在路由器與交換機之間添加ISA Server軟路由與防火牆

某市政務内網，原來各機關都是通過交換機與路由器連接配接到上級政務内網，網絡中沒有防火牆（注，國内有從×××到各省、各市、縣、鄉鎮的政務内網，整個網絡是一個大的區域網路）。機關配置設定的IP位址段是3.x.128.0/24～3.x.255.0/24，現在已經配置設定使用了3.x.128.0～3.x.194.0/24，網絡拓撲如圖1所示。

圖1 政務内網拓撲

現在上級要求有安全設施，準備在現有的網絡之間添加一個防火牆。

1 總體改造

在接到這個要求後，經過與市資訊中心人員溝通，了解到該機關以前購買過ISA Server，并且有閑置的伺服器，就做出了如下的設計：

（1）出口路由器由上級政府部門主管，不能随意更改其參數（不知道密碼）。

（2）在該 政務内網的“核心交換機”與出口“路由器”之間添加伺服器，安裝ISA Server做軟路由及防火牆。

（3）修改核心交換機上聯路由器端口的IP位址及網段，使用空閑的3.x.195.0/24網段（實際使用3.x.195.0/30網段，以節約IP位址），将其由3.x.128.254/24修改為3.x.195.2/24，修改核心路由器的靜态路由，将靜态路由的指向修改為

ip route-static 0.0.0.0 0.0.0.0 3.x.195.1

使之指向ISA Server。在ISA Server添加到原“路由器”與“核心交換機”的路由。

（4）修改之後，各機關原來的IP位址不需要做任何的變化。修改後的網絡拓撲與IP位址如圖2所示。

圖2 修改後的網絡拓撲

2 ISA Server軟路由設定

其中ISA Server的主要設定如下：

（1）設定網卡IP位址：設定連接配接“核心交換機”的網卡名稱為“内網”或“LAN”，設定IP位址為3.x.195.1，子網路遮罩為255.255.255.252，不要添加網關位址。設定連接配接“CISCO 2600路由器”的網卡為“外網”或“WAN”，設定IP位址為3.x.128.254，子網路遮罩為255.255.255.0，網關為3.x.128.253。

（2）進入指令提示符，添加到内網3.x.129.0/24～3.x.194.0/24的靜态路由，指令如下：

route add -p 3.x.129.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.130.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.131.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.132.0 mask 255.255.252.0 3.x.195.2

route add -p 3.x.136.0 mask 255.255.248.0 3.x.195.2

route add -p 3.x.144.0 mask 255.255.240.0 3.x.195.2

route add -p 3.x.160.0 mask 255.255.224.0 3.x.195.2

route add -p 3.x.192.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.193.0 mask 255.255.255.0 3.x.195.2

route add -p 3.x.194.0 mask 255.255.255.0 3.x.195.2

（3）安裝ISA Server，并為“内網”選擇合适的網卡。安裝完ISA Server之後，在“配置 →網絡”中，在右側的“網絡規則”頁籤中，輕按兩下“Internet通路”，如圖3所示。

圖3 Internet通路

在打開的“Internet通路 屬性”對話框中，在“網絡關系”頁籤中，将網絡關系由“網絡位址轉換（NAT）”修改為“路由”，如圖4所示。

圖4 修改網絡關系

（4）在“防火牆政策”中，添加通路政策，允許“内部、外部”通路“内部、外部”。這樣，這台ISA Server就做成帶“防火牆”功能的“路由器”了。

3進階使用

如果機關，想進一步檢視機關通路内網的使用者情況，可以将ISA Server配置成×××伺服器，想通路政務内網的機關或個人，必須在現有網絡的基礎上，通過撥ISA Server組成的×××伺服器，才能通路政務内網，可以做如下的配置：

（1）在“虛拟專用網絡（×××）”中，配置設定×××用戶端位址為3.x.196.0～3.x.200.255，如圖5所示。然後啟用×××服務。

圖5 配置設定×××用戶端位址

（2）修改“防火牆政策”，禁止“内部、外部”通路“内部、外部”政策，然後添加“×××用戶端”政策，允許“×××用戶端、外部”通路“×××用戶端、外部”。

（3）對于某些内網的計算機，例如伺服器，需要和以前一樣，不通過×××撥号通路外部，可以專門針對這些計算機，建立一條政策，允許一些指定的計算機直接通路“外部”，如圖6所示。

圖6 建立防火牆政策

(4)在ISA Server“計算機管理”中，建立使用者，并允許使用者撥入權限。

（5）最後在“路由和遠端通路”中，可以看到×××撥号使用者的消息，如圖7所示。

圖7 ×××撥号使用者