信息来源:http://www.isacn.org/info/info.php?sessid=&infoid=158&page=1
当你从ISP处获得了多个Internet的IP地址时,你肯定想在DMZ网络中部署Internet的IP地址,以便对外部网络提供服务。ISA 2004防火墙是支持在DMZ区域中使用公共IP地址的。但是如果直接在DMZ网络中部署公共IP地址,会受到外部ISP路由的限制,外部ISP必须在路由器上添加指向你的DMZ区域网络的路由,否则外部用户是不能访问你的DMZ区域的。
另外一个办法就是在ISA 2004防火墙的外部接口上绑定ISP分配给你的所有Internet的IP地址,然后使用不同的公共IP地址来发布你DMZ区域中的服务器。在这篇文章中,你可以学习到如何部署ISA 2004防火墙实现这一想法。
下图是我们的试验网络拓朴结构,
我们从ISP处获得了61.139.0.4~61.139.0.8共计5个IP地址,然后,我使用61.139.0.5这个IP地址来发布DMZ网络中服务器172.16.0.2上的Web服务,然后使用61.139.0.6这个IP地址来发布172.16.0.2上的Ftp服务。
各计算机的TCP/IP设置如下,此试验中不涉及DNS解析,DNS服务器均设置为空:
DMZ的WWW/FTP服务器:
- IP:172.16.0.2/24
- DG:172.16.0.1
Client2:
- IP:192.168.0.2/24
- DG:192.168.0.1
Client1:
- IP:61.139.0.1/24
- DG:61.139.0.1
ISA防火墙:
Internal接口:
- IP:192.168.0.1/24
- DG:None
DMZ接口
External接口
- IP:61.139.0.8/24(主要IP)
61.139.0.4/24
61.139.0.5/24
61.139.0.6/24
61.139.0.7/24
- DG:61.139.0.1
在此文章中,我们按照以下步骤进行:
- 使用网络模板配置DMZ网络;
- 配置网络规则和访问规则;
- 发布DMZ网络中的Web服务器;
- 发布DMZ网络中的Ftp服务器;
- 测试。
使用网络模板配置DMZ网络
在安装ISA Server 2004之前,确认各网络间的连通性,这个可以用Ping来进行测试。安装ISA Server 2004过程略,在安装完成后进入ISA Server 2004的管理控制台,你可以看到此时防火墙策略只有默认的Deny all,网络中只有内部网络进行了配置,此时,我们需要配置DMZ网络。这个可以手动建立,不过,我们可以利用更方便的网络模板来建立。
点击网络,在右边的任务面板中,点击模版,然后点击3向外围网络;
在弹出的欢迎使用网络模版向导页,点击下一步;
在导出ISA服务器的配置页,点击下一步;
在内部网络IP地址页,由于在安装时进行了配置,所以这儿已经显示出了内部网络的IP地址,如下图;
点击下一步继续;
在外围网络IP地址页,点击添加适配器;
在弹出的选择网卡对话框,勾选DMZ,点击确定;
然后在外围网络IP地址页点击下一步;
在选择一个防火墙策略页,这个根据你的情况自行选择,不过可能都不能适合你的要求,你可以在后面手动进行调整。在此我选择“允许无限制的访问”,然后点击下一步;
在正在完成网络模版页,点击完成。
此时就已经建好了外围网络,你可以在网络里面看见,如下图。
配置网络规则和访问规则
在这个模版中,对DMZ和外部网网络间使用的是路由的网络路由关系,由于我们在DMZ网络中采用的是172.16.x.x的私有IP地址段,所以我们需要修改为NAT。
点击网络规则,然后双击外围访问,
在弹出的外围访问属性的网络关系标签,选择网络地址转换(NAT),然后点击确定。
同样的,通过这个模版建立的访问规则中,不允许外围网络访问外部网络,所以我们也需要调整。
点击防火墙策略,双击无限制的Internet访问策略,
然后在从标签,点击添加,在添加网络实体对话框中添加外围网络,完成后如下图所示,点击确定;
发布DMZ网络中的Web服务器
我们现在要使用61.139.0.5这个外部IP地址来发布内部的Web服务器,右击防火墙策略,指向新建,然后选择Web服务器发布规则;
在欢迎使用新建Web发布规则向导页,为此规则输入一个名字,在此我命名为Publish DMZ's Web server,点击下一步;
在请选择规则操作页,选择允许,然后点击下一步;
在请定义要发布的网站页,输入DMZ网络中Web服务器的IP地址,在此为172.16.0.2,点击下一步;
在公共名称细节页,在接受请求栏选择任何域名,然后点击下一步;
在选择Web侦听器页,点击新建,
在欢迎使用新建Web侦听器向导页,输入Web侦听器的名字,在此我命名为Listen 61.139.0.5's 80,点击下一步;
在IP地址页,勾选外部,然后点击地址按钮,
在弹出的外部网络侦听器IP选择页,选择在此网络上选择的IP地址,然后在可用的地址栏选择61.139.0.5,然后点击添加,最后点击确定;
在IP地址页,点击下一步;
在端口指定页,接受默认的HTTP 80端口,点击下一步;
在正在完成新建Web侦听器向导页,点击完成。
在选择Web侦听器页,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页,点击完成,此时,Web发布规则就建立好了。
发布DMZ网络中的Ftp服务器
现在我们使用61.139.0.6这个外部IP地址来发布DMZ网络中FTP服务。右击防火墙策略,指向新建,然后选择服务器发布规则;
在欢迎使用新建服务器发布规则向导页,输入规则的名字,在此我命名为Publish DMZ's Ftp server,点击下一步;
在选择服务器页,输入DMZ网络中Ftp服务器的IP地址,在此是172.16.0.2,点击下一步;
在选择协议页,选择FTP服务器,然后点击下一步;
在IP地址页,勾选外部,然后点击地址按钮;
在弹出的外部网络网络侦听器IP选择对话框,选择在此网络上选择的IP地址,然后在可用的地址栏选择61.139.0.6,然后点击添加,最后点击确定;
在IP地址页,点击下一步;
在正在完成新建服务器发布规则向导页,点击完成,此时,我们的FTP服务发布也就完成了。
测试
现在我们来测试一下我们刚才建立的配置,首先是在内部网络的计算机Client2上,访问172.16.0.2的Ftp服务,
服务是可以访问的。
现在我们回到Internet上的主机Client1上,我们来使用HTTP访问ISA上绑定的几个外部IP地址试试,
可以很清楚的看到,只有我们发布了Web服务的61.139.0.5这个IP才能访问Web服务,其他的IP地址都不能。
现在我们测试一下访问这几个IP地址上的FTP服务,
如上图,只有发布了FTP服务的61.139.0.6才能访问。
最后,我们在DMZ网络的服务器上看看我们的FTP日志,如下图
你可以很清楚的看到外部IP地址为61.139.0.1的登录;至于前面一个172.16.0.1的IP地址,是我开始用内部网络中的Client2来访问留下的。至于为什么会留下这个IP地址,前面的图上是有答案的,我就不会回答了。
