使用ISA Server 2006的DMZ区保护内网的服务器群

在大多数单位中,网络中的所有服务器通常接在核心交换机上,工作站通过接入层交换机接到核心交换机,服务器与工作站划分在不同的VLAN中,如图1所示。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
图1  一般单位服务器区所在位置
在图1的拓扑情况下,网络中的“路由器”(或者防火墙)可以阻止Internet的用户访问“服务器”,从而对服务器提供了一定的保护能力,但对于局域网来说,所有的工作站可以“直接”访问服务器,如果服务器没有及时打补丁或者存在某些漏洞,很容易被内网上的工作站***,这种***有时候并不是由使用工作站的用户发起的,而可能是这些工作站上感染了某些病毒或者***而“自动”形成的到内网服务器的***。另外,在大多数情况下,使用“路由器”提供到Internet的访问,性能与功能有限。
基于此,可以将图1改成图2的拓扑结构,并且用一台具有三块网卡的、已经安装ISA Server 2006的服务器代替原来的“路由器”,这台ISA Server的两块网卡设置与原来的“路由器”相同的IP地址,第三块网卡接入一个单独的交换机,网络中的服务器也接到这个单独的交换机上。假设:
在图1所示的网络中,划分了60个VLAN,分别从192.168.1.0~192.168.1.60.0,子网掩码都是255.255.255.0,服务器区使用了192.168.100.0/24,每个VLAN的网关地址都是254(例如192.168.1.0的网关地址是192.168.1.254)。路由器的内网地址是<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.10.10.20/24,路由器接三层交换机的端口地址是10.10.10.10/24。三层交换机上有一条静态路由:
ip route-static 0.0.0.0 0.0.0.0 10.10.10.20
在改造后,ISA Server内网的地址设置为10.10.10.20/24,在此块网卡上不添加网关地址(并将此网卡命名为“LAN”),外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与DNS地址(并将此网卡命名为“Internet”)。并且在该ISA Server的命令提示符下键入:
Route add –p 192.168.0.0 mask 255.255.192.0 10.10.10.10
这条命令的意义,添加192.168.0.0~192.168.63.0/24这64个网段的静态路由,包括了原来的60个VLAN的内部地址。
在该ISA Server上创建一条规则,允许“从内网到外部”,该规则允许“内网”中的计算机访问Internet,从而ISA Server完成了代替图1中“路由器”的功能。
图2  改造后网络
改造后“核心交换机”做如下的调试:
将图1中“服务器区”所在的VLAN的IP地址删除(在本例中,就是192.168.100.0/24),并且把所在VLAN删除;
在ISA Server上再添加一块网卡,将新添加网卡接到新添加的千兆交换机上,原来服务器上的网线接到该千兆交换机上。
在ISA Server上主要做以下的调试:
(1)将新添加的网卡重命名为“DMZ”,设置IP地址为192.168.100.254(就是在核心交换机中删除的那个VLAN端口的IP地址),设置子网掩码为255.255.255.0,不要设置网关地址。
(2)进入ISA Server 2006管理控制台,在“配置→网络”中,在右侧的任务窗格中,选中“模板”,单击“3向外围网络”,在“欢迎使用网络模板向导”中单击“下一步”按钮,如图3所示。
图3  使用3向外围网络
在“导出ISA服务器的配置”页中,单击“导出”按钮,在“导出”向导中单击“下一步”按钮,在“导出首选项”页中单击“下一步”按钮,在“导出文件位置”页中,选择导出的位置及导出的文件名,然后单击“下一步”按钮,在“正在完成导出向导”页中,单击“完成”按钮。
返回到“导出ISA服务器的配置”页,单击“下一步”按钮,在“内部 网络IP地址”页中,单击“添加适配器”按钮,添加名为“LAN”的网卡,如图4所示。
图4  选择内网网络
在“外围 网络IP地址”页中,单击“添加适配器”,选择名为“DMZ”的网卡,如图5所示。
图5  选择DMZ区
在“选择一个防火墙策略”页中,选择“阻止所有访问”,然后单击“下一步”按钮,如图6所示。
图6  阻止所有访问
在“正在完成网络模板向导”页中,单击“完成”按钮。
(3)导入策略:定位到“防火墙策略”中,用鼠标右键单击,从弹出的快捷菜单中选择“导入”,导入前面导出的策略,如果策略比较少,可以不导入策略,一会再重建所需要的策略也可。
(4)修改网络规则:在默认情况下,“外围”与“内部”的关系是“NAT”,“外围”与“外部”的关系是“路由”,如图7所示。在此,需要修改“外围”与“内部”的关系是“路由”,修改“外围”与“外部”的关系是“NAT”,如图8所示。
图7  网络规则
用鼠标双击“外围配置”,在弹出的“外围配置 属性”页中,在“网络关系”选项卡中,单击“路由”,然后单击“确定”按钮,如图8所示。
图8  修改网络规则
同样,双击图7中的“外围访问”,将“网络关系”修改为“网络地址转换(NAT)”,单击“确定”按钮。
然后,返回到“网络”项,确认“内部”、“外围”网络地址正确,如图9所示。在有的时候,修改了图7、图8中的网络规则后,内部与外围地址可能会发生改变。
图9  确认内部地址与外围地址正确
(5)在ISA Server上创建规则,允许“内部”到“外围”区,一般使用HTTP、SMTP、FTP、POP3、DMZ、HTTPS协议即可,这样包括了大多数的协议,如果你的服务器区使用了其他的协议,例如SQL Server、非默认的Web端口(例如TCP的81),则添加这些协议即可,如图10所示。
图10  创建规则
最后,单击“应用”按钮,让设置生效。
改造后,不需要修改服务器的地址,也不需要修改客户端访问服务器的地址,但工作站与服务器之间经过ISA Server进行保护,增强了网络的安全。如果需要让Internet上的用户访问DMZ区的服务器,创建到DMZ区的服务器发布规则即可,有关这些操作将不在介绍。
后记:这是一个真实的案例,为了保护原单位的信息,文中的IP地址已经做了改动,但不会影响读者的阅读。从理论上来说,改造后的网络,在“内部”访问服务器时速度要比原来略慢,因为与以前的网络相比,增加了防火墙。但在实际使用中,最终用户没有觉察到网络做了改变。在改造后到现在已经过了一段时间,用户的使用与以前相同。

使用ISA Server 2006的DMZ区保护内网的服务器群相关推荐

  1. 【转载】设置端口映射或DMZ主机---将内网web服务器映射入公网

    设置端口映射或DMZ主机---将内网web服务器映射入公网 原链接 https://blog.csdn.net/qq_31739317/article/details/75008375 总的来说,原理 ...

  2. Windows域环境下部署ISA Server 2006防火墙(二)

    利用ISA防火墙实现安全快速上网 本次接上回,上次咱们在windows域环境中部署了ISA Server 2006,安全性确实提高了,但也有点"太高了",因为现在用户只能在局域网里 ...

  3. ISA Server 2006的全自动无人职守安装

    ISA Server 2006的全自动无人职守安装 王春海 有些服务器,例如作为托管的服务器来说,把服务器放到托管机房后,所有对服务器的管理与操作都要通过远程控制来进行,如在服务器上安装一些软件.修改 ...

  4. 实用ISA Server 2006之一: 简介

    实用ISA Server 2006之一: 简介 参考了一些资料.有些朋友的文档和自己的使用过程,整理了实用ISA Server 2006系列,希望对想学想用ISA Server 2006 的朋友有些帮 ...

  5. ISA Server 2006 安全保障指南

    Alan Maddison 概览: 服务器安全保障最佳实践 安装安全配置向导 安全配置向导演练 分配管理角色 目录 保障服务器的安全 安装安全配置向导 运行 SCW 管理角色 当前,众多 IT 专家正 ...

  6. Windows域环境下部署ISA Server 2006防火墙(四)

    构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...

  7. ISA Server 2006 的内部客户端概念

    来源于微软台湾站点   前言:Microsoft® Internet Security and Acceleration (ISA) Server 2006 使用多种通讯层来保护公司网络.ISA Se ...

  8. 配置ISA Server 2006 ×××使用户轻松连接内网

    ISA Server所支持的×××功能:  远程访问×××  站点间×××      可支持的×××通讯协议: PPTP  L2TP  IPSec 可使用网络规则及访问规则来控制×××网络与其他网络间 ...

  9. 可以下载Microsoft ISA Server 2006 试用版了,网管需要关注

    下载试用版地址:http://www.microsoft.com/china/isaserver/2006/beta.mspx 2006 FAQ: http://www.microsoft.com/c ...

最新文章

  1. android 8.0 Account行为变更 账号系统
  2. Android 广播的生命周期
  3. ESLG.CommonUtility.NHibernateHelper的类型初始值设定项引发异常
  4. boost::compose_property_map相关的测试程序
  5. 设计模式之适配器模式--java描述
  6. Microsoft Tech Summit 2018 课程简述:利用 Windows 新特性开发出更好的手绘视频应用...
  7. 二分图匹配----匈牙利算法之二
  8. readfile函数使用方法_1分钟学会LOOKUP函数,有网友说使用这个方法,初学者秒变大神...
  9. Python 练习: 简单角色游戏程序
  10. apusic6.0需要新项目需要改动文件
  11. FLUENT边界条件和计算模型
  12. matlab泊松分布图,matlab画泊松分布图
  13. 苹果cms替换资源_苹果maccms v10二次更新只替换某一个资源图片
  14. CDH安全认证及使用
  15. Python:正则表达式re.compile()
  16. 外包公司到底能不能选择
  17. 涨知识!中国天眼一秒钟要用多少度电?
  18. 大众创业热度不减,好机友项目强势来袭
  19. Node.js 官网入门教程(二) npm(安装、包版本、卸载、npx)、package.json(scripts、devDependencies)package-lock.json(语义版本规则符号
  20. Qt的主窗口背景设置

热门文章

  1. SharePoint Server 2016 部署安装(三)—— 安装SharePoint Server
  2. 开源大数据周刊-第30期
  3. 编译Cocos2dx程序 (一)
  4. RHEL/CentOS下的VLAN设置
  5. JAVA的两个FTP包的比较
  6. 币圈老人李启元站队BCH,背后的原因是什么?
  7. 加密货币支付卡公司与BCH达成合作
  8. gitlab 推送本地代码到远程仓库
  9. Python导出Excel文件
  10. es6变量的解构赋值