第一学期课程
第九章 ISA防火墙策略配置
—— 理论部分
内容回顾
防火墙主要分为哪几类,各有何特点?
防火墙体系结构有哪几类,各用于何种场合?
ISA 2006主要包括哪些功能?
ISA客户端有几种类型,有何区别?
防火墙主要分为三类:包过滤防火墙、代理型防火墙、状态检测防火墙。每种防火墙的特点如下:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
防火墙体系结构:
(1)双宿主保垒主机,用于小型企业。
(2)三宿主保垒主机,用于有对外提供服务器的网络环境。
(3)背靠背连接:用于需要提供双重保护的环境。
ISA 2006的主要功能:
(1)Internet防火墙
(2)安全服务器发布
(3)Web缓存服务器
ISA客户端的类型
(1)NAT客户端
(2)Firewall客户端
(3)代理客户端
技能展示
理解ISA Server策略元素
理解ISA Server访问策略的作用
掌握ISA Server访问策略的配置
理解服务器发布的作用
掌握服务器发布的配置
简单介绍本章的技能展示(目标)。
本章结构
教员介绍本章大致内容,强调红色字体的是重点内容。
本章的总体思路是:ISA防火墙相关概念->ISA 2006防火墙访问规则->Web服务器发布
企业和阵列
企业是一个逻辑概念,类似于Windows中的域,是企业管理模型在防火墙软件中的体现
阵列是一组ISA计算机的组合。阵列的所有成员共享相同的配置,可以简化对防火墙的管理
引入:上一章介绍了ISA防火墙的安装和客户端的配置。接下来需要在防火墙上建立访问规则,使内网用户可以跨过防火墙访问Internet,同时可以限制内网用户能够访问哪些网站、不能访问哪些网站、什么时候能够上网、什么时候不能上网、外网用户可以访问内网的哪些服务,不能访问哪些服务等。这些都可以通过配置防火墙的访问规则来实现。本章将介绍如何配置防火墙的访问规则。
在介绍配置防火墙规则之前,首先介绍企业和阵列的概念。由于企业和阵列的概念比较抽象,教员可以把这两个概念和域进行对比:
企业相当于域的概念,企业中所有ISA计算机有相同的策略配置。阵列指一组ISA计算机的组合,这些计算机共享相同的配置,在修改阵列配置时,阵列中所有计算机的配置均被修改。引入这两个概念的目的是实现对ISA的集中管理,提高管理效率。
网络结构
本地主机网络
内部网络
外部网络
引入:在配置ISA防火墙的访问规则时,需要根据实际的网络环境进行配置。因为不同网络环境的配置需求是不一样的。下面介绍ISA中常见的网络结构和ISA中针对不同网络环境所提供的配置模板。ISA计算机中常见的网络结构包括:本地主机网络、内部网络、外部网络。下面详细介绍这三种网络结构:
本地主机网络:本地主机网络代表ISA Server计算机本身。内外网之间的所有通信都要经过本地主机网络。本地主机网络定义了一组IP地址,这组IP地址包括绑定到本地ISA Server计算机上网络适配器的所有 IP 地址和 。例如,ISA Server有两个网卡,IP地址分别是与。那么,它的本地主机网络包括以上两个IP地址,同时还包括。
内部网络:内部网络对应于公司内部要保护的网络,通常认为内部网络包含受信任的IP地址范围。在安装ISA Server 2006时,至少要配置一个默认内部网络,也可以指定多个其他内部网络。公司局域网内所有计算机都在内部网络中受到ISA Server的保护。
外部网络:ISA Server防火墙之外的网络就是外部网络。外部网络一般是指具有公用IP地址的Internet网络。在安装ISA Server时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(包括)。
网络模板
为方便设置防火墙策略,ISA为用户提供5个预定义的网络模板
边缘防火墙:
公司ISA Server有两个网络连接,一个连接内部网络,另一个连接外部网络
引入:ISA为什么要提供配置模板呢,提供网络模板的目的是简化防火墙的配置过程。有了网络模板后,不熟悉ISA防火墙的人也可以轻松配置防火墙规则。下面介绍ISA中每种网络模板的应用场合。
为了使学员理解起来更直观,教师应该一边介绍网络模板,一边在ISA中展示不同的网络模板。还应该特别强调不同网络模板所适合的网络环境。
网络模板
3向外围网络:
ISA Server连接内部网络、外部网络和外围网络的网络拓扑。外围网络即DMZ区域
网络模板
前端防火墙
ISA Server连接外部网络和外围网络的拓扑,其作为前端防火墙,内部还有一个防火墙,配置在后端保护内部网络
网络模板
后端防火墙
连接外围网络和内部网络的防火墙配置,用以保护内部网络,为后端防火墙
防火墙策略
防火墙策略由策略元素组成,用于指定防火墙规则的参数
ISA的策略元素包括:
协议
用户
内容类型
计划
网络对象
引入:防火墙开放哪些访问和限制哪些访问,都是通过配置防火墙策略实现的。接下来介绍如何配置防火墙策略。而策略元素是组成策略的零件,策略元素中包含了策略配置的相关参数。
策略元素
协议:
协议类型:TCP、UDP、ICMP或IP
方向:UDP包括“发送”、“接收”、“发送接收”或“接收发送”。TCP包括“入站”和“出站”。ICMP和IP包括“发送”和“发送接收”
端口范围:TCP和UDP的端口范围是1到65535之间
协议号:IP级别的协议是0到254之间的数
引入:许多防火墙都可以根据协议对数据包进行筛选,ISA防火墙也不例外。接下来介绍一下ISA 2006中的协议元素包括哪些内容。
教员可以边介绍边在ISA服务器管理中展示协议元素。
教员需要演示如何在ISA中自定义协议元素。
策略元素
用户:
可以包括来自任何身份验证方案的用户
ISA Server预定义了以下用户:
所有经过认证的用户
所有用户
系统和网络服务
引入:ISA可以通过用户元素限制哪些用户可以通过防火墙,哪些用户不能通过防火墙。例如,管理员可以设置只有Windows系统或域用户可以进行某些访问,而其他用户不可以。但是需要注意的是,如果要实现用户身份验证,必须使用防火墙客户端或Web代理客户端,而不能使用SecureNAT客户端,因为SecureNAT不支持身份验证功能。
教员在讲解时需要在ISA中展示用户元素,同时演示如何引用系统中的用户帐号。
策略元素
内容类型:
ISA可以根据已定义的规则检查数据包的内容,以便限制或过滤某些内容
计划:
时间计划用于设定时间范围,可以根据企业需求将一天24小时分成许多时段
ISA预定义时间计划元素:
周末(Weekends),包括星期六和星期天
工作时间(Work hours),包括从星期一到星期五的上午9:00到下午5:00
引入:ISA可以根据访问的内容进行数据包筛选。这也是ISA防火墙比其他防火墙更强的地方。比如,管理员可以在ISA中设定内网用户不能访问外网的音频和视频,这就可以通过内容筛选来实现。接下来教员展示内容元素,演示新建内容元素。
通过时间元素,ISA可以限制用户在何时可以访问外网。如在工作时间不能上网,在其他时间可以上网。接下来教员展示时间元素,同时演示如何创建时间元素。
策略元素
网络对象:
网络:网络是一定范围的IP地址
网络集:网络集包含一个或多个网络
计算机:一台计算机代表一个IP地址
地址范围、子网和计算机集:代表一定范围的IP地址
引入:网络元素是非常重要的。比如,在设置防火墙时,管理员要实现只有个别计算机可以上网,其他计算机不能上网。某个网段可以上网,其他网段不能上网,这些都需要定义网络元素。接下来教员展示网络元素,同时演示如何创建网络元素。
防火墙策略规则
网络规则
网络规则定义了网络拓扑及网络间如何连接
网络地址转换
路由
访问规则
访问规则定义了用户如何访问网络,包括访问网络的协议、访问的时间、访问的内容等
服务器发布规则
在ISA上可以建立Web、邮件、FTP、SharePoint及其他服务器的发布规则,使外网用户可以访问内网的这些服务器
引入:熟悉了网络策略元素后,接下来介绍使用各种策略元素(包括预定义的和自己建立的)建立防火墙策略远见则。ISA2006防火墙策略规则分为三种类型:网络规则、访问规则、服务器发布规则。接下来教员介绍每种策略规则。
学员可能不理解网络规则中“网络地址转换”和“路由”的区别,教员需要专门解释一下:
(1)网络地址转换(NAT):定义为这种连接类型时,ISA服务器将用自己外网卡的地址替换源数据包的地址,再发送到外网。当定义内部网络和外部网络之间的关系时,可以定义为NAT模式。
(2)路由:这种连接类型允许源网络请求直接转发到目标网络,而且是双向的。例如,当网络A和网络B之间的连接类型为路由,则A网络可以直接访问B网络,同时,B网络也可以直接访问A网络。通常将内部网络和DMZ之间定义为“路由”模式。
解释清楚网络规则的定义后,教员可以打开“ISA服务管理器”,展开“配置,右击”网络“”,选择“新建网络规则”,演示如何建立网络规则。使学员看到如何设置“网络地址转换”或“路由”。
在介绍过完三种规则类型后,教员需要强调:ISA在工作过程中会选检查网络规则,然后检查访问规则或发布规则。
小结
请思考:
ISA防火墙包含哪些常用的网络结构?
ISA防火墙包含哪些策略元素?
ISA防火墙包含哪几种策略规则?
ISA的网络结构:内部网络、外部网络、本地主机网络。
ISA防火墙的策略元素:协议、用户、时间、网络、内容元素。
ISA防火墙的策略规则:网络规则、访问规则、服务器发布规则。
防火墙访问规则的配置
防火墙策略规则的工作原理
当客户要访问Internet时,ISA首先检测网络规则。网络规则可以是路由或NAT
检查网络规则后,ISA检查访问规则。只有访问规则中允许的协议才能通过,否则被拒绝
如果访问规则中没有定义任何协议,客户的访问也会被拒绝
如果ISA中设定了多个访问规则,前面的规则拒绝了某个协议,则此协议肯定被拒绝,无论后面的规则是否允许此协议通过
教员在讲解上述内容时,需要强调:在安装ISA Server时将创建一条默认规则,用于拒绝所有出入网络的访问。不能修改或删除此默认规则。
创建访问规则
案例:BENET公司的局域网通过ISA防火墙与外部Internet相连,如何使内部局域网用户可以通过ISA防火墙访问Internet?
教员介绍案例需求
创建访问规则
打开“ISA服务器管理”,单击“创建访问规则”
教员演示创建访问规则的过程。
发布服务器
发布服务器简介
Web服务器的发布
邮件服务器的发布
其他服务器的发布
教员概述本节大致内容
发布服务器简介
将内部网络中的服务提供给外部网络用户访问的过程叫做“发布”
发布内部网络中的服务后,ISA处理外部客户向内部提出的请求,并将请求转发给内部服务器
引入:教员可以向学员提问:假如某公司为了保证内网的安全,安装了ISA防火墙。但是,内网中有一台Web服务器和邮件服务器,该公司希望外网用户可以访问内网的网站和使用内网邮件服务器收发邮件,应如何实现?接下来教员可以说,要实现该功能,可以通过ISA的服务器发布功能来实现,然后详细介绍什么是服务器发布。
在介绍服务器发布时,强调内网的这些服务器配置了私网地址,外网是不能直接访问的。
Web服务器发布
发布原理
发布位于ISA之后的Web服务器后,ISA将代表内部Web服务器接收请求。ISA上的Web发布规则将请求转发到内部Web服务器
发布方法
Web服务器的网关指向ISA的内网卡
Web服务器的DNS设为能解析Internet域名的DNS服务器
教员需要强调:如果要发布的Web服务器与ISA Server在同一台计算机上,Web站点的端口不能是80,可以修改成其他可用端口,如8080。不推荐将Web服务器和ISA防火墙安装在同一台计算机上。
Web服务器发布示例
发布内网的Web站点
教员演示发布内网的Web站点。为完成该实验,教员需要按拓扑图所示建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当Web服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
教师在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
Web服务器发布示例
配置对外提供服务的DNS
配置对内提供服务的DNS
在对外DNS中建立“WWW”主机记录,该主机的IP地址为ISA外网卡的地址。
在对内DNS中建立“WWW”主机记录,该主机的IP地址为Web服务器的地址。
Web服务器发布示例
发布DNS服务器
教员演示发布DNS服务器的过程。另外,教员需要强调:如果不是自己建立DNS服务器,而是使用ISP的DNS服务器,则只需要在DNS服务器中建立相应的A记录或在hosts文件中添加相应的记录即可,不需要发布DNS服务器。
Web服务器发布示例
发布内部网站
Web服务器发布示例
测试网站发布是否成功
教员测试网站发布是否成功,分别使用域名和IP地址访问网站。为保证可以使用IP地址访问网站,需要在ISA的“公共名称”处添加ISA外网卡的IP地址。
如果实验不成功,多数为DNS配置不正确。这时,可以在外网计算机上使用ping 测试能否解析为ISA计算机外网卡的地址;然后在ISA计算机上使用同样的命令看能否解析为真正Web服务器的IP地址。另外,还可能是测试计算机中缓存有旧的DNS记录,这时可以使用ipconfig/flushdns命令清除DNS缓存,再重新测试。
如果希望查看当前用户访问网站时的状态,可以通过“阵列”→“监视”→“会话”选项看到正在连接的客户状态。
邮件服务器发布
ISA提供了发布邮件服务器的规则向导
邮件服务器通过SMTP、POP、MAPI、IMAP4等协议提供服务。发布位于ISA之后的邮件服务器后,会允许上述协议通过防火墙
引入:在ISA中除了可以发布Web服务器,也可以发布邮件服务器。
邮件服务器发布
案例:BENET公司的局域网通过ISA防火墙与外网相连。如何在ISA上发布内部的Exchange服务器,使公司员工在外出差时可以使用Outlook Express访问公司的邮件服务器
教员介绍案例需求。为完成实验,教员需要按PPT中的网络拓扑建立实验环境来完成实验。
邮件服务器发布
建立Exchange 2007邮件服务器
安装和配置Exchange 2007,确保内网用户可以使用Outlook访问邮件服务器,收发邮件
建立邮件服务器发布规则
教员展示邮件服务器的配置。为节省时间,教员需要事先安装好Exchange 2007邮件服务器。
教员演示在ISA中建立邮件服务器发布规则,在建立规则过程中需要说明发布OE和发布Outlook的不同:
(1)发布OE选择POP3和SMTP相关选项。
(2)发布SMTP选择Outlook和SMTP协议。
邮件服务器发布
验证邮件服务器发布
教员演示发布后可以正常收发邮件。注意:要正常收发邮件,在Outlook Express中必须启用SSL
其他服务器发布
除了可以发布Web和邮件服务之外,ISA还可以发布其他服务器,如FTP服务器
其他服务器发布
案例:BENET公司的局域网通过ISA防火墙与外网相连。如何在ISA上发布内部FTP服务器,使员工在出差时可以从FTP服务器上传和下载文件
为完成实验,教师需要按拓扑图所示建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当FTP服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
教师在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
其他服务器发布
建立FTP服务器
使用Serv_U建立FTP服务器
建立两个FTP帐号:Admin和User1。Admin拥有向FTP服务器上传数据的权限。User1只能从FTP服务器下载数据,不能上传数据
教员展示已建立的FTP服务器。为节省时间,教员需要事先安装好Serv_U FTP服务器。
其他服务器发布
配置DNS服务器
分别在DNS Server1和DNS Server2中建立主机记录,使用户可以使用该主机名访问FTP服务器
其他服务器发布
发布FTP服务器
教员演示发布FTP服务器的过程。教员需要特别强调:ISA Server默认发布的是使用标准FTP端口(20和21端口)的FTP服务器,如果要发布非标准端口的FTP服务器,需要自定义协议及端口。
其他服务器发布
开放FTP上传功能
其他服务器发布
访问FTP服务器
使用访问FTP服务器
使用访问FTP服务器
总结
教师总结本章内容,也可以提问以下问题进行总结:
什么是ISA防火墙中的企业和阵列?
ISA防火墙包含哪些常用的网络结构?
ISA防火墙包含哪些策略元素?
ISA防火墙包含哪几种策略规则?
第一学期课程
第九章 ISA防火墙策略配置
—— 上机部分
实验案例1:发布Web服务器
需求描述:
阶段一:指导子阶段
教师介绍案例需求。
为完成实验,需要按PPT中的网络拓扑建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当Web服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
实验案例1:发布Web服务器
需求描述:
在Web服务器上建立网站
配置内网和外网的DNS服务器
在ISA上发布为外网提供服务的DNS服务器
在ISA计算机上发布Web服务器中的网站
从外网计算机用域名访问Web网站
阶段一:指导子阶段(续)
教师介绍案例需求。
实验案例1:发布Web服务器
实现思路:
实验准备
配置DNS服务器
发布DNS服务器
发布Web服务器
访问Web网站
学员练习:
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
需求描述:
建立Exchange 2007邮件服务器
发布邮件服务器
验证邮件服务器发布
实验案例2:发布Exchange邮件服务器
阶段一:指导子阶段
教师介绍案例需求。
为完成实验,需要按图中拓扑建立实验环境。
在实验环境中安装3台虚拟机,一台充当邮件服务器,一台充当ISA防火墙,一台充当外网客户机。
实验案例2:发布Exchange邮件服务器
实现思路:
实验准备
发布邮件服务器
验证邮件服务器发布
实现思路:
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
防火墙主要分为三类:包过滤防火墙、代理型防火墙、状态检测防火墙。每种防火墙的特点如下:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
防火墙体系结构:
(1)双宿主保垒主机,用于小型企业。
(2)三宿主保垒主机,用于有对外提供服务器的网络环境。
(3)背靠背连接:用于需要提供双重保护的环境。
ISA 2006的主要功能:
(1)Internet防火墙
(2)安全服务器发布
(3)Web缓存服务器
ISA客户端的类型
(1)NAT客户端
(2)Firewall客户端
(3)代理客户端
简单介绍本章的技能展示(目标)。
教员介绍本章大致内容,强调红色字体的是重点内容。
本章的总体思路是:ISA防火墙相关概念->ISA 2006防火墙访问规则->Web服务器发布
引入:上一章介绍了ISA防火墙的安装和客户端的配置。接下来需要在防火墙上建立访问规则,使内网用户可以跨过防火墙访问Internet,同时可以限制内网用户能够访问哪些网站、不能访问哪些网站、什么时候能够上网、什么时候不能上网、外网用户可以访问内网的哪些服务,不能访问哪些服务等。这些都可以通过配置防火墙的访问规则来实现。本章将介绍如何配置防火墙的访问规则。
在介绍配置防火墙规则之前,首先介绍企业和阵列的概念。由于企业和阵列的概念比较抽象,教员可以把这两个概念和域进行对比:
企业相当于域的概念,企业中所有ISA计算机有相同的策略配置。阵列指一组ISA计算机的组合,这些计算机共享相同的配置,在修改阵列配置时,阵列中所有计算机的配置均被修改。引入这两个概念的目的是实现对ISA的集中管理,提高管理效率。
引入:在配置ISA防火墙的访问规则时,需要根据实际的网络环境进行配置。因为不同网络环境的配置需求是不一样的。下面介绍ISA中常见的网络结构和ISA中针对不同网络环境所提供的配置模板。ISA计算机中常见的网络结构包括:本地主机网络、内部网络、外部网络。下面详细介绍这三种网络结构:
本地主机网络:本地主机网络代表ISA Server计算机本身。内外网之间的所有通信都要经过本地主机网络。本地主机网络定义了一组IP地址,这组IP地址包括绑定到本地ISA Server计算机上网络适配器的所有 IP 地址和 。例如,ISA Server有两个网卡,IP地址分别是与。那么,它的本地主机网络包括以上两个IP地址,同时还包括。
内部网络:内部网络对应于公司内部要保护的网络,通常认为内部网络包含受信任的IP地址范围。在安装ISA Server 2006时,至少要配置一个默认内部网络,也可以指定多个其他内部网络。公司局域网内所有计算机都在内部网络中受到ISA Server的保护。
外部网络:ISA Server防火墙之外的网络就是外部网络。外部网络一般是指具有公用IP地址的Internet网络。在安装ISA Server时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(包括)。
引入:ISA为什么要提供配置模板呢,提供网络模板的目的是简化防火墙的配置过程。有了网络模板后,不熟悉ISA防火墙的人也可以轻松配置防火墙规则。下面介绍ISA中每种网络模板的应用场合。
为了使学员理解起来更直观,教师应该一边介绍网络模板,一边在ISA中展示不同的网络模板。还应该特别强调不同网络模板所适合的网络环境。
引入:防火墙开放哪些访问和限制哪些访问,都是通过配置防火墙策略实现的。接下来介绍如何配置防火墙策略。而策略元素是组成策略的零件,策略元素中包含了策略配置的相关参数。
引入:许多防火墙都可以根据协议对数据包进行筛选,ISA防火墙也不例外。接下来介绍一下ISA 2006中的协议元素包括哪些内容。
教员可以边介绍边在ISA服务器管理中展示协议元素。
教员需要演示如何在ISA中自定义协议元素。
引入:ISA可以通过用户元素限制哪些用户可以通过防火墙,哪些用户不能通过防火墙。例如,管理员可以设置只有Windows系统或域用户可以进行某些访问,而其他用户不可以。但是需要注意的是,如果要实现用户身份验证,必须使用防火墙客户端或Web代理客户端,而不能使用SecureNAT客户端,因为SecureNAT不支持身份验证功能。
教员在讲解时需要在ISA中展示用户元素,同时演示如何引用系统中的用户帐号。
引入:ISA可以根据访问的内容进行数据包筛选。这也是ISA防火墙比其他防火墙更强的地方。比如,管理员可以在ISA中设定内网用户不能访问外网的音频和视频,这就可以通过内容筛选来实现。接下来教员展示内容元素,演示新建内容元素。
通过时间元素,ISA可以限制用户在何时可以访问外网。如在工作时间不能上网,在其他时间可以上网。接下来教员展示时间元素,同时演示如何创建时间元素。
引入:网络元素是非常重要的。比如,在设置防火墙时,管理员要实现只有个别计算机可以上网,其他计算机不能上网。某个网段可以上网,其他网段不能上网,这些都需要定义网络元素。接下来教员展示网络元素,同时演示如何创建网络元素。
引入:熟悉了网络策略元素后,接下来介绍使用各种策略元素(包括预定义的和自己建立的)建立防火墙策略远见则。ISA2006防火墙策略规则分为三种类型:网络规则、访问规则、服务器发布规则。接下来教员介绍每种策略规则。
学员可能不理解网络规则中“网络地址转换”和“路由”的区别,教员需要专门解释一下:
(1)网络地址转换(NAT):定义为这种连接类型时,ISA服务器将用自己外网卡的地址替换源数据包的地址,再发送到外网。当定义内部网络和外部网络之间的关系时,可以定义为NAT模式。
(2)路由:这种连接类型允许源网络请求直接转发到目标网络,而且是双向的。例如,当网络A和网络B之间的连接类型为路由,则A网络可以直接访问B网络,同时,B网络也可以直接访问A网络。通常将内部网络和DMZ之间定义为“路由”模式。
解释清楚网络规则的定义后,教员可以打开“ISA服务管理器”,展开“配置,右击”网络“”,选择“新建网络规则”,演示如何建立网络规则。使学员看到如何设置“网络地址转换”或“路由”。
在介绍过完三种规则类型后,教员需要强调:ISA在工作过程中会选检查网络规则,然后检查访问规则或发布规则。
ISA的网络结构:内部网络、外部网络、本地主机网络。
ISA防火墙的策略元素:协议、用户、时间、网络、内容元素。
ISA防火墙的策略规则:网络规则、访问规则、服务器发布规则。
教员在讲解上述内容时,需要强调:在安装ISA Server时将创建一条默认规则,用于拒绝所有出入网络的访问。不能修改或删除此默认规则。
教员介绍案例需求
教员演示创建访问规则的过程。
教员概述本节大致内容
引入:教员可以向学员提问:假如某公司为了保证内网的安全,安装了ISA防火墙。但是,内网中有一台Web服务器和邮件服务器,该公司希望外网用户可以访问内网的网站和使用内网邮件服务器收发邮件,应如何实现?接下来教员可以说,要实现该功能,可以通过ISA的服务器发布功能来实现,然后详细介绍什么是服务器发布。
在介绍服务器发布时,强调内网的这些服务器配置了私网地址,外网是不能直接访问的。
教员需要强调:如果要发布的Web服务器与ISA Server在同一台计算机上,Web站点的端口不能是80,可以修改成其他可用端口,如8080。不推荐将Web服务器和ISA防火墙安装在同一台计算机上。
教员演示发布内网的Web站点。为完成该实验,教员需要按拓扑图所示建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当Web服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
教师在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
在对外DNS中建立“WWW”主机记录,该主机的IP地址为ISA外网卡的地址。
在对内DNS中建立“WWW”主机记录,该主机的IP地址为Web服务器的地址。
教员演示发布DNS服务器的过程。另外,教员需要强调:如果不是自己建立DNS服务器,而是使用ISP的DNS服务器,则只需要在DNS服务器中建立相应的A记录或在hosts文件中添加相应的记录即可,不需要发布DNS服务器。
教员测试网站发布是否成功,分别使用域名和IP地址访问网站。为保证可以使用IP地址访问网站,需要在ISA的“公共名称”处添加ISA外网卡的IP地址。
如果实验不成功,多数为DNS配置不正确。这时,可以在外网计算机上使用ping 测试能否解析为ISA计算机外网卡的地址;然后在ISA计算机上使用同样的命令看能否解析为真正Web服务器的IP地址。另外,还可能是测试计算机中缓存有旧的DNS记录,这时可以使用ipconfig/flushdns命令清除DNS缓存,再重新测试。
如果希望查看当前用户访问网站时的状态,可以通过“阵列”→“监视”→“会话”选项看到正在连接的客户状态。
引入:在ISA中除了可以发布Web服务器,也可以发布邮件服务器。
教员介绍案例需求。为完成实验,教员需要按PPT中的网络拓扑建立实验环境来完成实验。
教员展示邮件服务器的配置。为节省时间,教员需要事先安装好Exchange 2007邮件服务器。
教员演示在ISA中建立邮件服务器发布规则,在建立规则过程中需要说明发布OE和发布Outlook的不同:
(1)发布OE选择POP3和SMTP相关选项。
(2)发布SMTP选择Outlook和SMTP协议。
教员演示发布后可以正常收发邮件。注意:要正常收发邮件,在Outlook Express中必须启用SSL
为完成实验,教师需要按拓扑图所示建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当FTP服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
教师在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
教员展示已建立的FTP服务器。为节省时间,教员需要事先安装好Serv_U FTP服务器。
教员演示发布FTP服务器的过程。教员需要特别强调:ISA Server默认发布的是使用标准FTP端口(20和21端口)的FTP服务器,如果要发布非标准端口的FTP服务器,需要自定义协议及端口。
教师总结本章内容,也可以提问以下问题进行总结:
什么是ISA防火墙中的企业和阵列?
ISA防火墙包含哪些常用的网络结构?
ISA防火墙包含哪些策略元素?
ISA防火墙包含哪几种策略规则?
阶段一:指导子阶段
教师介绍案例需求。
为完成实验,需要按PPT中的网络拓扑建立实验环境。
在实验环境中至少安装4台虚拟机,一台充当Web服务器兼内网DNS服务器,一台充当外网DNS服务器,一台ISA防火墙计算机,一台外网客户机。
阶段一:指导子阶段(续)
教师介绍案例需求。
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
阶段一:指导子阶段
教师介绍案例需求。
为完成实验,需要按图中拓扑建立实验环境。
在实验环境中安装3台虚拟机,一台充当邮件服务器,一台充当ISA防火墙,一台充当外网客户机。
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
