天天看點
傳回

ISA2006标準版常見問題(二)

在上一篇博文中我們介紹了在ISA 2006中 釋出非WEB伺服器和FTP 過濾功能的容易遇到的問題,現在我來介紹一下在ISA 2006 标準版中容易出現的問題!!

我們先大緻了解一下DMZ 吧,DMZ(Demilitarized Zone)非軍事化隔離區域,區域中主要存放被釋出的伺服器,!? 到這裡可能有人要問啦,被釋出的伺服器放在内網不是很好嘛,在DMZ區域中當然有必要,被釋出的伺服器所需要的權限應該是很小,相對于一些經常要通路的計算機,這樣内網和被釋出的伺服器更加細化,更能友善管理,也增加了内網的安全性!

讓我來為大家簡單介紹一下怎樣建立DMZ區域

其中涉及四個步驟:1、建立網絡2、建立網絡規則3、建立防火牆政策 4、建立釋出規則 網絡拓撲如下:

<a href="http://blog.51cto.com/attachment/201007/104003580.jpg" target="_blank"></a>

1、 建立網絡

我們在工具箱中,單擊“建立”—“網絡”,為網絡起個名稱:DMZ

<a href="http://blog.51cto.com/attachment/201007/104311460.jpg" target="_blank"></a>

網絡類型選擇“外圍網絡”

<a href="http://blog.51cto.com/attachment/201007/104326443.jpg" target="_blank"></a>

網絡擴充卡 選擇 我們的 DMZ 網卡(提前準配好的)

<a href="http://blog.51cto.com/attachment/201007/104409581.jpg" target="_blank"></a>

注意:這個時候必須有廣播位址:否則ISA 會報錯,認為這個廣播位址 是ARP 欺騙!!!!!

單擊下一步,我們的DMZ 區域就建立成功!

2、 建立網絡規則

我們需要建立内網與DMZ和外網與DMZ的網絡規則,由于現在的IP 資源緊張,在國内DMZ 區域的ip 大多是私有ip,是以網絡規則通常是:内網和DMZ 之間既可以是 路由關系、也可以是NAT 關系,外網和DMZ 之間是NAT 關系

建立 内網和DMZ 之間的網絡規則的時候,我們借用一個現成的規則:如圖:

<a href="http://blog.51cto.com/attachment/201007/104505555.jpg" target="_blank"></a>

在目标網絡中添加上DMZ 網絡

<a href="http://blog.51cto.com/attachment/201007/104523204.jpg" target="_blank"></a>

在常見任務中,我們建立 DMZ 和外網的 網絡規則,名稱為:“DMZ 到外網”

<a href="http://blog.51cto.com/attachment/201007/104548814.jpg" target="_blank"></a>

網絡源選擇:DMZ 網絡

<a href="http://blog.51cto.com/attachment/201007/104613664.jpg" target="_blank"></a>

目标網絡選擇 “外網”

<a href="http://blog.51cto.com/attachment/201007/104636516.jpg" target="_blank"></a>

網絡關系選擇:網絡位址轉換(NAT)

<a href="http://blog.51cto.com/attachment/201007/104653226.jpg" target="_blank"></a>

單擊 下一步,我們成功建立了DMZ 到 外網的網絡規則

3、 建立通路政策

右鍵防火牆政策選擇“建立”—“通路規則”

<a href="http://blog.51cto.com/attachment/201007/104712685.jpg" target="_blank"></a>

為通路規則起個名稱“内網通路DMZ”

<a href="http://blog.51cto.com/attachment/201007/104740251.jpg" target="_blank"></a>

規則操作選擇“允許“

<a href="http://blog.51cto.com/attachment/201007/104758943.jpg" target="_blank"></a>

在測試環境下,為了簡單 我們選擇所有出站的通信協定

<a href="http://blog.51cto.com/attachment/201007/104824401.jpg" target="_blank"></a>

通路源選擇“内部”

<a href="http://blog.51cto.com/attachment/201007/104840921.jpg" target="_blank"></a>

通路目标 選擇 DMZ 區域

<a href="http://blog.51cto.com/attachment/201007/104901585.jpg" target="_blank"></a>

我們對所有使用者開放權限

<a href="http://blog.51cto.com/attachment/201007/104930660.jpg" target="_blank"></a>

單擊下一步,内網到DMZ 區域的通路政策我們就建立成功!!

4、 釋出DMZ 的 WEB 伺服器

我們将NANGJING 的網站釋出到 ISA的 外網卡!

在防火牆政策中,“建立”—“網站釋出規則”

規則的名稱是“釋出DMZ 的網站”

<a href="http://blog.51cto.com/attachment/201007/104952270.jpg" target="_blank"></a>

規則的操作選擇“允許”

<a href="http://blog.51cto.com/attachment/201007/105005215.jpg" target="_blank"></a>

釋出類型選擇“釋出單個網站或負載平衡器“

<a href="http://blog.51cto.com/attachment/201007/105022844.jpg" target="_blank"></a>

ISA 和 WEB server 我們使用 HTTP 連接配接

<a href="http://blog.51cto.com/attachment/201007/105039669.jpg" target="_blank"></a>

内部站點名稱我們寫入計算機名稱(我們必須保證ISA 能夠和NANJING 正常通信)

<a href="http://blog.51cto.com/attachment/201007/105136976.jpg" target="_blank"></a>

我們将釋出整個網站

<a href="http://blog.51cto.com/attachment/201007/105336233.jpg" target="_blank"></a>

任何域名我們都允許通路

<a href="http://blog.51cto.com/attachment/201007/105431398.jpg" target="_blank"></a>

偵聽器 選擇我們已經建立好的 LISTEN 80 (偵聽器中沒有允許身份驗證)

我們不委派ISA 做什麼驗證,使用者也無法驗證身份,(實驗環境下我們簡單設定)

<a href="http://blog.51cto.com/attachment/201007/105449397.jpg" target="_blank"></a>

<a href="http://blog.51cto.com/attachment/201007/105510742.jpg" target="_blank"></a>

<a href="http://blog.51cto.com/attachment/201007/105524254.jpg" target="_blank"></a>

單擊下一步,我們就完成了 釋出規則的建立!!

現在我們可以在内網和外網來通路一下 DMZ 中的NANJING啦

如圖是 外網的TIANJIN 來通路WEB 伺服器,

<a href="http://blog.51cto.com/attachment/201007/105654583.jpg" target="_blank"></a>

能夠正常通路!!!

如圖是内網通路 DMZ 中的 NANJING 伺服器,

<a href="http://blog.51cto.com/attachment/201007/105720491.jpg" target="_blank"></a>

還有一個容易出現的問題是:DMZ 将WEB 伺服器釋出到外網和内網,這樣造成了外網使用者能正常通路,二内網使用者則不行!

因為前面我們已經定義了 内網到 DMZ 區域 是 正向的NAT 關系,是以内網到DMZ 區域采用 通路規則即可!外網到DMZ 區域是 逆向的NAT 關系,是以我們隻能采用 釋出規則!!!

讓我們來測試一下!!!

我們把内網通路DMZ 的 通路規則禁用,将釋出規則中的目标網絡添加上内網!!

<a href="http://blog.51cto.com/attachment/201007/105849938.jpg" target="_blank"></a>

我們用内網的機器來測試一下!!

如圖;提示 “無法顯示網頁”

<a href="http://blog.51cto.com/attachment/201007/105826654.jpg" target="_blank"></a>

本文轉自 位鵬飛 51CTO部落格,原文連結:http://blog.51cto.com/weipengfei/343233如需轉載請自行聯系原作者

Web App開發 測試技術 網絡安全 centos iso鏡像 centos dvd iso鏡像 cent iso鏡像 isa防火牆 isa問題
上一篇: 資料恢複
下一篇: WDS--部署伺服器

繼續閱讀