[转载]使用ISA Server 2004 网络模板来自动建立访问策略:边缘防火墙模板
<P>信息来源:windows 中文站</P><P><SPAN class=postbody>译自Thomas Shinder “Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template”,加以整理修改 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/ISA2004.gif" onload=setImageDimensions(this) border=0> <BR><BR>前言:ISA Server 2004在防火墙配置和提供到Internet的安全访问上比过去有了很大的提高,也比过去更容易使用。如果你过去曾经使用过ISA Server 2000,那么你在配置ISA Server 2004上会很轻松,另外,ISA Server 2004提供了网络模板,可以让你轻松的设置防火墙策略,这篇文章将以最常见的边缘防火墙模板进行配置的介绍。 <BR><BR> <BR><BR>ISA Server 2004防火墙具有5个预定义的网络模板: <BR><BR>边缘防火墙; <BR><BR>3周长的网络(包含DMZ(停火区)) <BR><BR>前端防火墙; <BR><BR>背部防火墙; <BR><BR>单网络适配器; <BR><BR><BR>ISA Server 2004管理控制台提供了一些图片,让你可以更能清晰的了解这些名字所代表的意思。在这篇文章中,我们将详细介绍最常用的边缘防火墙模板。这个模板是指ISA Server 2004处于Internet边缘,拥有一个接入到Internet的外部接口和一个接入到Lan的内部接口。例如我们最常使用的宽带拨号,然后把ISA Server 2004作为网关,就属于这种模板。 <BR><BR>在你正确的配置网络接口后,可以使用这个模板(请注意:一定要正确的配置网络接口)。至于如何配置网络接口,请参阅ISA Server 2004快速配置指南。 <BR><BR>下图是ISA Server 2004对边缘防火墙模板的说明图。Internal Network在ISA Server 2004后面,并且受到ISA Server 2004的保护。Local Host指的是ISA Server 2004防火墙本身。External Network (Internet)指的是没有表现在Internet network和VPN客户网络的其他网络。VPN客户网络是由ISA Server 2004防火墙动态建立的网络,里面包含了VPN客户的地址。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/1.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>边缘防火墙模板为了做了两件主要的事情: <BR><BR>定义了内部网络的IP地址; <BR><BR>建立了两个包含防火墙策略在内的访问策略。 <BR><BR>内部网络是在你运行边缘防火墙向导时会配置的IP地址集。这个向导也会允许你选择控制内部网络、VPN客户网络和外部网络之间通信流量的防火墙策略。 <BR><BR>向导允许你从一些不同的防火墙策略中进行选择,预定义的防火墙策略包括: <BR><BR>禁止访问:这个防火墙策略禁止通过防火墙的所有访问,只有在你想手动定义全部的防火墙策略时使用。 <BR><BR>不能访问ISP网络的服务:这个防火墙策略阻止除了访问网络基础服务(如DNS)外的所有通过防火墙的访问,只有在你想手动定义客户访问策略的时候才使用这个选项。使用这个策略,将会建立下列策略: <BR><BR>DNS:允许内部网络、VPN客户到Internet的DNS请求; <BR><BR>受限的Web访问:这个防火墙策略允许访问Web站点,但是不能访问其他服务。只有在你想只允许Web访问时使用,你可以修改它以允许其他服务的访问。这个策略需要内部网络中有DNS服务以便解析Web服务器地址。如果需要访问Internet的DNS服务,你也需要修改这条策略。如果你使用这个模板,将会建立以下策略: <BR><BR>1、Web access :允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问; <BR><BR>2、VPN:允许从VPN客户端到内部网络的所有协议的访问。 <BR><BR>受限的Web和ISP网络服务的访问:这个模板和上面的相比,只是多了个允许向Internet发送DNS请求。使用这个模板,以下规则将会建立: <BR><BR>1、Web access :允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问; <BR><BR>2、DNS : 允许从内部网络、VPN客户到Internet的DNS请求; <BR><BR>3、VPN:允许从VPN客户端到内部网络的所有协议的访问。 <BR><BR>无限制的Internet访问:允许通过防火墙的所有Internet访问,防火墙将阻止Internet到被保护网络的访问。你可以修改它以阻止某些网络访问。使用这个模板,将建立以下策略: <BR><BR>1、Internet access :允许从内部网络、VPN客户到Internet的所有协议; <BR><BR>2、VPN:允许从VPN客户到内部网络的所有协议; <BR><BR> <BR><BR>这个地方需要澄清的是DNS策略包含在它们之间的一些策略中。内部的DNS服务器需要能访问到Internet的DNS服务器或者ISP的转发器才能正常工作,并不是说内部有了DNS服务器就不需要开放向外部DNS服务的访问。 <BR><BR>如果你是初学者,建议你使用无限制的Internet访问模板;当你比较熟悉网络和ISA Server 2004后,再使用其他更有限制的网络访问控制。 <BR><BR>使用边缘防火墙模板来建立防火墙策略 <BR>执行以下步骤以使用边缘防火墙模板来建议防火墙访问策略: <BR><BR>打开 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展开你的服务器,再展开Configuration 。 <BR>点击 Networks,如果任务面板没有打开,点击Open/Close Task Pane 按钮。在任务面板,点击Template 标签,在Templates 标签,点击Edge Firewall 模板; <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/templates.jpg" onload=setImageDimensions(this) border=0> <BR><BR>在Welcome to the Network Template Wizard 页上点击Next 。 <BR>在Export the ISA Server Configuration页,点击Export按钮(在应用这个模板之前,我们先保存当前的配置,这也是推荐的做法)。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/export1.jpg" onload=setImageDimensions(this) border=0> <BR><BR>在Export Configuration 对话框,在File name 文本框中输入备份配置文件的名字,勾选Export user permission settings 和 Export confidential information (encryption will be used),点击 Export。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/export2.jpg" onload=setImageDimensions(this) border=0> <BR><BR>在 Set Password 对话框,在Confirm password 文本框中输入保护保存在备份文件中的重要信息的密码和确认密码,点击 OK。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/export3.jpg" onload=setImageDimensions(this) border=0> <BR><BR>显示Successfully export the configuration后,在Exporting 对话框上点击 OK。 <BR>在Export the ISA Server Configuration页点击Next 。 <BR>在 Internal Network IP Addresses 页,确认向导正确识别了内部网络的IP地址,这个内部网络包含了ISA Server 2004必须与之通信的基础服务服务和其他重要的网络服务器。例如这些服务器包括活动目录域、DNS服务器、DHCP服务器、IAS服务器、证书服务器等。你一二使用Add Adapter 和 Add Private 按钮来向列表中添加更多的IP地址。在 Address Ranges 列表中的IP地址将在后面向导配置的防火墙中允许访问Internet。在所有的IP地址都添加完毕后,点击Next 继续。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/address.jpg" onload=setImageDimensions(this) border=0> <BR><BR>在 Select a Firewall Policy 页,从Select a firewall policy列表选择一个防火墙策略,这儿有上述的5个策略。可以点击它们中的一个,然后阅读下面的描述。在这个例子中,我们将选择Unrestricted Internet Access策略,这个防火墙策略将允许内部网络和VPN客户网络的主机完全访问Internet。SecureNAT客户端将允许访问 Protocols 列表中的所有协议,而Firewall客户端则可以访问所有的Internet协议。点击 Next。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/select.jpg" onload=setImageDimensions(this) border=0> <BR><BR>在Completing the Network Template Wizard 页回顾设置,点击Finish。 <BR>点击 Apply 保存修改和更新防火墙策略。 <BR><BR>回顾防火墙策略的变更 <BR>网络模板向导在防火墙策略中建立了两个策略,你可以通过Microsoft Internet Security and Acceleration Server 2004管理控制台来回顾他们。 <BR><BR>在Microsoft Internet Security and Acceleration Server 2004 管理控制台,展开服务器,点击Firewall Policy ,在右边细节面板,你可以看见两条由网络模板向导所建议的策略。 <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/policy.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>第一条是Unrestricted Internet access 策略,这条策略有以下特性: <BR>Action: Allow <BR><BR>Protocols: All Protocols <BR><BR>From: Internal and VPN Clients networks <BR><BR>To: External <BR><BR>Condition: All Users <BR><BR>这条策略允许内部网络和VPN客户网络访问Internet,注意和ISA Server 2000相对比的是,VPN客户也可以通过ISA Server 2004防火墙来访问Internet。在ISA Server 2000中,你不能将VPN客户设置为SecureNAT客户端,所以,你必须将VPN客户设置为Firewall客户端,才能让它访问Internet。在ISA Server 2004中,已经解决了这个问题,VPN可以端可以作为SecureNAT客户端来访问Internet。 <BR><BR>第二条策略是 VPN to Internal Access 策略,这条策略有以下特性: <BR>Action: Allow <BR><BR>Protocols: All Protocols <BR><BR>From: VPN Clients network <BR><BR>To: Internal <BR><BR>Condition: All Users <BR><BR>这条策略允许VPN客户访问内部网络的所有资源。 <BR><BR>从内部网络客户测试防火墙策略 <BR>你可以在一台内部客户计算机上测试新的防火墙策略。在一台内部客户计算机上执行以下步骤: <BR><BR>打开 Internet Explorer ,在地址栏输入[url]http://www.isaservercn.org[/url],点击 OK。 <BR>ISA中文站将会出现在你的浏览器中。 <BR>你可以使用ISA Server 2004的实时监控记录特性来监控内部网络客户和Internet之间的链接。展开服务器,点击Monitoring 。 <BR>在细节面板,点击 Logging 标签,在 Logging 标签,点击 Start Query 链接; <BR><IMG onmouseover="changeImageDimensions(this, 'over')" onmouseout="changeImageDimensions(this, 'out')" src="http://www.isacn.org/pic/template/logging.jpg" width=570 onload=setImageDimensions(this) border=0> <BR><BR>点击Show/Hide Console Tree按钮隐藏活动面板,点击 Open/Close Task Pane 按钮关闭任务面板,这样可以让你清楚的看见实时监控。 <BR>在内部网络客户机器,点击ISA中文站上面的链接,然后看看实时监控里面的记录,你会发现连接的细节,包含源IP、目的IP、协议、用户名等。 <BR><BR>本文来自: <BR><A href="http://www.isacn.org/info/info.php?sessid=&infoid=23&page=1" target=_blank>[url]http://www.isacn.org/info/info.php?sessid=&infoid=23&page=1[/url]</A></SPAN><SPAN class=postbody><BR></SPAN></P>
页:
[1]