邪恶八进制信息安全团队技术讨论组 » 专题安全方向{ Security Research Papers } » 防火墙[ Firewall ] » [转载]在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题 [查看完整版本]

金州 2006-2-4 09:29

[转载]在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题

<P>windows 中文站</P>
<P><SPAN class=postbody>目前国内拨号上网的用户基本都是使用基于PPPoE协议的ADSL。PPPoE全称为Point to Point Protocol over Ethernet（以太网上的点对点协议），是将以太网和PPP协议结合后的协议，通过PPPoE技术和宽带调制解调器（比如ADSL Modem）就可以实现高速宽带网的个人身份验证访问，为每个用户创建虚拟拨号连接，这样就可以高速连接到Internet。 <BR><BR>ISA防火墙是为TCP/IP而设计的，并且以TCP/IP作为一切服务运行的基础。 ISA防火墙使用IP地址来严格定义网络，但是ISA防火墙面对的是企业级的网络，考虑的更多的是固定IP地址的情况，对于动态获取IP地址的网络环境，虽然支持兼容性却不够好。例如，在ADSL首次连接获得一个IP地址时，ISA会把此IP登记在外部网络中，并在此IP上绑定发布的服务。在过一段时间后，ISP端强制刷新ADSL连接，ADSL被ISP端断开，虽然通过请求拨号可以自动重新连接，但是重新获得一个IP地址后，此时获得的IP地址和ISA防火墙中已经登记的外部IP地址不一致，此时ISA防火墙就会出现配置错误，如果发布了服务，那么还会出现服务发布失败和服务发布恢复的警告。 <BR><BR>如下图，这是一个配置错误的警告： <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip2.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>下面是服务发布失败和服务发布恢复的警告： <BR><BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip3.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip4.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>不过，<SPAN style="COLOR: red">虽然出现警告，一般情况是不会影响使用的，ISA会正确识别重新拨号后获得的新IP地址，然后使用新获得的IP地址进行路由和服务的绑定。</SPAN>需要注意的是，因为兼容性的问题，有时会出现拨号成功了系统却不能正确识别路由的问题，此时需要你断开拨号连接重新再连接一次即可。下图就是ISA服务器没能正确识别拨号路由的情况： <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip5.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>企业使用ADSL接入的代理服务器基本都是双网卡，一个网卡接内部网络，另一个接ADSL Modem，然后由ISA防火墙拨号（不推荐ADSL Modem拨号）。现在的ADSL Modem基本都具有DHCP/NAT等附属功能，可以自动为连接的网卡分配IP地址。默认情况下，所有网卡都会绑定TCP/IP协议并且设置为自动获取IP地址，对于ISA防火墙上连接ADSL Modem的网卡，此时就会获得一个由ADSL Modem的DHCP服务提供的IP地址（当然你也可以手动设置）。而对于ISA防火墙来说，你需要设置此网卡所属的网络。其实PPPoE是独立的协议，不需要TCP/IP协议的支持，连接ADSL Modem的网卡根本就不需要绑定TCP/IP协议，你可以在此网卡上直接取消TCP/IP协议的绑定。这样就不用再在ISA防火墙中进行配置，而且提高了网络系统的性能。 <BR><BR>取消协议绑定的操作步骤如下，建议再安装ISA防火墙前进行。如果已经安装了ISA防火墙，在进行操作前请先停止ISA防火墙的服务，然后进行修改，修改完毕后再启动ISA防火墙： <BR><BR>打开网络连接文件夹， <BR><BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip6.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>然后右击连接ADSL Modem的网卡，选择属性，在绑定的协议列表框中取消勾选Internet协议（TCP/IP）即可。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/unbindtcpip/unbindtcpip7.jpg" onload=setImageDimensions(this) border=0> <BR><BR>运行Ipconfig /all，此时已经没有显示出此网卡的信息了： <BR><BR>C:\Documents and Settings\Administrator>ipconfig /all <BR><BR>Windows IP Configuration <BR><BR>Host Name . . . . . . . . . . . . : xxxxxxxx <BR>Primary Dns Suffix . . . . . . . : <BR>Node Type . . . . . . . . . . . . : Unknown <BR>IP Routing Enabled. . . . . . . . : Yes <BR>WINS Proxy Enabled. . . . . . . . : No <BR><BR>Ethernet adapter Intel: <BR><BR>Connection-specific DNS Suffix . : <BR>Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection <BR>Physical Address. . . . . . . . . : 00-03-47-F4-FC-E7 <BR>DHCP Enabled. . . . . . . . . . . : No <BR>IP Address. . . . . . . . . . . . : 192.168.0.1 <BR>Subnet Mask . . . . . . . . . . . : 255.255.255.0 <BR>Default Gateway . . . . . . . . . : <BR><BR>PPP adapter chinatelecom: <BR><BR>Connection-specific DNS Suffix . : <BR>Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface <BR>Physical Address. . . . . . . . . : 00-53-45-00-00-00 <BR>DHCP Enabled. . . . . . . . . . . : No <BR>IP Address. . . . . . . . . . . . : 218.88.xx.xx <BR>Subnet Mask . . . . . . . . . . . : 255.255.255.255 <BR>Default Gateway . . . . . . . . . : 218.88.xx.xx <BR>DNS Servers . . . . . . . . . . . : 202.98.96.68 <BR>61.139.2.69 <BR>NetBIOS over Tcpip. . . . . . . . : Disabled <BR><BR>　 <BR><BR>ADSL拨号连接还是一样可以正常使用的。 <BR><BR>　 <BR><BR>安装ISA防火墙的步骤就不多说了，参见ISA Server 2004完全上手指南一文，其实这篇文章就是在ADSL拨号的环境下进行的安装，另外配置请求拨号请参见关于ISA Server 2004中请求拨号的使用说明一文。 <BR><BR>本文来自： <BR><A href="http://www.isacn.org/info/info.php?sessid=&infoid=187&page=1" target=_blank>[url]http://www.isacn.org/info/info.php?sessid=&infoid=187&page=1[/url]</A></SPAN><SPAN class=postbody><BR></SPAN></P>

查看完整版本: [转载]在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题

© 1999-2008 EvilOctal Security Team