名要正确映射。内部DNS新建正向查找区域,添加一条对应的主机记录,IP地址指向服务器本身。外部DNS一般是注册一个域名,建立一条A记录,指向ISA的外网卡。(实验环境,外部DNS解析用修改客户端hosts文件来实现。)
三. 准备Web站的,内部用户能通过域名访问站点。
四. 发布内部网站
1. 在ISA Server上打开ISA服务器管理,单击防火墙策略,再单击发布网站。
2. 输入名称,下一步。选择允许,下一步。
3. 选择发布单个网关或负载平衡器,单击下一步。
4. 选择使用不安全的连接连接发布的Web服务器或服务器场,单击下一步。
5. 输入站点名称,如www.lvc.com,单击下一步。
6. 内部发布详细信息,直接单击下一步。
7. 输入公共名称,如www.lvc.com,单击下一步。
8. 单击新建按钮,建立Web侦听器,以便通过此侦听器来侦听外部用户的请求。
9. 输入Web侦听器的名称,单击下一步。
10. 选择不需要与客户端建立SSL连接,单击下一步。
11. 选择侦听从外部网络发来的请求,单击下一步。
12. 选择没有身份验证,单击下一步。
13. 在单一登录设置页面,直接单击下一步,完成。
14. 选择刚刚建立的侦听器,单击下一步。
15. 选择无委派,客户端无法直接进行身份验证,单击下一步。
16. 选择所用用户,单击下一步。
17. 单击完成,完成设置过程。单击应用,应用策略设置。
五. 测试网站发布是否成功
在外网计算机中使用www.lvc.com来访问网站,测试发布是否成功。
发布内部邮件服务器
一. 建立Exchange2007邮件服务器
内网用户可以使用Outlook访问邮件服务器,收发邮件。
二. 发布邮件服务器
1. 在ISA Server上打开ISA服务器管理,单击防火墙策略,再单击发布邮件服务器。
2. 输入规则名称,单击下一步。
3. 选择客户端访问(C):RPC、IMAP、POP3、SMTP,单击下一步。
4. 选择相应的服务,单击下一步。如果希望客户端以Outlook方式收发邮件,则选择Outlook和SMTP两个选项。如果希望客服端以Outlook Express方式收发邮件,则选择POP3和SMTP(也可以都支持)。
我现在是希望客户端通过Outlook Express方式收发邮件。下一步。
5. 输入内网邮件服务器的IP地址,单击下一步。
6. 在网络侦听IP地址页选择外部,单击下一步。
7. 完成,应用。
三. 验证邮件服务器发布
1. 在外网计算机上,设置Outlook Express电子邮件账户。
注意在设置Outlook Express电子邮件账户时,邮件接收服务器的IP地址应该填ISA的外网卡IP地址。
2. 你用Outlook Express收发电子邮件。
发布Exchange SSL OWA网站
一. 建立Exchange 2007邮件服务器
在邮件服务器上的计算机安装Exchange2007,确保用户可以通过OWA方式访问邮件服务器。
二. 配置DNS服务器
在内部DNS服务器上建立一条Mail.benet.com主机记录和MX记录,指向Exchange Server的IP地址。
外部DNS一般是注册一个域名,建立一条A记录,指向ISA的外网卡。(实验环境,外部DNS解析用修改客户端hosts文件来实现。)
三. 建立证书服务器
在邮件服务器上,安装CA。
四. 配置Web服务器证书并导出证书
1. 在邮件服务器上,打开IIS管理器,右击默认网站,选择属性,单击目录安全性选项卡。单击服务器证书。
2. 选择新建证书,下一步。(安装Exchange后系统会自带一个证书,需要先删除。)
3. 选择立即将证书请求发送到联机证书颁发机构,下一步。
4. 指定网站名称和证书长度,下一步。
5. 指定单位信息,下一步。
6. 输入证书公用名称(此次的证书公用名称至关重要,它一定要和外网用户访问此网站时使用的郁闷完全匹配),下一步。
7. 输入地理信息,下一步。
8. 指定SSL端口(默认为443),下一步。
9. 接受默认的证书颁发机构,下一步。
10. 单击下一步,完成。完成证书的申请。
11. 单击查看证书,单击详细信息选项中。单击“复制到文件”,将证书导出。
12. 单击下一步,选择“是,导出私钥”,下一步。
13. 在导出文件格式页面,勾选“如果可能,包括证书路径中的所有证书”和“启用加强保护”,下一步。
14. 设置密钥保存密码,下一步。该密钥可以防止未授权的人导入私钥。
15. 指定密钥导出后保存的路径和文件名,下一步。
16. 单击完成,完成导出证书的过程。
五. 将证书导入ISA服务器
1. 将前面导出的证书复制到ISA计算机。
2. 在ISA计算机上运行MMC,单击添加证书管理单元。选择计算机账户,本地计算机。
3. 右击个人,选择所有任务,导入。
4. 单击下一步,指定要导入证书的路径和文件名,单击下一步。
5. 单击下一步,输入要导入密钥的密码,下一步。
6. 指定证书的存储位置,下一步。
7. 单击完成,将证书导入。
8. 选择刚刚导入的证书文件右击,选择复制。
9. 展开受信任的根证书颁发机构,右击证书,选择粘贴,将证书复制到此处。至此,证书导入的设置完成。
六. 配置ISA访问规则
1. 在ISA计算机上,打开ISA服务管理器,右击防火墙策略,选择新建访问规则。
2. 输入规则名称,下一步。
3. 选择允许,下一步。
4. 在协议页面添加HTTP和HTTPS协议,下一步。
5. 在访问规则源页面选择本地主机,下一步。
6. 在访问规则目标页选择内部,下一步。
7. 下一步,完成。应用规则。
七. 建立证书信任
1. 在ISA计算机上,打开IE浏览器输入https://mail.benet.com/certsrv访问CA的Web站点。
2. 单击下载一个CA证书,证书链或CRL。
3. 单击安装此CA证书链,在弹出的对话框中单击是。
4. 完成证书链的安装。
八. 发布邮件服务器
1. 在ISA计算机上,打开ISA服务管理器,右击防火墙策略,选择新建,Exchange Web客户端访问发布规则。
2. 输入规则名,下一步。
3. 指定Exchange的版本和邮件客户端,下一步。
4. 选择发布单个网站或负责均衡器,下一步。
5. 单击使用SSL连接到发布的Web服务器或服务器场,下一步。
6. 指定内部站点的名称,下一步。
7. 指定公共名称,下一步。
8. 在Web侦听器页,单击新建,输入Web侦听器的名称,下一步。
9. 选择需要与客户建立SSL安全连接,下一步。
10. 设置Web侦听器的IP为外部,下一步。
11. 指定Web侦听器所使用的证书,该证书就是从邮件服务器复制过来的证书,下一步。
12. 身份验证方式选择HTML窗体身份验证,下一步。
13. 清除“对使用此Web侦听器发布的网站启用SSL”,下一步,完成。
14. 选择刚刚建立的Web侦听器,下一步。
15. 在身份验证委派页选择“基本身份验证”,下一步。
16. 所有通过身份验证的用户,下一步,完成。应用,完成邮件服务的发布过程。
九. 验证邮件服务器的发布
1. 在外网计算机上,打开IE浏览器,输入https://mail.benet.com/owa,输入域用户名和密码,单击登录。
2. 登录后,可以以OWA方式访问邮件服务器,收发邮件。
