ISA防火墙

ISAServer2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明，有很多网友也提出这个问题。我花了一天时间，进行N次尝试和测试，获得了一手资料。本文适用于已经有一定ISA和网络技术基础的网友参考，请初入门的网友先学习其他文章。由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计，所以针对国内的实际情况（很多网友的网络只有一个Internet的IP地址），模板需要做很大调整。外围网使用公网IP的情况按照模板不需要调整，很容易实现，这里就不做介绍了。只有一个公网IP的也有两种情况，后端防火墙内的网络需要不需要被外围网访问。先介绍后端防火墙内的电脑或者服务器，不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况，这种情况比较简单。在第一种和第二种情况下网络构成不变。一、外围网不需访问后端防火墙内的电脑或者服务器1.要求服务器网段（FTP服务器，WEB服务器，邮件服务器）不能上网，只能被外部和外围网有限访问一些服务，外围网和后端防火墙网段能够上网，后端防火墙网段可以访问外围网和服务器网段。2.网络构成前端防火墙共3张网卡，网卡1连接对外服务的服务器IP：192.168.1.1/24无网关，无DNS网卡2连接外围网IP：192.168.100.1/24无网关，无DNS网卡3使用PPPoE拨号得到外部IP，网关，DNS服务器地址外围网客户端的网络设置IP：192.168.100.*/24网关192.168.100.1，DNS192.168.100.1在ISA服务器上建立DNS服务器，转发到ISP提供的DNS服务器后端防火墙2网卡，网卡1连接外围网IP：192.168.100.2/24，网关192.168.100.1，DNS192.168.100.1网卡2连接内部上网电脑IP：192.168.50.1/24无网关，无DNS3.1设置前端防火墙如图使用前端防火墙模板，点击模板，如果需要保持以前的网络设定，可以在此处导出网络设置文件，备份。添加外围网的地址范围，为了测试方便，我们在这里选择允许无限制的访问，在实际运用种，应该按照各自需要设定。前端防火墙模板完成。3.2增加对外访问的服务器网段如图点击创建一个新的网络，选择外围网，加入对外服务服务器的地址段建立网络之间关系，创建一个新的网络规则，定义对外服务服务器网段的名字，增加网络源增加目标网络选择关系是路由，最后点击完成。我们配置到这里，需要确认一下是否都配置正确。下面我们发布一下一2121为非正常端口的FTP服务器如图建立发布规则注意它的属性，其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布，这里不在做详细的规则配置介绍，不熟悉的网友，请先参看其它文章。3.3在不需要外网网访问的情况下，后端防火墙没有特别的和边缘防火墙模板相同，完全可以使用边缘防火墙模板，这里不说明边缘防火墙的设置，在第二种情况下，需要外网网访问后端防火墙内电脑的时候，做详细说明。注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定。3.4测试从公网IP进行FTP测试***CuteFTPPro3.0-buildOct72002***状态:正在获取列表...状态:正在连接主机名称状态:主机已连接:ip=43.*.*.27。状态:正在连接到ftp服务器(ip=43.*.*.27)...状态:接口已连接。正在等候欢迎消息...220Serv-UFTPServerv5.1forWinSockready...状态:已连接。正在登陆...命令:USERtest331Usernameokay,needpassword.命令:PASS*****230Userloggedin,proceed.状态:登录成功。命令:PWD257/iscurrentdirectory.状态:Homedirectory:/命令:FEAT211-ExtensionsupportedCLNTMDTMMDTMYYYYMMDDHHMMSS[+-TZ];filenameSIZESITEPSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSGRESTSTREAMXCRCfilename;start;endMODEZ211End状态:该站点支持features。状态:这个站点支持XCRC.状态:这个站点支持SIZE.状态:该站点可以续传中断的下载。命令:REST0350Restartingat0.SendSTOREorRETRIEVE.命令:PASV227EnteringPassiveMode(43,244,170,27,25,29)命令:LIST状态:正在连接ftp数据socket43.244.170.27:6429...150OpeningASCIImodedataconnectionfor/bin/ls.226Transfercomplete.状态:传送完成。从内部ping，从内部对FTP测试***CuteFTPPro3.3-buildSep292003***状态:正在获取列表“”...状态:正在连接到ftp服务器192.168.1.11:2121(ip=192.168.1.11)...状态:Socket已连接。正在等候欢迎消息...220Serv-UFTPServerv5.1forWinSockready...状态:已连接。正在验证...命令:USERtest331Usernameokay,needpassword.命令:PASS*****230Userloggedin,proceed.状态:登录成功。命令:PWD257/iscurrentdirectory.状态:Homedirectory:/命令:FEAT211-ExtensionsupportedCLNTMDTMMDTMYYYYMMDDHHMMSS[+-TZ];filenameSIZESITEPSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSGRESTSTREAMXCRCfilename;start;endMODEZ211End状态:该站点支持features。状态:该站点支持XCRC。状态:该站点支持SIZE。状态:该站点可以续传中断的下载。命令:REST0350Restartingat0.SendSTOREorRETRIEVE.命令:PASV227EnteringPassiveMode(192,168,1,11,4,9)命令:LIST状态:正在连接ftp数据socket192.168.1.11:1033...150OpeningASCIImodedataconnectionfor/bin/ls.226Transfercomplete.状态:传送完成。FTP服务器上的信息[5]Wed27Oct0413:56:24-(000003)Connectedto192.168.100.2(Localaddress192.168.1.11)[5]Wed27Oct0413:56:25-(000003)UserTESTloggedin[5]Wed27Oct0414:00:23-(000004)Connectedto202.*.*.211(Localaddress192.168.1.11)[5]Wed27Oct0414:00:23-(000004)UserTESTloggedin在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器，我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP，是后端防火墙ISA的IP，也就是说，在使用普通模板不修改设置的时候，后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络，所以外围网不能自由访问后端防火墙内部的电脑，只能以发布的方式访问个别电脑的个别服务，就同发布服务器一样。二、外围网需要访问后端ISA内部电脑的情况就是说，在前端防火墙ISA后面，所有网络都可以到达，这个配置起来比较复杂。我们在已经配置好第一种情况的基础上进行修改。1.我们修改前端防火墙ISA的设置，网络规则不作修改，防火墙策略不作修改。如图：配置网络-网络-外围-属性--添加地址我们把后端防火墙内部的IP地址增加进去打开前端防火墙ISA上的路由和远程访问，增加静态路由。警告，在不明确知道做什么的情况下，不要去动ISA服务器上的路由和远程访问！添加，网关为后端服务器IP，接口为和后端防火墙连接的那个网卡。个人的网卡标识不同，自己确认。2.配置后端防火墙如图，选择后端防火墙模板添加后端防火墙地址范围同样为了测试方便，允许无限制访问，以后可自行修改。翻到网络规则，我们看这里是NAT，把网络关系变成路由，填写前端防火墙地址，外围网络地址范围。这些在构筑测试的时候没有用处，在以后的实际运用中，如限定上网权限等等非常有用。防火墙策略规则为了测试方便，如图配成这样下面做测试在192.168.50.10机器上做如下测试C:\DocumentsandSettings\samping192.168.100.1Pinging192.168.100.1with32bytesofdata:Replyfrom192.168.100.1:bytes=32time=6msTTL=127Replyfrom192.168.100.1:bytes=32timemilli-seconds:Minimum=0ms,Maximum=6ms,Average=1msC:\DocumentsandSettings\samping192.168.1.10Pinging192.168.1.10with32bytesofdata:Replyfrom192.168.1.10:bytes=32time=3msTTL=248Replyfrom192.168.1.10:bytes=32time=1msTTL=248Replyfrom192.168.1.10:bytes=32time=1msTTL=248Replyfrom192.168.1.10:bytes=32time=1msTTL=248Pingstatisticsfor192.168.1.10:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=1ms,Maximum=3ms,Average=1ms在ISA前端防火墙上做C:\DocumentsandSettings\testping192.168.50.10Pinging192.168.50.10with32bytesofdata:Replyfrom192.168.50.10:bytes=32time=3msTTL=127Replyfrom192.168.50.10:bytes=32timemilli-seconds:Minimum=0ms,Maximum=3ms,Average=0ms在Server段机器上作C:\DocumentsandSettings\tesping192.168.50.11Pinging192.168.50.11with32bytesofdata:Replyfrom192.168.50.11:bytes=32time=1msTTL=62Replyfrom192.168.50.11:bytes=32timemilli-seconds:Minimum=0ms,Maximum=1ms,Average=0ms在192.168.50.10的电脑上访问192.168.100.15的web服务器访问在前端防火墙上的WEB服务器，可以看到你的真是IP内容已经变成真实的IP了。这样就可以在外围网对IP的访问权限进行限定。至此所有配置按照要求完成。下面是对于具体细节的