防火墙策略的组成与配置拨号连接

1、31 防防火墙策策略的组组成在ISAA服务器器安装成成功后，其防火火墙策略略默认为为禁止所所有内外外通讯，所以我我们需要要在服务务器上建建立相应应的防火火墙策略略，以使使内外通通讯成功功。在本本章，我我们将介介绍ISA的基本本配置，使内部部的所有有用户无无限制的的访问外外部网络络。在ISAA Seerveer 220044中，防防火墙策策略是由由网络规规则、访访问规则则和服务务器发布布规则三三者的共共同组成成。网络规则则：定义义了不同同网络间间能否进进行通讯讯、以及知用何何各方式式进行通通讯。访问规则则：则定定义了内内、外网网的进行行通讯的的具体细细节。服务器发发布规则则：定义义了如何何让用户

2、户访问服服务器。3.1.1网络络规则ISA220044通过网网络规则则来定义义并描述述网络拓拓扑，其其描述了了两个网网络实体体之间是是否存在在连接，以及定定义如何何进行连连接。相相对于ISAA20000，可以以说网络络规则是是ISAA Seerveer 220044中的一一个很大大的进步步，它没没有了ISAA Seerveer 220000只有一一个LAT表的限限制，可可以很好好的支持持多网络络的复杂杂环境。在ISAA20004的网络络规则中中定义的的网络连连接的方方式有：路由和和网络地址转换换。3.1.1.11路由路由是指指相互连连接起来来的网络络之间进进行路径径寻找和和转发数数据包的的过程

3、，由于ISA与Winndowws 220000 Seerveer和Winndowws SServver 20003路由和和远程访访问功能能的紧密密集成，使其具具有很强强的路由由功能。在ISAA20004中，当当指定这这种类型型的连接接时，来来自源网网络的客客户端请请求将被被直接转转发到目目标网络络，而无无须进行行地址的的转换。当需要要发布位位于DMZ网络中中的服务务器时，我们可可以配置置相应的的路由网网络规则则。需要注意意的是，路由网网络关系系是双向向的。如如果定义义了从网网络 A到网网络 B的路路由关系系，那么么从网络B到网络 A也同同样存在在着路由由关系，这同我我们在进进行硬件件或软件件路

4、由器器配置的的原理相相同。3.1.1.22网络地地址转换换（NAT）NAT即即网络地地址转换换（Nettworrk AAddrresss Trransslattor），在Winndowws 220000 Seerveer和Winndowws sservver 20003中，NAT是其IP路由的的一项重重要功能能。NAT方式也也称之为为Intternnet的路由由连接，通过它它在局域域网和Intternnet主机间间转发数数据包从从而实现现Intternnet的共享享。ISAA20004由于同Winndowws 220000 Seerveer和Winndowws sservver 20003的路

5、由由和远程程访问功功能集成成，所以以支持NAT的的连连接类型型。当运行NNAT的计算算机从一一台内部部客户机机接收到到外出请请求数据据包时，它会把把信息包包的包头头换掉，把客户户机的内内部IP地址和和端口号号翻译成成NAT服务器器自己的的外部IP地址和和端口号号，然后后再将请请求包发发送给Intternnet上的目目标主机机。当NAT服务器器从Intternnet主机接接收到回回答信息息后，它它也会将将其包头头进行替替换，将将自己的的外部IP地址和和端口号号转换为为请求客客户机的的内部IP地址的的端口号号，然后后再把信信息包发发内网的的客户机机。当在ISSA20004中指定定了这促类型型的连接

6、接后， ISSA服务务器将用用它自己己的 IPP地址替替换源网网络中的的客户端端的 IPP地址。从而对对外隐藏藏了内部部管理的的IP，同时时也隐藏藏了内部部网络结结构，从从而降低低了内部部网络受受到攻击击的风险险，并可可减少了了IP地址址注册的的费用。需要注意意的是：NATT关系是是唯一的的和单向向的。如如果定义义了从网网络A到网络 B的 NAAT关系系，则不不会自动动定义从从 B到 A的网网络关系系。您可可以创建建定义双双向关系系的网络络规则，但是 ISSA服务务器将忽忽略有序序规则列列表中的的第二条条网络规规则。3.1.1.33默认网网络规则则在进行IISA220044的安装装时，系系统会

7、创建以下下默认规规则（如如图3-1所示）：本地主机机访问：此规则则定义了了在本地地主机网网络与其其他所有有网络之之间存在在的路由由关系。VPN客客户端到到内部网网络：此此规则指指定在两两个 VPPN客户户端网络络（.VPPN客户户端.和.被隔离离的 VPPN客户户端.）与内内部网络络之间存存在着路路由关系系。Inteerneet访问问：此规规则定义义了在内内部受保保护的网网络（如如内部、VPN客户端端等）与与外部网网络之间间存在的的 NAAT关系。3.1.2访问问规则访问规则则决定源源网络上上的客户户端如何何访问目目标网络络上的资资源。我我们可以以将访问问规则配配置为适适用于所所有 IPP通讯

8、、适用于于特定的的协议定定义集或或适用于于除所选选协议之之外的所所有 IPP通讯。也可以以在访问问规则中中对用户户访问进进行精确确的限定定。当客户端端使用特特定协议议请求对对象时，ISAA服务器器会在访访问规则则列表中中从上而而下地进进行检查查。只有有当某个个访问规规则明确确允许客客户端使使用特定定的协议议进行通通讯，并并且允许许访问请请求的对对象时才才处理请请求。在ISAA2004的安装装过程中中会自动动创建默默认的系系统策略略，其中中包含了了预配置置的、已已知协议议定义的的访问规规则列表表，其中中包括最最广泛使使用的 Innterrnett协议，以允许许ISA Serrverr 20004

9、服务器器能访问问它连接接到的网网络的特特定服务务。下图图显示的的是默认认系统策策略中的的内容。32 建建立允许许客户访访问Innterrnett的防火火墙策略在安装好好ISAA20004后，我们们需要建建立相应应的防火火墙访问问策略以以允许企企业内部部员工通通过ISA服务器器进行安安全的Intternnet访问。在本节节中，我我们将以以一个具具体的实实例让大大家体会会一下如如何利用用防火墙墙策略来来建立访访问规则则，以使使企业内内部的所所有客户户能访问问Intternnet的所有有服务。要完成这这个策略略的建立立，我们们需要完完成以下下工作：配置内部部的DNS服务器器。建立访问问策略。3.2.

10、1建立立内部的的DNS服务器器当用户用用域名在在访问Intternnet上的网网站时，需要外外部DNS为之进行行域名解解析；而而当企业业用户用用域名访访问公司司内部的的网络资资源时，需要内内部DNS进行域域名解析析。但如如果企业业用户既既要访问问企业内内部网站站，又要要访问Intternnet上的资资源时，DNS应怎样样进行设设置的。在这种种情况下下，我们们可以建建立企业业内部的的DNS服务器器，使之之可以解解析内部部域名，然后将将之设置置外部DNS的转发发器，当当内部用用户访问问资源时时，由内内部DNS服务器器将其请请求发给给外部DNS，从而而获得外外部资源源的域名名解析。3.2.1.11安

11、装内内部的DNS服务器器以管理员员身份登登录到需需要安装DNS的Winndowws服务器器上（可可以同ISA服务器器安装在在同一台台计算机机上，也也可以分分别在不不同的计计算机上上进行安安装），进行如如下过程程的安装装和配置置：1、打开开控制面面板下的的“添加/删除程程序”，单击“添加/删除Winndowws组件”。2、在WWinddowss组件向向导中双双击“网络服服务”，在出出现的对对话框中中选择“域名系系统（DNS）”，点击击【确定定】，再再点击【下一步步】按钮钮.，并按按向导要要求完成成DNS服务的的安装。3、在WWinddowss seerveer 220033的“管理工工具”中选择

12、“DNSS”，进入入DNSS管理控控制台，右键单单击服务务器，在在出的菜菜单中选择“属性”。4、在属属性对话话框中选选择“接口”选项卡卡，然后后添加内内部接口口地址。如图所所示。图 3-7 配配置DNNS内部部接口5、选择择“转发器”选项卡卡，先选选中上面面的“所有其其它DNNS域”，然后后在“所选域域的转发发器的IIP地址址列表”中添加加ISPP为你提提供的外外部DNNS服务务器的IIP地址址。如图图所示。6、单击击【确定定】按钮钮，完成成服务器器端DNSS的安装装和配置置。3.2.1.22客户端端的DNS配置客户端DDNS的配置置步骤如如下：1、登录录到客户户机上，在桌面面上用右右键单击击

13、“网上邻邻居”图标，在出现现的菜单单中选择择“属性”。2、在网网络连接接的属性性窗口中中，用右右键单击击“本地连连接”，在出出现的菜菜单中选选择“属性”，进入入到“本地连连接属性性”对话框框中。3、在“本地连连接属性性”页中选选中“Inteerneet协议议（TCCP/IIP）”，再点点击【属属性】按钮，在出现现的TCPP/IPP属性页页的“首选DNNS服务务器”中，输输入内部部DNSS服务器器的IPP地址，点击【确定】按钮，完成客客户端配配置。如如图所示示。3.2.2建立立访问策策略要使内部部用户通通过ISA服务器器访问Intternnet，必须须要建立访问问策略。在本例例中我们们需要建建立

14、两条条访问策策略：一一条访问问策略以以允许企企业用户户通过ISA服务器器访问Intternnet；另一一条策略略以允许许企业用用户访问问ISAASerrverr20004服务务器的DNS服务。3.2.2.11建立允允许所有有外出通通讯的访访问策略略建立访问问策略的的步骤如如下：1、打开开ISA管理控控制台，右键单单击“防火墙墙策略”，在出出现的菜菜单中选选择“新建”“访问规规则”。如图图所示。2、在新新建访问问规则向向导中，输入访访问规则则名称。如图所所示。图 3-12 输入规规则名称称3、在“规则操操作”对话框框中选择择“允许”，以便便允许通通讯的进进行。如如图所示示。图 3-13 配置规规

15、则操作作4、在“协议”对话框框中选择择“所有出出站通讯讯”，表示示可以访访问Intternnet上的所所有服务务。如图图所示。5、在“访问规规则源”对话框框中单击击【添加加】按钮钮。在出出现的“添加网网络实体体”对话框框中展开“网络”，选择“内部”（如要要允许ISA服务器器访问Intternnet，在则则可选“本地主主机”），然然后单击击【添加加】按钮钮，表示示所有的的通讯源源来自于于企业内内部。如如图所示示。6、在“访问规规则目标标”对话框框中单击击【添加加】按钮钮。在出出现的“添加网网络实体体”对话框框中展开开“网络”，选择“外部”，然后后点击【添加】按钮，表示要要访问网网络外部部的资源源

16、。7、在“用户集”对话框框中，采采用默认认的“所有用用户”，表示示内网的的所有用用户都可可以通过过ISA服务器器访问外外部的资资源。点点击【下下一步】按钮完完成策略略的建立立。3.2.2.22建立允允许客户户访问内内部DNS的访问问策略建立过程程如下：1、打开开ISA管理控控制台，右键单单击“防火墙墙策略”，在出出现的菜菜单中选选择“新建”“访问规规则”，在访访问规则则向导中中输入规规则名，这里我我们取名名为“访问ISA主机上上的DNS”。2、在规规则操作作中选择择“允许”，在此此规则应应用到选选项中选选择“所选择择的协议议”，然后后单击【添加】按钮，在“添加协协议”对话框框中展开“通用协协议

17、”，选择“DNS”，单击【添加】按钮，单击【关闭】按钮完完成协议议的设置置。如图图所示。3、在“访问规规则目标标”对话框框中单击击【添加加】按钮钮，在出出现的“添加网网络实体体”对话框框中展开开“网络”，然后后选择“本地主主机”，单击击【添加加】按钮钮，表示示要访问问ISA服务器器上的DNS服务4、根据据向导按按默认选选项完成成本访问问策略的的建立。3.2.2.33应用访问问策略为了使所所建立的的访问策策略生效效，须在在右边窗窗格中单单击【应应用】按按钮，以以保存修修改和更更新防火火墙策略略。防火策略略生效后后，你可可以在客客户机通通过ISA服务器器访问Intternnet上的所所有服务务，如

18、QQ、MSN等。33 配配置拨号号连接现在企业业访问互连网网很多都都是采用用ADSSL宽带拨拨号方式式，所以以在ISAA Seerveer 220044的服务务器中，需为通通过拨号号上网配配置相应应的拨号号连接。配置好好请求拨拨号后，无论何何时本地地网络上上的Web代理客客户端或或者是防防火墙客客户端请请求一个个远程主主机时，您的ISAA Seerveer计算机机能自动动启动拨拨号连接接。要完成IISA220044拨号上上网配置置，需要要先在拨拨号服务务器上进进行ADSSL拨号设设置，然然后在ISA服务器器上进行行拨号设设置。3.3.1建立立拨号服服务器的的拨号连连接ADSLL拨号的的方式有有很多种种，如ethhernnet、rassppppoe等，这这些拨号号方式需需要安装装相应的拨号号软件，而Winndowws SServver 20003内置置了宽带带拨号的的支持，按向导导一步一一步完成成配置，简单明明了。在在这里，我们就就以Winndowws sse