某市政务内网，原来各单位都是通过交换机与路由器连接到上级政务内网，网络中没有防火墙（注，国内有从国务院到各省、各市、县、乡镇的政务内网，整个网络是一个大的局域网）。单位分配的IP地址段是3.x.128.0/24～3.x.255.0/24，现在已经分配使用了3.x.128.0～3.x.194.0/24，网络拓扑如图1所示。

图1 政务内网拓扑

现在上级要求有安全设施，准备在现有的网络之间添加一个防火墙。

1 总体改造

在接到这个要求后，经过与市信息中心人员沟通，了解到该单位以前购买过ISA Server，并且有闲置的服务器，就做出了如下的设计：

（1）出口路由器由上级政府部门主管，不能随意更改其参数（不知道密码）。

（2）在该 政务内网的“核心交换机”与出口“路由器”之间添加服务器，安装ISA Server做软路由及防火墙。

（3）修改核心交换机上联路由器端口的IP地址及网段，使用空闲的3.x.195.0/24网段（实际使用3.x.195.0/30网段，以节约IP地址），将其由3.x.128.254/24修改为3.x.195.2/24，修改核心路由器的静态路由，将静态路由的指向修改为

ip route-static 0.0.0.0 0.0.0.0 3.x.195.1

使之指向ISA Server。在ISA Server添加到原“路由器”与“核心交换机”的路由。

（4）修改之后，各单位原来的IP地址不需要做任何的变化。修改后的网络拓扑与IP地址如图2所示。

图2 修改后的网络拓扑

2 ISA Server软路由设置

其中ISA Server的主要设置如下：

（1）设置网卡IP地址：设置连接“核心交换机”的网卡名称为“内网”或“LAN”，设置IP地址为3.x.195.1，子网掩码为255.255.255.252，不要添加网关地址。设置连接“CISCO 2600路由器”的网卡为“外网”或“WAN”，设置IP地址为3.x.128.254，子网掩码为255.255.255.0，网关为3.x.128.253。

（2）进入命令提示符，添加到内网3.x.129.0/24～3.x.194.0/24的静态路由，命令如下：

route add -p 3.x.129.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.130.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.131.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.132.0 mask 255.255.252.0 3.x.195.2

route add -p 3.x.136.0 mask 255.255.248.0 3.x.195.2

route add -p 3.x.144.0 mask 255.255.240.0 3.x.195.2

route add -p 3.x.160.0 mask 255.255.224.0 3.x.195.2

route add -p 3.x.192.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.193.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.194.0 mask 255.255.255.0 3.x.195.2

（3）安装ISA Server，并为“内网”选择合适的网卡。安装完ISA Server之后，在“配置 →网络”中，在右侧的“网络规则”选项卡中，双击“Internet访问”，如图3所示。

图3 Internet访问

在打开的“Internet访问 属性”对话框中，在“网络关系”选项卡中，将网络关系由“网络地址转换（NAT）”修改为“路由”，如图4所示。

图4 修改网络关系

（4）在“防火墙策略”中，添加访问策略，允许“内部、外部”访问“内部、外部”。这样，这台ISA Server就做成带“防火墙”功能的“路由器”了。

3进阶使用

如果单位，想进一步查看单位访问内网的用户情况，可以将ISA Server配置成***服务器，想访问政务内网的单位或个人，必须在现有网络的基础上，通过拨ISA Server组成的***服务器，才能访问政务内网，可以做如下的配置：

（1）在“虚拟专用网络（***）”中，分配***客户端地址为3.x.196.0～3.x.200.255，如图5所示。然后启用***服务。

图5 分配***客户端地址

（2）修改“防火墙策略”，禁止“内部、外部”访问“内部、外部”策略，然后添加“***客户端”策略，允许“***客户端、外部”访问“***客户端、外部”。

（3）对于某些内网的计算机，例如服务器，需要和以前一样，不通过***拨号访问外部，可以专门针对这些计算机，创建一条策略，允许一些指定的计算机直接访问“外部”，如图6所示。

图6 创建防火墙策略

(4)在ISA Server“计算机管理”中，创建用户，并允许用户拨入权限。

（5）最后在“路由和远程访问”中，可以看到***拨号用户的消息，如图7所示。

图7 ***拨号用户