沙漠里de烟雨

原创分享，禁止转载

日志

关于我

漠雨

文章分类

无路由器的上网方式之4-----ISA2006防火墙

2010-11-19 11:16:58| 分类：网络管理与应用 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

无路由器上网方式之中，还可以用ISA防火墙来实现，它即能实现上网，更能作为一安全防火墙，保护内网的上网环境。

以下是企业网络拓扑，非常简单的网络布局。ISA防火墙有三种架构方式来保护内网，但由于这里侧重于路由上网方面，

所以其它的方式在此不予讨论。

无路由器上网方式之4------ISA2006防火墙 - 漠雨 - 沙漠里de烟雨

本ISA防火墙的本地连接被重命名为LAN和WAN，分别连接着内网与外网。

LAN连接属性，IP设置如下：

WAN连接属性，IP设置如下。（注：如果是ADSL拨号的，则此设置为自动获得IP与DNS，但在ADSL那里得设置自动拨号，或者在本机新建一宽带连接，将拨号账号与密码填入，让外网出口的这块WAN网卡能够连接互联网）

ISA2006防火墙企业版安装程序如下，注意，安装ISA2006，有两个基本前提，一是系统必须是服务器版，

推荐使用windows server 2003企业版；二是，安装路径所在的驱动器必须是NTFS文件格式。还有一个就是所要指定缓存的位置所在的驱动器必须也是NTFS文件格式。如果不是这种格式，建议先转换，然后再安装，方法很简单，如：运行---cmd----convert c: /fs:ntfs 一般要系统重启，在启动过程中会自动转换文件系统为NTFS，当然，如果本身就是这种文件格式，就没有这步必要了。

双击安装程序“ISAAutorun.exe”，弹出如下安装界面，点击“安装ISA Server 2006”：

如下图所示：

因为此防火墙是已注册版，安装时，产品序列号会自动填上去，如下图所示：

选择第三个选项，如下图所示：

添加内网网卡，这里选择LAN。

完成ISA2006防火墙的安装，如下图所示：

打开管理控制台，如下图所示：

因为“企业策略”是针对于大范围的网络安全所设置的策略，当网络中存在多台ISA服务器，组成服务群或陈列时，企业策略会影响网络中所有ISA防火墙的策略，而我们这里的架构方式是单服务器单阵列式的，所以，只要在陈列中设置好了陈列防火墙策略就可以了。企业策略是普遍的，阵列是特殊的，普遍包含特殊，所以对于一台服务器来讲，其阵列策略因为特殊性会覆盖企业策略，当同一种功能限制同存时以陈列为据。所以，以下所讲述的所有策略都在阵列中进行创建。

企业策略界面一览，如下：

阵列策略一览，如下所示：

监视选项中，有仪表板，警报，会话，配置等这些功能非常重要，它便于我们来监控ISA防火墙的配置状况以及它检测源于外部的攻击或内部流量的策略性拒绝等等，这些数据都有利于我们完善我们的策略，加强内网的安全。

防火墙策略，在这里，我们可以做相当丰富的策略，我们所要做的策略，几乎都是在这里去创建的。

VPN，由于我们这里不涉及VPN客户端的访问，所有，本节略去不述。

缓存，可以在这里设置网页缓存，加快内网访问网页的浏览速度。

防火墙策略中，有工具箱，任力，帮助，其中，工具箱中包括了协议，用户，内容类型，计划以及网络对象。其中，协议、计划和网络对象经常用到。下面就来一览一下它的工具模块，如下图所示：

任务，当我们要创建规则，发布网站，发布邮件服务器等等时，会用到任务的各个功能项，如下图所示：

当ISA2006安装好了以后，因为陈列的默认规则是禁止内外的一切流量通过，所以，如果，刚安装完ISA后，本机是不能上外网的，如图所示：特别要注意最下面的信息，如果出现了这些信息，说明数据被ISA防火墙所拦截，所以，作为一个网络管理员而言，首当其冲的是查看它的策略，而不应该在客户端那里找。

所以，在阵列策略，创建访问规则，让本机能够上网，如下图所示：

选择HTTP，HTTPS协议，

访问源自“本地主机” ，注意，“内部”并不包括“本地主机”，如下图所示，

应用刚才创建的策略，如下图所示：

在监视的配置中查看状态是否已同步，如果已同步，那就表明策略已经生效，如下图所示：

再测试，仍不能打开，因为打开网址只开启80和443协议端口是不够的，同时还得允许协议DNS去解析主机名方可，所以，依据同样的方法创建一条策略，允许DNS协议源于本地主机至外部的策略通过就可以了，启用并同步后，再打开网页，此时，网页便能正常地打开了，如下图所示：

下面就将之前应用在本网络中使用过的陈列策略的备份导进来，以此来讲讲达到这些功能的那些策略的创建方法，

如下图所示：

导入后应用它，如下图所示：

同步后，如下图所示，策略已经开始生效了：

下面，就来细细解析一下以上的策略的功用：

（为了便于理解，将所有协议删除，从头开始创建。在创建策略过程中，你会发现，防火墙的优先级序号在创建时，是自动按限制级别来分配的，如果手工调整便不会顺序排序的，所以，要达到以上的效果，方法其实很简单，就是将所有要做的策略做完好并手动排序后，将之导出，然后将所有创建的策略全部删除，再将刚导出的策略再导入回来，就能出现顺序排列的效果了，另一种方法就是我将在下面按条理讲的方法那样，先规划所有需求，然后再按从整体到局部来创建策略，这样创建出的就是很自然的有条理，尽管是系统自动排序的，它也能体现你的要求的）

1）打开并浏览网页，几乎是上网所有的动作，而几乎所有的网页都是域名形式而非IP，所以，要能访问网站，须得开启DNS协议，才能去解析这些域名，所以，在做策略的第一步工作，就是开启DNS，源是“内部”和“本地主机”，目的是“外部”，所有用户，协议是DNS和Ping，这里加上Ping，是为了便于测试网络的连通性，且利于网络管理，所以有必要开启它。如下图所示：

无路由器的上网方式之4-----ISA2006防火墙 - 漠雨 - 沙漠里de烟雨

2）为了测试防火墙是否安装正确，一般会先测试本机能否上网，所以，创建“允许本ISA主机能上网”，如下图所示：

稍微细心你就会发现，当这条策略做完后，规则序号自动就发生了变化，刚建成的策略自动就变成1，上一条策略下降为2，如下图所示：

3）一般的，公司员工喜欢用foxmail或outlook第三方软件来收发邮件，所以，也必须针对全体人员开启pop3和smtp这对邮件协议。故创建策略“允许内网使用第三方软件收发外部邮件”，如下图所示：

细心看，这个策略自动排在第二个位置，原先排在第二个位置的现在排在第三了，而所新增的并不是自动放在第一位。

4）因为内部有一企业邮件服务器，它不仅要能内部收发邮件，还能收发来自Internet的邮件，所以此lotus服务器，也就是邮件服务器必须发布出去，且还得开放它的一个特殊端口1352（TCP协议端口），方法如下图所示：

首先，在任务中选择“发布邮件服务器”，如下图所示：

其次，因为1352端口不是一个常用端口（1-1023），所以，我们得新建这个协议，方法如下：

在用户定义中就可以看到新建的协议，如下图所示。

无路由器的上网方式之4-----ISA2006防火墙 - 漠雨 - 沙漠里de烟雨

现在，再来发布此Lotus协议，如下图所示：

邮件服务器就发布成功了。

5）开放软件部上班时间只能访问的网站

因为根据上面的要求，可知它有三要素：

控制时间：工作时间

控制对像：软件部
控制内容：只能访问的某些网站

所允许的协议：上网（HTTP，HTTPS）

下面，就对其进逐个分解：

一）：工作时间----上班时间

二）控制对象----软件部

三）控制内容-----部分网站

为保险起见，同时做URL集与域名集，直指相同的网站，如下所示：

完成这些后，下面就创建访问规则：如下所示：

创建完成后，还有一个计划时间没有应用上去，双击刚创建的规则，弹出如下对话框：

选择“计划”选项卡，如下所示：

选择“上班时间”这个计划，如下所示：

“应用”后如下所示，这条规则才真正完成了。这里与所导入的有些出入，因为考虑到安全方面的东西，所以，没有选择所有通讯协议，只选择了HTTP，HTTPS这两个协议，因为要打开的只是三个网站，要这两个协议再加上已经创建好的DNS规则就能满足要求了。其它剩下的规则因为与本规则有几分相似，在引就不再讲述了。如下，所需规则创建完成了。

无路由器上网方式的ISA2006防火墙就到此为此，欲想更为深入，请自行研究，本人不再累述。

评论这张

转发至微博

阅读(1131)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_094067093083084068080084080095082083085074093084094066',
              blogTitle:'无路由器的上网方式之4-----ISA2006防火墙',
              blogAbstract:'<DIV\>无路由器上网方式之中，还可以用ISA防火墙来实现，它即能实现上网，更能作为一安全防火墙，保护内网的上网环境。</DIV\>\r\n<DIV\> </DIV\>\r\n<DIV\>以下是企业网络拓扑，非常简单的网络布局。ISA防火墙有三种架构方式来保护内网，但由于这里侧重于路由上网方面，</DIV\>\r\n<DIV\>所以其它的方式在此不予讨论。</DIV\>\r\n<DIV\>\r\n<DIV\><IMG title=\"无路由器上网方式之4------ISA2006防火墙 - 漠雨 - 沙漠里de烟雨\" style=\"MARGIN: 0px 10px 0px 0px;\" alt=\"无路由器上网方式之4------ISA2006防火墙 - 漠雨 - 沙漠里de烟雨\" src=\"http://img616.ph.126.net/sNZW2PSWEKT0bI7vcJAbsg==/1982146785998092052.jpg\"\></DIV\> 本ISA防火墙的本地连接被重命名为LAN和WAN，分别连接着内网与外网。</DIV\>\r\n<DIV\> </DIV\>\r\n<DIV\></DIV\>',
              blogTag:'如下,策略,防火墙,创建,isa2006',
              blogUrl:'blog/static/654992812010101911165852',
              isPublished:1,
              istop:false,
              type:1,
              modifyTime:1290410916166,
              publishTime:1290136618052,
              permalink:'blog/static/654992812010101911165852',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/654992812010101911165852">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

沙漠里de烟雨

导航

日志

无路由器的上网方式之4-----ISA2006防火墙

历史上的今天

最近读者

热度

评论

页脚