上一篇博文中我们一起研究了ISA防火墙的安装和部署,分析了ISA的网络结构,分为本地主机网络,内部网络和外部网络。并深入研究了不同环境下使用不同的网络结构,利用单网卡,双网卡,和背靠背三种结构解决不同的企业网络的需求。在应用ISA防火墙的时候,我们注重应用企业和阵列两种管理方法。企业包含阵列,阵列中包含多个ISA防火墙。也就是说,我们通过阵列管理内部网络的多台ISA防火墙,而通过企业管理其中包含的多个阵列。在这些网络环境中,除了我们前一章所描述的双网卡和三网卡形式的防火墙,还是加入了背靠背网络中的前端防火墙和后端防火墙。
在上一章我们还提到了关于ISA防火墙可以隐藏内部网络结构,如果说我们通过ISA防火墙隐藏了内部的服务器,那么internet网络中的用户又如何来访问我们的web,ftp等服务器呢?在一章中我们都会进行细致的讲解。
ISA防火墙属于应用层的防火墙,它会通过协议,用户,内容类型,计划,网络对象五种元素对出站和入站的数据包进行过滤。下面我们通过发布内部服务器来描述这些内容。
ISA防火墙属于应用层的防火墙,它会通过协议,用户,内容类型,计划,网络对象五种元素对出站和入站的数据包进行过滤。下面我们通过发布内部服务器来描述这些内容。
实验环境:我们使用一台ISA防火墙,一台内网中的集WEB,DNS,Exchange服务一身的2003来实现。使用一台2003作为internet的用户。
首先,因为实验环境没有根域服务器的支持,也不会为internet的用户对域名进行解析,所以我们修改internet客户机的hosts文件,在其中添加我们需要使用的域名,通过hosts文件进行解析。
在我们描述规则之前,进行一下出站和入站的描述,往往有很多人将出站和出混淆,其实不是,比如,如果我们向外部发送请求,而我们发送的请求能进行回复,这是出站,而我们发送请求能够出去,反馈的请求不能接收,那么这就是单纯的出入了。
我们使用Web服务器的发布来完成实验,在计算机上装入ISA,在另一台机器上装上IIS。然后我们需要配置两台DNS来实现外部和内部的解析,因为我们已经修改了外部客户机的hosts文件,所以只需要配置内部的DNS,在DNS上创建一条A记录,指向我们的Web服务器。
进行设置了以后我们看看internet的客户端是否能够PING通www.benet.com.cn
在WEB服务器上创建网站首页后,我们就可以在ISA进行发布规则的设置了。
通过以上路径我们就能找到我们的发布向导了。
选择允许的规则,建立发布单个网站,并且使用不安全的网站连接。
在内部发布详细信息中添加正确的域名和IP地址。
注意,这里我们需要填写域名和IP地址的都需要正确填写,而路径我们可以选择不填。
在下一步之后需要创建一个新的监听器,监听对象为外部。
内部网络访问服务器不需要通过ISA,不然会造成慢和ISA负担过重的情况。所以这里只监听外部。而Internet上的用户访问服务器不需要输入用户密码,所以下一步之后我们选择不需要身份验证。
下一步之后我们就创建好了,对其规则进行应用。
之后我们就可以进行测试了,利用internet的客户端进行网页访问。
本文转自 郑伟 51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/313606
