ISA 2004部署-在多路由环境配置ISA Server 2004
ISA Server 2004网络模型: 任何数量的"网络" 将VPN也作为网络 "本地主机"也作为网络 指定关系(NAT/Route) 基于"网络"指定策略 对所有interfaces进行包过滤 支持即插即用和拨号
网络关联性: 路由(Routing): 将来源网络的要求直接转送到目的地网络 双向的 网络地址转译(NAT): ISA Server会以它自己的IP地址取代来源网络上的客户端IP地址 单向的 不会暴露内部网址结构 注意: 网络间没有设定关联性时,ISA Server会丢弃两个网络间的所有流量。网络关联性(示例)-->路由的关联性: 总公司及分公司 NAT的关联性: 公司网络到DMZ 公司网络到Internet DMZ到Internet
防火墙策略: 在ISA Server 2004中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。-->网络规则定义了不同的网络间是否能访问、以及如果可以访问该如何访问 访问规则定义了用户(内、外网)的访问 服务器的发布规则定义了如何让用户访问服务器
客户端Internet访问请求过程: ISA服务器检查网络规则 ISA服务器处理访问策略规则 ISA服务器再次检查网络规则 ISA服务器检查Web链规则或防火墙链配置 Web链-->见下图:
首先介绍一下环境结构: ISA Server 2004-->Host Name: ISAServer2004 IP Address: 10.10.10.1(内部网卡IP地址) 172.16.1.1(外围网卡IP地址) (100.100.100.1 100.100.100.3)-->外部网卡IP地址 Subnet Mask: 255.255.255.0(内部网卡) 255.255.255.0(外围网卡) (255.255.255.0 255.255.255.0)-->外部网卡 Default Gateway: 100.100.100.2(外部网卡) DNS Server: 192.168.1.2(内部网卡) (none)-->外围网卡 100.100.100.2(外部网卡) Machine Domain: yejunsheng User Name: Administrator
路由器-->Host Name: Router IP Address: 192.168.1.254(内部子网-->也就是说这个IP地址是跟Exchange Server 2003服务器的网卡进行通讯的) 10.10.10.254(内部网卡-->也就是说跟ISA Server 2004服务器的网卡进行通讯的) Subnet Mask: 255.255.255.0(内部子网网卡) 255.255.255.0(内部网卡) Default Gateway: 10.10.10.1(注意: 路由器的默认网关必须要指向ISA服务器的内部网卡IP地址) DNS Server: (none) (none) Machine Domain: WORKGROUP User Name: Administrator
Exchange+GC-->Host Name: London IP Address: 192.168.1.2 Subnet Mask: 255.255.255.0 Default Gateway: 192.168.1.254 DNS Server: 192.168.1.2 Machine Domain: yejunsheng User Name: Administrator
DMZ Server-->Host Name: DMZ Server IP Address: 172.16.1.2 Subnet Mask: 255.255.255.0 Default Gateway: 172.16.1.1 DNS Server: 100.100.100.2 Machine Domain: WORKGROUP User Name: Administrator
Internet WebServer-->Host Name: Internet WebServer IP Address: 100.100.100.2 Subnet Mask: 255.255.255.0 Default Gateway: 0.0.0.0 DNS Server: 100.100.100.2 Machine Domain: WORKGROUP User Name: Administrator
我来到一台计算机名称叫做ISAServer2004的计算机 它是第一台ISA服务器同时是配置存储服务器 我现在为这台ISA服务器添加一条静态路由来支持放在内部子网的路由器后面网络的计算机到ISA服务器的访问 就是说ISA服务器后面不管有多少个内部子网你就需要添加多少个内部子网 怎么样添加呢? 通过开始--运行--输入cmd按确定来打开命令提示符 在里面输入route add 192.168.1.0 mask 255.255.255.0 10.10.10.254 -p 按回车键 输入route print按回车键可以看到已经成功添加一条为192.168.1.0 255.255.255.0 10.10.10.254 1 的静态路由了
打开ISA服务器管理--展开阵列--ISASERVER2004--配置--按网络--在网络选项里面双击内部--按地址 如果内部有多个子网的话 除了要添加静态路由还需要在网络里面看一下定义的网络块里面是否包含了内部的那些网络 比如说在路由器后面还有一个192.168.2.0这个网段 你除了在ISA服务器里面添加静态路由还需要在指定这个网络中包括的IP地址范围里面添加一个192.168.2.1 --192.168.2.254这一个网段 现在可以看到我已经在指定这个网络中包括的IP地址范围里面添加10.10.10.1 --10.10.10.254和192.168.1.1 --192.168.1.254这两个网段了
我现在创建一个DMZ网络 在ISA服务器管理里面按网络--在右边任务选项的网络任务里面按创建一个新的网络--网络名就叫做DMZ吧 接着下一步
在网络类型里面选择外围网络 接着下一步
按添加适配器--把外围网卡沟上--按确定 接着下一步
在地址范围里面把172.16.255.255 --172.16.255.255删除掉 按172.16.1.0 --172.16.1.255--按编辑--在指定IP地址范围里面输入172.16.1.1 --172.16.1.254 按确定 接着下一步
这是最后一步了 按完成 记得在ISA服务器管理里面按一下应用 这样就为增加的网络定义了一个网络块 但是这些网络之间是一个什么样的关系呢? 此时我们就需要定义一下DMZ到Internet是一个什么样的关系了
按网络--按网络规则--在右边任务选项的网络规则任务里面按创建网络规则--网络规则名称就叫做DMZ To Internet吧 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按DMZ--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭 接着下一步
在网络关系里面选择网络地址转换(NAT) 接着下一步
这是最后一步了 按完成 记得在ISA服务器管理里面按一下应用
我再创建一条网络规则--网络规则名称就叫做DMZ To Intranet吧 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按DMZ--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按内部--按添加--按关闭 接着下一步
在网络关系里面选择网络地址转换(NAT) 接着下一步
这是最后一步了 按完成 记得在ISA服务器管理里面按一下应用
如果你不想再新建一条网络规则的话也可以对着DMZ To Internet这条网络规则右键选择属性 按目标网络--按添加--展开网络--按内部--按添加--按关闭 按确定 最后在ISA服务器管理里面按一下应用就可以了
我现在来新建一条访问规则允许ISA服务器能够访问DMZ Internet Intranet 对着防火墙策略(ISASERVER2004)右键--按新建--选择访问规则--访问规则名称就叫做Allow Local To DMZ & Internet & Intranet吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面选择所有出站通讯 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按本地主机--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--把DMZ 内部 外部都添加在里面--按关闭 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成
如果你想DMZ 内部 外部能够Ping通ISA服务器的话就需要编辑系统策略了 对着防火墙策略(ISASERVER2004)右键--选择编辑系统策略--在远程管理里面按ICMP(Ping)--按从--在此规则应用于来自这些源的通讯里面按添加--展开网络--把DMZ 内部 外部都添加在里面--按关闭 按确定 这样DMZ 内部 外部就能够Ping通ISA服务器了 记得在ISA服务器管理里面按一下应用
怎么样发布DMZ区的服务器让Internet的计算机能够访问呢? 对着防火墙策略(ISASERVER2004)右键--按新建--选择Web服务器发布规则--Web发布规则名称就叫做Publish DMZ Web Server To Internet吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在计算机名称或IP地址里面输入DMZ的那台服务器的IP地址(172.16.1.2)--把转发原始主机头而不是上面指定的值沟上--在路径里面输入/* -->代表所有 注意: DMZ的那台服务器的默认网关一定要指向ISA服务器连接DMZ区的那块网卡的IP地址 接着下一步
在公共名称里面输入 www.dmz.com 注意: 这个前提是Internet的计算机能够在Internet的DNS服务器解析到 www.dmz.com
在Web侦听器里面按新建--Web侦听器名称就叫做DMZ HTTP吧 接着下一步
在侦听来自这些网络的请求里面把外部沟上--按地址--在下列地址上侦听里面选择在此网络上选择的IP地址--把100.100.100.3添加在选择的IP地址里面 按确定 接着下一步
在端口指定里面保留默认值(沟上启用HTTP) 接着下一步
按完成 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用 这样就把DMZ区里面的Web服务器发布到Internet了
我再把DMZ区里面的FTP服务器发布到Internet 对着防火墙策略右键--按新建--选择服务器发布规则--服务器发布规则名称就叫做Publish DMZ FTP Server To Internet吧 接着下一步
在服务器IP地址里面输入172.16.1.2(DMZ区里面的那台FTP服务器的IP地址) 接着下一步
在选择的协议里面选择FTP服务器 接着下一步
在侦听来自这些网络的请求里面把外部沟上--按地址--在下列地址上侦听里面选择在此网络上选择的IP地址--把100.100.100.3添加在选择的IP地址里面 按确定 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
这里顺便说一下 在通讯那一项是有几项可以修改的 对着Publish DMZ FTP Server To Internet这条服务器发布规则右键--选择属性--按通讯--按筛选--按配置FTP--把只读的沟去掉 这样就能够上传东西了 另外如果你想保密一点就把防火墙端口修改掉 按端口--我把在此端口而不是默认端口上发布里面修改成2121 这样发布出去的端口就是2121了 但是对于内部的FTP服务器还是21端口 我把只读去掉 端口修改成2121 按确定 在ISA服务器管理里面按一下应用
我现在来到一台公网的计算机 它的计算机名称叫做Internetwebserver 在命令提示符里面输入ping www.dmz.com 按回车键 可以看到已经可以Ping通了 打开IE浏览器--在地址里面输入 www.dmz.com 按回车键 看到了吗? 现在已经可以访问到DMZ区里面的那台Web服务器的网站了 按default.html--可以看到我在网站里面输入的内容-->This is the DMZ web site!
打开IE浏览器--在地址里面输入 ftp://ftp.dmz.com:2121 按回车键 可以看到也能访问到DMZ区里面的FTP服务器的文件了 双击 ftp.dmz.com.txt 这个文本文档可以看到我在里面输入的内容了-->This is the DMZ FTP Server 对着空白处右键--按新建--按文件夹--可以看到也能上传文件了 在右下角可以看到是使用匿名的方式访问的
我现在创建一条访问规则来允许DMZ和企业内部能够访问到Internet 对着防火墙策略(ISASERVER2004)右键--按新建--选择访问规则--访问规则名称就叫做Allow DMZ & Intranet To Internet吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面选择所选的协议--按添加--把DNS FTP HTTP HTTPS Ping都添加在里面--按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--把DMZ 内部都添加在里面--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我已经在Internetwebserver这台计算机上做了一个Web服务器并且添加DNS正向查找区域(Internet.com)了 另外还做了一个FTP站点叫做 ftp.internet.com 和用主机头做了一个网站叫做 www.internet.com -->可以看到主机(A)的IP地址都是100.100.100.2 这表示是公网上的一台Web服务器和FTP服务器
我现在到一台计算机名称叫做DMZ-Server的计算机来测试一下 打开IE浏览器--输入 http://www.internet.com/ 按回车键 看到了吧? 可以打开位于Internet的那台计算机的网站了 按default.html--可以看到我在网站里面输入的内容了-->This is an Internet Web Site!
打开IE浏览器--在地址里面输入 ftp://ftp.internet.com/ 按回车键 看到了吗? 可以访问到位于Internet的那台计算机的FTP站点的内容了--双击default.html--可以看到我在里面输入的内容了-->This is an Internet FTP Site! 在右下角可以看到是使用匿名的方式访问的
我现在来到一台计算机名称叫做london的计算机 它是一台GC+Exchange服务器 它是企业内部的一台计算机 打开IE浏览器--输入 http://www.internet.com/ 按回车键 看到了吧? 也可以打开位于Internet的那台计算机的网站了 按default.html--也可以看到我在网站里面输入的内容了-->This is an Internet Web Site!
我新建一条邮件服务器发布规则把企业内部的Exchange服务器的OWA发布出去 对着防火墙策略(ISASERVER2004)--按新建--选择邮件服务器发布规则--邮件服务器发布规则向导名称就叫做Publish Internet Exchange OWA Server吧 接着下一步
在选择访问类型里面选择Web客户端访问 接着下一步
在Web客户端邮件服务里面把Outlook Web Access沟上 接着下一步
我现在暂时不使用加密的方式进行连接--在桥接模式里面选择仅标准连接 接着下一步
在Web邮件服务器里面输入Exchange服务器的IP地址(192.168.1.2) 接着下一步
我已经在Internetwebserver那台计算机的DNS里面添加了一条叫做yejunsheng.com的正向查找区域并且新建了两条主机记录 一条叫做mail 一条叫做TS 它们的IP地址都是100.100.100.1
在公共名称里面输入mail.yejunsheng.com 接着下一步
在Web侦听器里面按新建--Web侦听器名称就叫做Intranet HTTP吧 接着下一步
在侦听来自这些网络的请求里面把外部沟上--按地址--在下列地址上侦听里面选择在此网络上选择的IP地址--把100.100.100.1添加在选择的IP地址里面 按确定 接着下一步
在端口指定里面保留默认值(沟上启用HTTP) 接着下一步
按完成 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我现在来到企业内部的那台Exchange服务器 打开IIS管理器--对着默认网站右键--选择属性--按网站--按高级--按编辑--在主机头值里面输入公网上的域名(mail.yejunsheng.com) 按确定
我顺便发布企业内部的一个终端服务器 比如说你还可以定期地在家里远程维护域控制器 对着防火墙策略(ISASERVER2004)右键--按新建--选择服务器发布规则--服务器发布规则名称就叫做Publish Intranet TS Server吧 接着下一步
在服务器IP地址里面输入企业内部域控制器的IP地址(192.168.1.2) 接着下一步
在选择的协议里面选择RDP(终端服务)服务器 接着下一步
在侦听来自这些网络的请求里面把外部沟上--按地址--在下列地址上侦听里面选择在此网络上选择的IP地址--把100.100.100.1添加在选择的IP地址里面 按确定 接着下一步
这是最后一步了 按完成
因为3389端口是共识的 基于安全地考滤我就把发布终端服务器的端口修改成9999吧 对着Publish Intranet TS Server右键--选择属性--按通讯--按端口 在此端口而不是默认端口上发布的里面输入9999 按确定 在ISA服务器管理里面按一下应用
我现在来到Internetwebserver这台计算机测试一下 打开IE浏览器--在地址里面输入 http://mail.yejunsheng.com/exchange 按回车键 输入用户名(Administrator)和密码 按确定 看到了吗? 可以看到Administrator的邮箱了
通过开始--程序--附件--通讯--选择远程桌面连接--在计算机里面输入ts.yejunsheng.com:9999 按连接
输入用户名(Administrator)和密码 按确定
看到了吗? 我可以在Internetwebserver这台计算机上远程控制企业内部那台域控制器了
我来新建一条访问规则允许DMZ访问到内部网络 对着防火墙策略(ISASERVER2004)右键--按新建--选择访问规则--访问规则名称就叫做Allow DMZ To Intranet(CIFS & HTTP & Ping)吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面选择所选的协议--按添加--把HTTP Microsoft CIFS(TCP) Ping这三种协议都添加在里面 按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按DMZ--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按内部--按添加--按关闭 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我再新建一条Web服务器发布规则把DMZ的Web服务器发布出去让企业内部计算机能够访问到 对着防火墙策略(ISASERVER2004)右键--按新建--选择Web服务器发布规则--Web发布规则名称就叫做Publish DMZ Web Server TO Intranet吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在计算机名称或IP地址里面输入DMZ区里面的那台Web服务器的IP地址(172.16.1.2)--把转发原始主机头而不是上面指定的值沟上--在路径里面输入/* 接着下一步
在公共名称里面输入 www.dmz.com 接着下一步
我已经在企业内部的那台GC+Exchange服务器上的DNS里面新建了一个叫做DMZ.com的正向查找区域并且新建一条主机记录了 IP地址是10.10.10.1(ISA服务器内部网卡的IP地址) 这样就可以解析到在DMZ区里面的Web服务器了
在Web侦听器里面按新建--Web侦听器名称就叫做HTTP吧 接着下一步
在侦听来自这些网络的请求里面把内部沟上--按地址--在下列地址上侦听里面选择在此网络上选择的IP地址--把10.10.10.1添加在选择的IP地址里面 按确定 接着下一步
在端口指定里面保留默认值(沟上启用HTTP) 接着下一步
按完成 接着下一步 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我来到DMZ区里面的那台叫做DMZ-Server的计算机测试一下 在命令提示符里面输入ping 192.168.1.2(企业内部的GC+Exchange服务器的IP地址)按回车键 可以看到能Ping通 TTL=126 为什么TTL=126呢? 因为它经过二跳 经过ISA服务器是一跳 经过后面的路由器又是一跳 每经过一跳TTL值就减一 通过开始--运行--输入 \\192.168.1.2 按确定 看到了吗? 现在DMZ区里面的那台计算机能访问到企业内部那台GC+Exchange服务器的资源了
我现在来到一台计算机名称叫做london的计算机 它是企业内部的一台GC+Exchange服务器 打开IE浏览器--在地址里面输入 http://www.dmz.com/ 按回车键 看到了吗? 可以访问到DMZ区里面的那台Web服务器的网站了--按default.html--可以看到我在Web服务器的网站里面输入的内容了-->This is the DMZ web site!