利用ISA
防火墙实现安全快速上网
本次接上回,上次咱们在
windows
域环境中部署了
ISA Server 2006,
安全性确实提高了,但也有点“太高了”,因为现在用户只能在局域网里活动,连最基本的上网服务都无法使用。
这次就来解决这个问题,
利用
ISA
防火墙策略及缓存实现用户安全快速上网。我们分两部分来说,第一部分先使用防火墙策略,把内网用户上网的问题解决了。第二部分再来优化部署加快访问速度,提高效率。下面是拓扑图:
可以看到基本上还是上次的图,
DMZ
区咱们先不看。后面说服务器发布时才会说到的。在外网上多了一台
web
服务器,主机名为:
www.IT.com IP
为
61.134.1.10/8
,(注意公网
DNS
我也做到这上面了)现在我们要做的就是能让内网用户通过域名的方式成功的访问
web
主机,并通过配置缓存加快其访问外网的速度。
下面开使实施:
第一部分:配置放火墙策略使内网用户能够访问Internet
1.
在
ISA
服务器管理的控制台中,选中防火墙,现在可以看到是空的,我们将要在这里添加访问策略。如图:
2.右击防火墙策略,选择新建然后选择访问规则。如图:
3.在弹出的新建访问规则向导中,键入访问规则的名称。我们这里因为是给内网用户访问
Internet
用的,所以我们键入一个名称“内网用户到
Internet
”来做一个标识。
4.
这里选择允许,就是说我们允许符合这个规则的对象去做什么。如果要拒绝某个对象,比如我们不让财务部的小财访问
Internet
。我们就可建一条拒绝的策略。
5.
现在是让我们选择协议。因为我们只有上网的需求,所以只须选择
DNS
、
HTTP
、
HTTPS
就可以了。如果要收发邮件或使用
FTP
啊其它什么的,就可以都添加进来就是了。有很多协议可以选。
6.
现在让我们选择访问规则源,也就是说从什么地方来的。我们这里就选择内部。因为我们现在是一个从内网到外网的访问过程。
7.
刚才是打哪儿来,现在是到哪儿去,当然是选择外部喽!如图:
8.
现在是让我们选择这个规则将会应用到哪些用户集,这里可以选择“所有通过身份验证的用户”、“系统和网络服务”、“所有用户”,咱这里选择所有用户,因为我们目的是让所有内网用户访问
Internet.
9.
好了现在这条策略就设置好了,应用一下点击确定就可以了。如图:
现在我们到客户机上来看看能否访问。我们用这台
IP
为
192.168.1.11/24
的内网用户测试一下。
看到下图,说明策略生效了,内网用户可以使用域名成功的访问
Web
主机。
注意:我这里用了一台
Linux
服务器模拟
web
服务器,并且安装了
DNS
。为了内网用户能够使用域名访问
Web
主机,还得在内网的
DNS
服务器(我这是和
DC
集成到一起的)上做转发器转到外网的
DNS
上。
现在上网的问题解决了,可能过不了多久就会有员工像你抱怨。上网速度太慢了,能否加快一点。这时我们可以通过启用
ISA Server
的缓存功能来实现这个需求。
第二部分:加快内网用户访问Internet
的速度
1.
在“
ISA
服务器管理”的控制台树中,单击“缓存”。然后在详细信息窗格中,选择“缓存驱动器”选项卡,位置如图所示:
2.
然后在缓存驱动器选项卡里选择要设置的驱动器,咱这里
C
盘是系统,那就用
D
盘吧,
把缓存大小设置为
2000MB
,单击设置,再确定就好了。
注意:缓存的大小要根据实际情况来设置
3.
现在可能会弹出一个警告对话框,我们选择第二项“保存更改,并重新启动服务”。点击确定之后,应用策略。
4
.现在到缓存规则选项卡中,点击任务栏中的“配置缓存设置”。如图:
5.
选择高级选项卡中的“在内存中缓存的
URL
的最大大小(字节)”的文本框,设置信息如图所示,还是比较好理解的,就不��嗦了啊!
设置完毕后我们到
D
盘下,会看到系统自动生成了一个用于存放缓存内容的数据库文件(注意这个文件是无法打开的)。
好了,经过这样一设置之后。内网用户访问
Internet
时速度会因为缓存而大大提高。内网用户会访问到实时的信息,因为缓存是动态更新的。
本次就说到这里吧!希望大家能活学活用,
ISA Server
策略非常的多,而且运用起来千变万化,但原理都是一样。只要始终记得从哪里来,到哪里去,使用什么协议、端口是拒绝还是允许就觉得很简单了。
下次将会看到利用
ISA Server 2006发布DMZ区中的Web服务器及邮件服务器。