[转载]使用ISA Server 2004配置背靠背的防火墙环境(页 1) - 专题安全方向{ Security Research Papers } - 防火墙[ Firewall ] - 邪恶八进制信息安全团队技术讨论组努力为祖国的信息安全撑起一片蓝天

金州 2006-2-4 09:49

[转载]使用ISA Server 2004配置背靠背的防火墙环境

文章作者：Shenxu 信息来源：<A href="http://www.isacn.org/info/info.php?sessid=&infoid=146&page=1">[url]http://www.isacn.org/info/info.php?sessid=&infoid=146&page=1[/url]</A>
ISA Server 2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明，有很多网友也提出这个问题。我花了一天时间，进行N次尝试和测试，获得了一手资料。本文适用于已经有一定ISA和网络技术基础的网友参考，请初入门的网友先学习其他文章。
由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计，所以针对国内的实际情况（很多网友的网络只有一个Internet的IP地址），模板需要做很大调整。外围网使用公网IP的情况按照模板不需要调整，很容易实现，这里就不做介绍了。
只有一个公网IP的也有两种情况，后端防火墙内的网络需要不需要被外围网访问。先介绍后端防火墙内的电脑或者服务器，不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况，这种情况比较简单。

在第一种和第二种情况下网络构成不变。

一、外围网不需访问后端防火墙内的电脑或者服务器

1.要求
服务器网段（FTP服务器，WEB服务器，邮件服务器）不能上网，只能被外部和外围网有限访问一些服务，外围网和后端防火墙网段能够上网，后端防火墙网段可以访问外围网和服务器网段。

2.网络构成
前端防火墙共3张网卡，

网卡1
连接对外服务的服务器
IP ：192.168.1.1/24 无网关，无DNS

网卡2
连接外围网
IP：192.168.100.1/24 无网关，无DNS

网卡3
使用PPPoE拨号得到外部IP，网关，DNS服务器地址

外围网客户端的网络设置
IP：192.168.100.*/24 网关192.168.100.1， DNS 192.168.100.1

在ISA服务器上建立DNS服务器，转发到ISP提供的DNS服务器

后端防火墙2网卡，

网卡1
连接外围网
IP：192.168.100.2/24 ，网关192.168.100.1， DNS 192.168.100.1
网卡2
连接内部上网电脑
IP：192.168.50.1/24 无网关，无DNS 
3.1设置前端防火墙
<IMG height=302 src="http://www.isacn.org/pic/front&back/image003.jpg" width=554 border=0>
如图使用前端防火墙模板，点击模板，

如果需要保持以前的网络设定，可以在此处导出网络设置文件，备份。

添加外围网的地址范围，

为了测试方便，我们在这里选择允许无限制的访问，在实际运用种，应该按照各自需要设定。

前端防火墙模板完成。



3.2增加对外访问的服务器网段

如图点击创建一个新的网络，
<IMG height=280 src="http://www.isacn.org/pic/front&back/image009.jpg" width=708 border=0>

选择外围网，


加入对外服务服务器的地址段


建立网络之间关系，创建一个新的网络规则，


定义对外服务服务器网段的名字，



增加网络源

增加目标网络

选择关系是路由， 

最后点击完成。


我们配置到这里，需要确认一下是否都配置正确。




下面我们发布一下一2121为非正常端口的FTP服务器
如图建立发布规则
<IMG height=294 src="http://www.isacn.org/pic/front&back/image021.jpg" width=641 border=0>

注意它的属性，其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布，这里不在做详细的规则配置介绍，不熟悉的网友，请先参看其它文章。

3.3 在不需要外网网访问的情况下，后端防火墙没有特别的和边缘防火墙模板相同，完全可以使用边缘防火墙模板，这里不说明边缘防火墙的设置，在第二种情况下，需要外网网访问后端防火墙内电脑的时候，做详细说明。注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定。
3.4 测试
从公网IP进行FTP测试 *** CuteFTP Pro 3.0 - build Oct 7 2002 ***
状态:> 正在获取列表""... 状态:> 正在连接主机名称 www.freecnjp.com... 状态:> 主机 www.freecnjp.com 已连接: ip = 43.*.*.27。 状态:> 正在连接到 ftp 服务器 www.freecnjp.com:2121 (ip = 43.*.*.27)... 状态:> 接口已连接。正在等候欢迎消息... 220 Serv-U FTP Server v5.1 for WinSock ready... 状态:> 已连接。正在登陆... 命令:> USER test 331 User name okay, need password. 命令:> PASS ***** 230 User logged in, proceed. 状态:> 登录成功。 命令:> PWD 257 "/" is current directory. 状态:> Home directory: / 命令:> FEAT 211-Extension supported CLNT MDTM MDTM YYYYMMDDHHMMSS[+-TZ];filename SIZE SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG REST STREAM XCRC filename;start;end MODE Z 211 End 状态:> 该站点支持 features。 状态:> 这个站点支持 XCRC. 状态:> 这个站点支持 SIZE. 状态:> 该站点可以续传中断的下载。 命令:> REST 0 350 Restarting at 0. Send STORE or RETRIEVE. 命令:> PASV 227 Entering Passive Mode (43,244,170,27,25,29) 命令:> LIST 状态:> 正在连接 ftp 数据 socket 43.244.170.27:6429... 150 Opening ASCII mode data connection for /bin/ls. 226 Transfer complete. 状态:> 传送完成。 从内部ping， 



从内部对FTP测试 *** CuteFTP Pro 3.3 - build Sep 29 2003 ***
状态:> 正在获取列表“”... 状态:> 正在连接到 ftp 服务器 192.168.1.11:2121 (ip = 192.168.1.11)... 状态:> Socket 已连接。正在等候欢迎消息... 220 Serv-U FTP Server v5.1 for WinSock ready... 状态:> 已连接。正在验证... 命令:> USER test 331 User name okay, need password. 命令:> PASS ***** 230 User logged in, proceed. 状态:> 登录成功。 命令:> PWD 257 "/" is current directory. 状态:> Home directory: / 命令:> FEAT 211-Extension supported CLNT MDTM MDTM YYYYMMDDHHMMSS[+-TZ];filename SIZE SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG REST STREAM XCRC filename;start;end MODE Z 211 End 状态:> 该站点支持 features。 状态:> 该站点支持 XCRC。 状态:> 该站点支持 SIZE。 状态:> 该站点可以续传中断的下载。 命令:> REST 0 350 Restarting at 0. Send STORE or RETRIEVE. 命令:> PASV 227 Entering Passive Mode (192,168,1,11,4,9) 命令:> LIST 状态:> 正在连接 ftp 数据 socket 192.168.1.11:1033... 150 Opening ASCII mode data connection for /bin/ls. 226 Transfer complete. 状态:> 传送完成。
FTP服务器上的信息 [5] Wed 27Oct04 13:56:24 - (000003) Connected to 192.168.100.2 (Local address 192.168.1.11) [5] Wed 27Oct04 13:56:25 - (000003) User TEST logged in [5] Wed 27Oct04 14:00:23 - (000004) Connected to 202.*.*.211 (Local address 192.168.1.11) [5] Wed 27Oct04 14:00:23 - (000004) User TEST logged in 

在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器，
<IMG height=199 src="http://www.isacn.org/pic/front&back/image025.jpg" width=650 border=0>

我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP，是后端防火墙ISA的IP，也就是说，在使用普通模板不修改设置的时候，后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络，所以外围网不能自由访问后端防火墙内部的电脑，只能以发布的方式访问个别电脑的个别服务，就同发布服务器一样。 
二、外围网需要访问后端ISA内部电脑的情况
就是说，在前端防火墙ISA后面，所有网络都可以到达，这个配置起来比较复杂。我们在已经配置好第一种情况的基础上进行修改。
1. 我们修改前端防火墙ISA的设置，网络规则不作修改，防火墙策略不作修改。
如图：配置网络-网络-外围-属性--添加地址
我们把后端防火墙内部的IP地址增加进去


打开前端防火墙ISA上的路由和远程访问，增加静态路由。警告，在不明确知道做什么的情况下，不要去动ISA服务器上的路由和远程访问！

添加，网关为后端服务器IP，接口为和后端防火墙连接的那个网卡。个人的网卡标识不同，自己确认。

2. 配置后端防火墙
如图，选择后端防火墙模板


添加后端防火墙地址范围


同样为了测试方便，允许无限制访问，以后可自行修改。


翻到网络规则，我们看这里是NAT，


把网络关系变成路由，


填写前端防火墙地址，





外围网络地址范围。




这些在构筑测试的时候没有用处，在以后的实际运用中，如限定上网权限等等非常有用。
防火墙策略规则为了测试方便，如图配成这样
<IMG height=123 src="http://www.isacn.org/pic/front&back/image039.jpg" width=737 border=0>
 
下面做测试
在192.168.50.10机器上做如下测试 C:\Documents and Settings\sam>ping 192.168.100.1
Pinging 192.168.100.1 with 32 bytes of data:
Reply from 192.168.100.1: bytes=32 time=6ms TTL=127 Reply from 192.168.100.1: bytes=32 time<1ms TTL=127 Reply from 192.168.100.1: bytes=32 time<1ms TTL=127 Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Ping statistics for 192.168.100.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 6ms, Average = 1ms
C:\Documents and Settings\sam>ping 192.168.1.10
Pinging 192.168.1.10 with 32 bytes of data:
Reply from 192.168.1.10: bytes=32 time=3ms TTL=248 Reply from 192.168.1.10: bytes=32 time=1ms TTL=248 Reply from 192.168.1.10: bytes=32 time=1ms TTL=248 Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Ping statistics for 192.168.1.10: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 3ms, Average = 1ms
在ISA前端防火墙上做 C:\Documents and Settings\test>ping 192.168.50.10
Pinging 192.168.50.10 with 32 bytes of data:
Reply from 192.168.50.10: bytes=32 time=3ms TTL=127 Reply from 192.168.50.10: bytes=32 time<1ms TTL=127 Reply from 192.168.50.10: bytes=32 time<1ms TTL=127 Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Ping statistics for 192.168.50.10: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 3ms, Average = 0ms
在Server段机器上作 C:\Documents and Settings\tes>ping 192.168.50.11
Pinging 192.168.50.11 with 32 bytes of data:
Reply from 192.168.50.11: bytes=32 time=1ms TTL=62 Reply from 192.168.50.11: bytes=32 time<1ms TTL=62 Reply from 192.168.50.11: bytes=32 time<1ms TTL=62 Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Ping statistics for 192.168.50.11: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 1ms, Average = 0ms 

在192.168.50.10的电脑上访问192.168.100.15的web服务器


访问在前端防火墙上的WEB服务器，可以看到你的真是IP内容已经变成真实的IP了。
<IMG height=200 src="http://www.isacn.org/pic/front&back/image042.jpg" width=650 border=0>
这样就可以在外围网对IP的访问权限进行限定。
至此所有配置按照要求完成。下面是对于具体细节的设定，比如后端防火墙不能所有到所有，所有协议，所有出入，可以根据服务器段范围，外围网范围，需要那些服务协议，按照需要自行设定，具体方法这里不在累述，其它帖子论述很多。

页: [1]

邪恶八进制信息安全团队技术讨论组's Archiver

[转载]使用ISA Server 2004配置背靠背的防火墙环境