ISA防火墙策略配置以及服务器的发布

1.企业和阵列
企业是一个逻辑概念,类似于Windows中的域,是企业管理模型在防火墙软件中的体现
阵列是一组ISA计算机的组合。阵列的所有成员共享相同的配置,可以简化对防火墙的管理 
网络结构
网络结构包括:本地主机网络、内部网络、外部网络。
本地主机网络:本地主机网络代表ISA Server计算机本身。内外网之间的所有通信都要经过本地主机网络。本地主机网络定义了一组IP地址,这组IP地址包括绑定到本地ISA Server计算机上网络适配器的所有 IP 地址和 127.0.0.1。例如,ISA Server有两个网卡,IP地址分别是192.168.2.65与61.139.0.5。那么,它的本地主机网络包括以上两个IP地址,同时还包括127.0.0.1。
内部网络:内部网络对应于公司内部要保护的网络,通常认为内部网络包含受信任的IP地址范围。在安装ISA Server 2006时,至少要配置一个默认内部网络,也可以指定多个其他内部网络。公司局域网内所有计算机都在内部网络中受到ISA Server的保护。
外部网络:ISA Server防火墙之外的网络就是外部网络。外部网络一般是指具有公用IP地址的Internet网络。在安装ISA Server时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(包括127.0.0.1)。
2.网络模板
为方便设置防火墙策略,ISA为用户提供5个预定义的网络模板
边缘防火墙:
公司ISA Server有两个网络连接,一个连接内部网络,另一个连接外部网络 
3向外围网络:
ISA Server连接内部网络、外部网络和外围网络的网络拓扑。外围网络即DMZ区域
前端防火墙
ISA Server连接外部网络和外围网络的拓扑,其作为前端防火墙,内部还有一个防火墙,配置在后端保护内部网络
后端防火墙
连接外围网络和内部网络的防火墙配置,用以保护内部网络,为后端防火墙
3.防火墙策略
防火墙策略由策略元素组成,用于指定防火墙规则的参数,ISA server允许创建多种策略元素,这些策略元素可以再不同的安全规则中重复使用。
ISA的策略元素包括: 
协议:
协议类型:TCP、UDP、ICMP或IP
方向:UDP包括“发送”、“接收”、“发送接收”或“接收发送”。TCP包括“入站”和“出站”。ICMP和IP包括“发送”和“发送接收”
端口范围:TCP和UDP的端口范围是1到65535之间
协议号:IP级别的协议是0到254之间的数
用户:
可以包括来自任何身份验证方案(机制)的一个或多个用户 
ISA Server预定义了以下用户:
所有经过认证的用户
所有用户
系统和网络服务
内容类型:
ISA可以根据已定义的规则检查数据包的内容,以便限制或过滤某些内容
计划:
时间计划用于设定时间范围,可以根据企业需求将一天24小时分成许多时段
ISA预定义时间计划元素:
周末(Weekends),包括星期六和星期天
工作时间(Work hours),包括从星期一到星期五的上午9:00到下午5:00
网络对象:
网络:网络是一定范围的IP地址
网络集:网络集包含一个或多个网络
计算机:一台计算机代表一个IP地址
地址范围、子网和计算机集:代表一定范围的IP地址
4.防火墙策略规则
网络规则
网络规则定义了网络拓扑及网络间如何连接   
网络地址转换(NAT):定义为这种连接类型时,ISA服务器将用自己外网卡的地址替换源数据包的地址,再发送到外网。当定义内部网络和外部网络之间的关系时,可以定义为NAT模式。
路由:这种连接类型允许源网络请求直接转发到目标网络,而且是双向的。例如,当网络A和网络B之间的连接类型为路由,则A网络可以直接访问B网络,同时,B网络也可以直接访问A网络。通常将内部网络和DMZ之间定义为“路由”模式。
访问规则
访问规则定义了用户如何访问网络,包括访问网络的协议、访问的时间、访问的内容等  
服务器发布规则
在ISA上可以建立Web、邮件、FTP、SharePoint及其他服务器的发布规则,使外网用户可以访问内网的这些服务器
5.防火墙访问规则的配置
防火墙策略规则的工作原理
当客户要访问Internet时,ISA首先检测网络规则。网络规则可以是路由或NAT ,检查网络规则后,ISA检查访问规则。只有访问规则中允许的协议才能通过,否则被拒绝,如果访问规则中没有定义任何协议,客户的访问也会被拒绝,如果ISA中设定了多个访问规则,前面的规则拒绝了某个协议,则此协议肯定被拒绝,无论后面的规则是否允许此协议通过。
发布服务器
将内部网络中的服务提供给外部网络用户访问的过程叫做“发布” ,发布内部网络中的服务后,ISA处理外部客户向内部提出的请求,并将请求转发给内部服务器
5.1.Web服务器发布
发布原理
发布位于ISA之后的Web服务器后,ISA将代表内部Web服务器接收请求。ISA上的Web发布规则将请求转发到内部Web服务器
发布方法
Web服务器的网关指向ISA的内网卡
Web服务器的DNS设为能解析Internet域名的DNS服务器
Web服务器的发布示例

配置DNS服务器
配置对外提供服务的DNS
在对外DNS中建立“WWW”主机记录,该主机的IP地址为ISA外网卡的地址。
配置对内提供服务的DNS
在对内DNS中建立“WWW”主机记录,该主机的IP地址为Web服务器的地址。
发布DNS服务器
创建策略“发布非web服务器协议”
发布内部网站
创建策略“发布网站”
测试
分别使用域名和IP地址访问网站。为保证可以使用IP地址访问网站,需要在ISA的“公共名称”处添加ISA外网卡的IP地址。(如果不成功,多数为DNS配置不正确。还可能是测试计算机中缓存有旧的DNS记录,这时可以使用ipconfig/flushdns命令清除DNS缓存,再重新测试。)
5.2.邮件服务器发布
ISA提供了发布邮件服务器的规则向导,邮件服务器通过SMTP、POP、MAPI、IMAP4等协议提供服务。发布位于ISA之后的邮件服务器后,会允许上述协议通过防火墙
邮件服务器发布
建立Exchange 2007邮件服务器
安装和配置Exchange 2007,确保内网用户可以使用Outlook访问邮件服务器,收发邮件 
建立邮件服务器发布规则
创建策略“发布邮件服务器”
验证邮件服务器发布
正常收发邮件,在Outlook Express中必须启用SSL
5.3.其他服务器发布
除了可以发布Web和邮件服务之外,ISA还可以发布其他服务器,如FTP服务器
以以上案例
建立FTP服务器
使用Serv_U建立FTP服务器
建立两个FTP帐号:Admin和User1。Admin拥有向FTP服务器上传数据的权限。User1只能从FTP服务器下载数据,不能上传数据。
配置DNS服务器
分别在DNS Server1和DNS Server2中建立ftp.qq.com主机记录,使用户可以使用该主机名访问FTP服务器。
发布FTP服务器
创建策略“发布非web服务器协议”(ISA Server默认发布的是使用标准FTP端口(20和21端口)的FTP服务器,如果要发布非标准端口的FTP服务器,需要自定义协议及端口。)
开放FTP上传功能
修改属性中的“通讯”——“筛选”
访问FTP服务器
使用ftp://ftp.qq.com访问FTP服务器
使用ftp://202.204.6.1访问FTP服务器

转载于:https://blog.51cto.com/xiaozhuang/911435

ISA防火墙策略配置以及服务器的发布相关推荐

  1. ISA防火墙策略配置/服务器发布

    本文主要讲解了,ISA防火墙策略配置,发布内部Web/mail服务器,发布Exchange SSL OWA网站. 防火墙策略 策略元素 策略元素:每条防火墙策略都是由一些"零件"组 ...

  2. 深入剖析ISA防火墙策略执行过程

    深入剖析ISA防火墙策略执行过程 很多初次接触ISA的管理员,经常会发现自己的管理意图没有得到贯彻.自己明明禁止用户使用QQ聊天,可你看这个老兄正在和多个MM聊得热火朝天;早就禁止在上班时间访问游戏网 ...

  3. 华为防火墙ftp_华为防火墙如何配置ftp服务器映射到外网

    华为防火墙如何配置ftp服务器映射到外网 一. 要求: 公司搭建一台ftp服务器,需要映射到外网,供供应商上传文件. 但公司出口线路只有一条ADSL,IP地址是自动获取,随时会变化. 因此,需要申请一 ...

  4. Centos 7_防火墙策略配置

    Centos 7防火墙策略配置指南 -- 清听凌雪慕忆 文章目录 1. 开启防火墙 1.1 user切换到root用户 1.2 查看防火墙服务状态 1.3 查看firewall的状态 1.4 启动/关 ...

  5. ISA防火墙之利用WINS服务器实现WPAD

      上篇我们介绍了如何利用ISA服务器和DHCP服务器实现WPAD.实现WPAD一般都是用DHCP,但是也可以用DNS和WINS服务器来实现,今天我们就来用ISA服务器和WINS服务器实现它 < ...

  6. 如何配置web服务器及发布网页

    配置服务器首先得有一台服务器,我选择的是腾讯云,因为新用户可以免费体验15天,体验完再选择是否购买是不错的选择. 腾讯云体验链接:https://cloud.tencent.com/freetier( ...

  7. linux防火墙策略配置、查看操作实例

    1.查看已经开放的端口 firewall-cmd --list-ports 查看配置信息 firewall-cmd --list-all 2.开启/移除指定协议的端口 开放端口 firewall-cm ...

  8. keepalived的防火墙策略配置

    指定keepalived配置的网卡:enp0s3,固定的VRRP广播地址:224.0.0.18 firewall-cmd --direct --permanent --add-rule ipv4 fi ...

  9. ISA防火墙的默认系统策略和防火墙设置

    核心提示:内容概要:Tom在这篇文章中对ISA防火墙的系统策略的设置进行了详尽的说明,并且给出了推荐配置.除此之外,还介绍了ISA防火墙的其他的默认配置,对你理解ISA防火墙的初始配置和系统策略有很好 ...

  10. 防火墙DNS功能在配置防火墙策略中的应用

    随着云计算.大数据.AI等新兴技术的兴起,多活数据中心之间互相切换,保证业务100%稳定.许多数据中心都做到了多活,多活之间就导致业务地址可以在多个数据中心之间切换,今天是A地址,明天就是B地址,所以 ...

最新文章

  1. 姿态估计开源项目汇总
  2. IHttpHandler的学习(0)
  3. C#关闭一个窗口的同时打开另一个窗口
  4. SQLiteOpenHelper简介
  5. 【交互】【随机】Lost Root(CF1061F)
  6. Elasticsearch SQL插件
  7. 矩阵快速幂的学习(系统的学习)
  8. Android小知识10则(下)
  9. if和else同时执行_为什么大量的if else这么不受待见?怎么“干掉”它?
  10. execute与executeUpdate的区别
  11. 你所不知道的 CSS 滤镜技巧与细节
  12. linux mysql 升级_linux mysql5.7升级到mysql8.0
  13. 英特尔nuc能代替主机吗_拆了拆了!Intel NUC装机!小机箱退烧器啊!主机显示器合体...
  14. 微电子专业想投身数字IC设计方向,在硕士阶段应该怎么学习?
  15. ansible-playbook 远程启动程序ansible结束后程序也被关闭
  16. 酬乐天扬州初逢席上见赠 唐 · 刘禹锡
  17. littlefs系列:Technical Specification
  18. 如何降低自动化维护成本?
  19. Android图片加载框架最全解析(八),带你全面了解Glide 4的用法
  20. Prometheus监控告警搭建(一)

热门文章

  1. 阿里云智能技术战略架构师陈绪:透视2019云计算酣战
  2. java 中rest,Java中的REST调用
  3. Python内存优化,节省内存字典ConstDict
  4. 运维小知识---If you insist running as root, then set the environment variable RUN_AS_USER=root...
  5. 操蛋 京东 配电脑 自助装机 严重问题
  6. 随着无人机将承担更多的作战任务,“AI辅助空战”或将应运而生
  7. 离线数据开发之任务调度系统
  8. mysql的四大常用语句_SQL四大基本语句
  9. VLAN与三层交换机
  10. hihoder 1048