利用ISA防火墙发布企业安全的网站服务器

利用ISA防火墙发布企业安全的网站服务器

扩扑图如下：

这是在虚拟机环境下搭建的

一、在Florence虚拟机上安装ISA防火墙

1、 安装要求：至少有两块网卡，而且80和8080端口不能被占用。

2、 安装步骤：

A、首先网卡指向，如下图

B、检查一下80和8080端口是否被占用

C、将ISA2004放入虚拟机中（这里用的是ISA的2004版本），然后如下图片所示进行安装即可：

说明：选择自定义安装，到里后将“防火墙客户端安装共享”下的“这项功能及其所有子功能都会被安装到本地硬盘上”选上

说明：点击“添加”

说明：点击“选择网卡”进入下图：

说明：去掉“添加下列专用范围…”前面的勾

选择上内网端的IP即（10.10.10.1）

到这里ISA2004已经安装完成。

D、检查看8080端口出来没有，如下：

3、 运行ISA：开始 �D�D 程序 �D�D Microsoft ISA Server �D�D ISA服务器管理。

打开后看下监视，检测ISA安装是否正常，如下图

4、 新建访问规则“允许本地主机访问外网”，如下图：

5、 新建访问规则“允许内网访问外网”，如下图：

二、发布内网Perth上的Web网站

1、 在C盘下创建libotao文件夹，里面放入default.htm文件（此文件名不能改）

2、 打开IIS，在网站下，停止“默认网站”，然后新建libotao站点。说明：还可以用Apache

测试：

三、在Florence上发布Perth上的Web服务器，如下：

右击“防火墙策略”�D�D新建�D�DWeb服务器发布规则�D�D发布名称�D�D允许�D�D定义要发布的网站（IP地址：10.10.10.2）�D�D任何域名�D�D侦听80，如下图：

说明：10.10.10.2为要发布网站的虚拟机上的IP ，这里有个错误，下面的“转发原始主机头。。。”得勾上

物理机上测试结果：

四、在Istanbul上建立DNS服务器

1、 在Perth虚拟机上，添加主机头，如下所示：

2、 在Istanbul上安装上DNS服务器，有如下操作：

说明：安装DNS（在windows组件中）

说明：打开DNS，在正向查找区域中新建区域

说明：修改“起始授权机构”下的“主服务器”�D�DIstanbul.libotao.com,

“名称服务器”下�D�DIstanbul.libotao.com �D�D 10.10.10.3(这是DNS服务器虚拟机上的IP，即Istanbul的IP)

新建一个A记录 �D�D www.libotao.com �D�D 192.168.0.101

这里在客户机Berlin上的测试结果

3、 在Florence虚拟机上新建服务器发布规则

防火墙策略 �D�D 新建 �D�D 服务器发布规则 �D�D 服务器发布名称（发布Istanbul上的DNS）�D�D 服务器IP地址（10.10.10.3）即DNS服务器虚拟机上的IP �D�D 选择协议（DNS服务器）�D�DIP地址（外部）�D�D应用

五、用https来访问

1、 在Perth上搭建一个SSL网站

前提：在Perth上创建一个CA服务器：

控制面板�D�D添加或删除组件�D�D证书服务�D�D独立根�D�DLIBOTAOCA。如下图：

说明：安装证书服务（在windows组件中）

说明：安装后的查看结果

说明：右击libotao站点－－属性�D�D目录安全性�D�D服务器证书

说明：这里的公用名称不能错（填网站的域名）

说明：在浏览器地址中输入10.10.10.2/crtsrc,进入后点击“申请一个证书

说明：点击“使用base64编码的CMC…

说明：将“certreq.txt”中的全部内容复制到过来后点击提交

完成证书挂起。

说明：颁布证书，开始�D�D程序�D�D管理工具�D�D证书颁布机构

说明：挂起的申请�D�D右击证书�D�D所有任务�D�D颁布

说明：10.10.10.2/certsrv进入后，选择“看挂起的证书申请的状态”

说明：选择“下载证书

保存完成。

说明：进入“服务器证书

说明：选择“处理挂起的请求并安装证书”

说明：修改hosts文件，做测试

2、 将网站证书导到ISA上

将导出的网站的证书（在Perth上）复制到ISA上（即Florence上），可用的方法有：在运行中输入 \\10.10.10.2\$c或直接复制过去。步骤：运行�D�Dmmc�D�D文件�D�D添加或删除管理单元�D�D添加�D�D证书�D�D计算机账户�D�D本地计算机，如下图：

说明：进入“管理控制台

右击证书下的“个人”�D�D所有任务�D�D导入�D�Dperth_w3svc21067-8328_cert.pfx�D�D123�D�D证书存储（个人），如下：

做一个“ISA访问内网”的访问规则，如下

3、 将CA证书导到ISA上

在Florence上，浏览器地址中输入10.10.10.2\certsrv

说明：选择“下载一个CA证书…”

说明：选择“下载CA证书”

保存到C盘。

导入受信任的证书：受信任的证书�D�D证书�D�D所有任务�D�D导入�D�Dcertnew.cer�D�D证书存储

4、 发布https

防火墙策略�D�D安全Web服务器发布规则�D�D发布perth上的https�D�Dssl桥�D�D允许�D�D加密到客户端和Web服务器的连接�D�Dwww.libotao.com(只能用域名),修改hosts文件10.10.10.2 www.libotao.com �D�D勾上（“转发原始主机头…”）�D�D公共名称： www.libotao.com �D�D侦听443，如下图：

5、 客户端测试：将CA证书导到客户端（在Berlin虚拟机上）

到这实验全部完成。