isa防火墻如何配置
isa防火墻要怎么樣去配置,才能更好的使用呢?下面由學習啦小編給你做出詳細的isa防火墻配置介紹!希望對你有幫助!
isa防火墻配置一:
配置ISA Server網絡環境
網絡環境中是否有必要安裝ISA、是否可以安裝ISA、安裝前ISA保護的內部網絡中的客戶如何進行配置、安裝后的訪問規則如何設置等問題,本文將具體闡述一下。 文章導讀 1、ISA server概述 2、邊緣防火墻模型 3、單網絡與多網絡模型
ISA Server 2004是目前世界上最好的路由級軟件防火墻,它可以讓你的企業內部網絡安全、快速的連接到Internet,性能可以和硬件防火墻媲美,并且深層次的應用層識別功能是目前很多基于包過濾的硬件防火墻都不具備的。
你可以在網絡的任何地方,如兩個或多個網絡的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、單個主機上配置ISA Server 2004來對你的網絡或主機進行防護。
ISA Server 2004對于安裝的要求非常低,可以說,目前的服務器對于ISA Server 2004的硬件系統需求都是綽綽有余的。
ISA Server作為一個路由級的軟件防火墻,要求管理員要熟悉網絡中的路由設置、TCP/IP設置、代理設置等等,它并不像其他單機防火墻一樣,只需安裝一下就可以很好的使用。在安裝ISA Server時,你需要對你內部網絡中的路由及TCP/IP設置進行預先的規劃和配置,這樣才能做到安裝ISA Server后即可很容易的使用,而不會出現客戶不能訪問外部網絡的問題。
再談談對在單機上安裝ISA Server 2004的看法。ISA Server 2004可以安裝在單網絡適配器計算機上,它將會自動配置為Cache only的防火墻,同時,通過ISA Server 2004強大的IDS和應用層識別機制,對本機提供了很好的防護。但是,ISA Server 2004的核心是多網絡,它最適合的配置環境是作為網絡邊緣的防火墻;并且作為單機防火墻,它太過于龐大了,這樣會為服務器帶來不必要的性能消耗。
所以,我不推薦在單機上安裝ISA Server 2004。對于單機防火墻,我推薦Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等,它們都是非常好的單機防火墻。不過對于需要提供服務的主機,最好安裝Zonealarm或者Blackice,SPF Pro因為太過于強大,反而不適合作為服務器使用。對于基于IIS的Web服務器,你還可以安裝IISLockdown和UrlScan工具,這樣就可以做到比較安全了。對于單網絡適配器的ISA Server,我會在后面的實例中介紹。
至于安裝ISA Server前內部的客戶如何進行配置,我以幾個實例來進行介紹:
1、邊緣防火墻模型
如下圖,ISA Server 2004上安裝有兩個網絡適配器,它作為邊緣防火墻,讓內部客戶安全快速的連接到Internet,內部的Lan我以192.168.0.0/24為例,不考慮接入Internet的方式(撥號或固定IP均可)。
ISA Server 2004上的內部網絡適配器作為內部客戶的默認網關,根據慣例,它的IP地址要么設置為子網最前的IP(如192.168.0.1),或者設置為最末的IP(192.168.0.254),在此我設置為192.168.0.1;對于DNS服務器,只要內部網絡中沒有域,那么內部可以不建立DNS服務器,不過推薦你建立。在此例中,我們假設外部網卡(或撥號連接)上已經設置了DNS服務器,所以我們在此不設置DNS服務器的IP地址;還有默認網關,內部網卡上切忌不要設置默認網關,因為Windows主機同時只能使用一個默認網關,如果在外部和內部網絡適配器上都設置了默認網關,那么ISA Server可能會出現路由錯誤。
接下來是客戶機的TCP/IP設置和代理設置。SNAT客戶和Web代理客戶有些區別,防火墻客戶兼容SNAT客戶和Web代理客戶的設置。在身份驗證不是必需的情況下,請盡量考慮使用SNAT客戶,因為它是標準的網絡路由,兼容性是最好的。
SNAT客戶的TCP/IP配置要求:
必須和ISA Server的內部接口在同個子網;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
配置ISA Server的內部接口為默認網關;此時默認網關是192.168.0.1;
DNS根據你的網絡環境來設置,可以使用ISP的DNS服務器或者你自己在內部建立一臺DNS服務器;但是,DNS服務器是必需的。
Web代理客戶和SNAT客戶相比,則要復雜一些:
IP地址必須和ISA Server的內部接口位于同個子網;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
默認網關和DNS服務器地址都可以不配置;
必須在IE的代理屬性中配置ISA Server的代理,默認是內部接口的8080端口,在此是192.168.0.1:8080;
對于其他需要訪問網絡的程序,必須設置HTTP代理(ISA Server),否則是不能訪問網絡;
至于關閉SNAT客戶的訪問,在ISA Server的訪問規則中不要允許所有用戶訪問,改為所有通過驗證的用戶即可。
防火墻客戶默認會配置IE為web代理客戶,然后對其他不能使用代理的Winsock應用程序進行轉換,然后轉發到所連接的ISA防火墻。對于防火墻客戶,你最好先按照SNAT客戶進行設置,然后安裝防火墻客戶端,安裝防火墻客戶端后它會自動配置客戶為Web代理客戶。
在安裝ISA Server時,內部網絡配置為192.168.0.0/24。安裝好后,你可以根據你的需要,自行配置訪問規則。ISA Server中帶了五個網絡模型的模板,可以讓你只是點幾下鼠標就可以設置好訪問規則,但是希望你能手動設置規則,這樣可以讓你有更深的認識。
下圖中是一種特殊的情況,在內部網絡中還有其他子網的內部客戶。此時,你首先得將這些子網的地址包含在ISA Server的內部網絡中,然后在ISA Server上配置到這些子網的路由,其他的就和單內部網絡的配置一致了。
2、多網絡模型中的邊緣防火墻
如下圖,我只是簡單的設計了一個三周長的多網絡模型。ISA Server 2004是專為多網絡而設計的,所以,對于這種環境,配置起來非常得心應手。
在這種環境中,LAN(192.168.0.0)的客戶和ISA Server上連接LAN的網絡適配器,按照上面的方法進行配置,在此我重點給大家講解一下DMZ網絡的配置。
DMZ中的客戶以及ISA Server上連接DMZ網絡的網絡適配器,也按照上面的辦法進行配置,但是,對于DMZ中的服務器,請配置為SNAT客戶,這樣可以得到最好的性能,配置為Web代理客戶可能會讓它不能正常工作,配置為防火墻客戶會導致它性能的降低。
在安裝ISA Server時,內部網絡只是選擇192.168.0.0,安裝好后,在ISA管理控制臺的配置的網絡中,新建一個DMZ網絡,選擇172.16.0.0網段。另外對于多網絡,你還需要設置網絡規則。另外你利用ISA Server自帶的三周長網絡模板就可以很方便的實現DMZ網絡的配置。其他訪問則根據你的需要來自行設置。
3、單網絡適配器的環境
如下圖,ISA Server 2004安裝在一臺只有一個網絡適配器的Internet主機上,此時,ISA Server將自動配置為Cache only的防火墻,可以用做Web代理、緩存、Web發布、OWA發布等等,由于ISA Server 2004強大的IDS系統,它也可以為主機提供非常強大的保護。關于在這種環境下如何發布ISA Server上的Web服務。
在單網卡網絡適配器環境下安裝ISA Server的時候,會自動在內部網絡中包含所有的IP地址,所以在你建立訪問規則時,一定要注意允許內部訪問本地主機和允許本地主機訪問內部(此時,外部網絡已經沒有實際作用了)。同樣的,通過ISA Server自帶的單一網絡適配器模板,你也可以很輕松的完成單網絡適配器模型的ISA Server 2004的配置。
isa防火墻配置二:
防火墻策略->右鍵->新建->訪問規則->允許,所選擇協議,HTTP,源自:內部,目標:新建URL,把網站放在URL中;
刪除其他訪問規則,只留最后一打默認規則
看了“ isa防火墻如何配置”文章的還看了:
4.如何學習網絡安全