户端访问)的一个集中的缓存,并使用缓存规则来管理该缓存。在该方案中,您将修改默认防火墙策略来允许内部客户端访问 Internet。虽然所有 IP 地址都被认为是在相同的“内部”网络上,但是由于默认的“全部拒绝 (Deny All)”规则,ISA Server 将拒绝 Web 流量。因此您需要创建一个允许 Web 流量在网络之间传递的规则。为了启用该缓存方案,必须创建一个允许所有客户端使用 HTTP(或者 HTTPS 和 FTP,视需要而定)访问规则。由于“内部”网络唯一定义为包括所有地址,该规则的源和目标网络应该是内部的。 3.6.4 单适配器模式下的功能
当在具有单适配器的计算机上安装 ISA Server 时,不能使用以下 ISA Server 特性: ? 防火墙客户端 ? 虚拟专用网络 ? IP 数据包筛选 ? 多网络防火墙策略 ? 服务器发布 ? 应用程序级筛选
这样导致 ISA Server 成为网络中的一个受限的安全角色。 功能演练 本章内容
4.1 情境 1:导出配置
4.2 情境 2:从内部网络访问 Internet 4.3 情境 3:创建并配置受限计算机集
4.4 情境 4:利用“网络模板向导”创建外围网络 4.5 情境 5:基于外围网络发布 Web 服务器 4.6 情境 6:基于内部网络发布 Web 服务器 4.7 情境 7:配置虚拟专用网络 4.8 情境 8:修改系统策略 4.9 情境 9:导入配置
ISA Server 可支持具备高度灵活性的多网络环境,允许您将使用不同访问权限的众多网络连接起来。下列章节描述了用于展现多网络环境和功能的一些示范情境。请注意,这些示范情境并未展现该发布版本所包含的全部新增特性。相反,它们展示了某些较为常见的防火墙应用情境,可由您借助 ISA Server 加以部署。通过在实验环境下执行简单的体验步骤,您可望熟悉并习惯 ISA Server 2004 配备的某些功能特性和用户界面。 我们建议您先在实验环境下创建将 ISA Server 配置,然后,将其应用于生产环境。
这些情境都建立在一个将内部网络连接到 Internet 的实验配置假设基础之上。外围网络(又称隔离区[DMZ]或屏蔽子网)承载着各种各样的服务器。而虚拟专用网络 (VPN) 客户端则可访问基于内部网络的资源。我们建议在将解决方案部署到生产环境之前,先基于实验环境搭建三个彼此独立的网络。这次特性体验所运用的实验环境包括:
? CorpNet,用来模拟企业网络。在此演练中, CorpNet 的地址范围是:
从 10.0.0.0 到 10.255.255.255。 ? MockInternet,用来模拟 Internet。在此演练中,MockInternet 的地址
范围是:从 192.168.0.0 到 192.168.255.255。 ? PerimeterNet,用来充当外围网络。在此演练中, PerimeterNet 的地
址范围是:从 172.16.0.0 到 172.31.255.255。 下图描绘了用于此演练的模拟环境。
图中所示计算机包括:
? nternalClient1 和 InternalClient2 ,两台装有 Windows XP 的客户端
计算机。这两台计算机属于 CorpNet 域。 ? InternalWebServer ,一台装有 Windows Server 2003 和 Internet
Information Services(IIS) 的服务器。该计算机属于 CorpNet 域。 ? 一台假定位于 CorpNet 的域控制器,主要用于客户端身份验证。 ? Perimeter_IIS ,一台装有 Windows Server 2003 的计算机。这台计算
机还装有 IIS。它属于 PerimeterNet 域。 ? External1 ,一台装有 Windows Server 2003 和 IIS 的计算机。这台
计算机属于 MockInternet。 ? ExternalWebServer,一台 Web 服务器。这台计算机属于
MockInternet。 ? ISA_1,一台装有 Windows Server 2003 和 ISA Server 2004 的计算
机。它配备了三块网络适配器:
? 连接至 CorpNet 的适配器的 IP 地址为 10.0.0.1。 ? 连接至 PerimeterNet 的适配器的 IP 地址为 172.16.0.1。 ? 连接至 MockInternet 的适配器的 IP 地址为 192.168.0.1。
注意:配置中并未提到 DNS 服务器。这个功能演练情境假设 DNS 服务器已被安装至基于 CorpNet 的域控制器。这个情境还假设名称解析服务存在于每个网络范围内,而非各网络之间。
生产环境下的配置大同小异。所不同的是,生产环境配置使用由 ISA Server 定义的外部网络(代表Internet)——而非 MockInternet,并针对内部和外围网络使用真实的 IP 地址段。
为测试各种实验情境,需要配备不同的计算机。下表列示了每种情境所需使用的计算机。 情境 所需计算机 4.1 导出配置 ISA_1 4.2 从内部网络访问 ISA_1,InternalClient1,Internet ExternalWebServer 4.3 创建并配置受限计算机集 ISA_1,InternalClient2,External1 4.4 利用“网络模板向导”创ISA_1 建外围网络 4.5 基于外围网络发布 Web ISA_1,External1,Perimeter_IIS 服务器 4.6 基于内部网络发布 Web ISA_1,InternalWebServer,External1 服务器 4.7 配置虚拟专用网络 ISA_1,External1,InternalClient1 4.8 修改系统策略 ISA_1 4.9 导入配置 ISA_1 在开始配置下列情境之前,应首先确保计算机上的路由表已得到正确配置。在每个网络上,默认网关的 IP 地址均须被设定为与之相对应的 ISA Server 计算机适配器的 IP 地址。例如,当设定 Perimeter_IIS 默认网关时,应在 Perimeter_IIS 计算机的命令提示符中输入: route add 0.0.0.0 MASK 0.0.0.0 172.16.0.1 4.1 情境 1:导出配置
这个情境主要用于展示 ISA Server 的导出功能。您可将 ISA Server 计算机的全部或部分配置导出至一个 .xml 文件。该功能允许您将配置方案从一台 ISA Server 计算机复制到另一台计算机,或者在进行实质性修改之前保存当前配置,以便随心所欲地切换到先前配置状态。
您可通过这个情境尝试在进行与后续情境相关的配置调整之前将 ISA Server 计算机配置导出至一个 .xml 文件。如需导出计算机配置,请依次执行下列步骤:
1. 打开 Microsoft ISA Server 管理,单击 ISA_1。
2. 在任务窗格内的任务选项卡上,单击将 ISA Server 配置导出至文件.
这会严格按照 ISA_1 在导出时所处状态执行配置导出。 3. 在导出配置的保存在栏目中,选择希望保存导出文件的位置。在文件
名栏内,输入即将作为配置导出目标的 .xml 文件名(如
MyDefaultConfig.xml),并单击导出。
注意:您可通过选取“导出用户权限设置”将用户权限设置导出。用户权限设置包含着 ISA Server 用户安全角色,例如,具备管理权限的人员。
您可通过选取“导出用户权限设置”将用户权限设置导出。用户权限设置包含着 ISA Server 用户安全角色,例如,具备管理权限的人员。 如果您需要导出机密信息,则应选择“导出机密信息”。这样一来,机密信息便可在导出过程中接受加密处理。如果您正在导出机密信息,系统将在导出处理过程中提示您输入密码。当您导入防火墙策略配置时,将需要使用这个密码。
4. 当导出操作完成时,请单击确定关闭状态对话框。 4.2 情境 2:从内部网络访问 Internet
在这个情境中,内部客户端需要通住 Internet 的安全连接。为此,需要配备下列计算机:
? ISA_1,至少配备两块网络适配器
? InternalClient1,基于 CorpNet,情境测试专用
? ExternalWebServer,基于 MockInternet ,情境测试专用
测试目标为,从 InternalClient1 通过 ISA_1 访问 ExternalWebServer。 基于 InternalClient1 的路由表会将所有外部地址请求路由到 ISA Server 计算机的内部 IP 地址(即连接至内部网络的网络适配器的IP地址)。ISA Server 计算机将为针对外部 IP 地址的所有内部网络请求充当默认网关。 以下章节阐述了解决方案配置方法: ? 配置内部网络 ? 创建网络规则 ? 创建策略规则 ? 测试情境 4.2.1 配置内部网络
作为设置过程的一个组成部分,您已在内部网络中指定了地址范围,并由此配置了内部网络。验证配置有效性,确保内部网络只包含基于 Corpnet 的地址。在 ISA_1 上执行下列步骤:
1. 打开 Microsoft ISA Server 管理,展开 ISA_1 ,接着,展开配置节点,
然后单击网络。 2. 详细信息窗格中的网络选项卡显示了每个网络包含的地址范围。 3. 确认内部网络仅包含基于企业网络的计算机IP地址。
注意:如有必要,您可在“网络”选项卡上双击“内部”打开“内部属性”对话框,并在该对话框内重新配置内部网络。选择“地址”选项卡,并使用“添加和删除”按钮在网络上添加或删除地址范围。您
还可利用“添加适配器”按钮添加与特定网络适配器相关的全部IP地址,或借助“添加专用”按钮添加专用地址范围。
4. 双击内部(在网络选项卡上)打开内部属性对话框。在Web代理选项
卡上,确认启用Web代理客户端和启用HTTP复选框均被选中,并已将 HTTP 端口设定为8080,然后,单击确定。 4.2.2 创建网络规则
作为安装过程的一个组成部分,默认 Internet 访问网络规则已创建完毕。这个规则定义了内部网络与外部网络之间的关系。如需确认网络配置状态,请依次执行下列步骤: 1. 展开配置节点,并单击网络。
2. 在网络规则选项卡上,通过双击 Internet 访问规则打开 Internet 访问
属性对话框。 3. 在源网络选项卡上,确认内部已被列示出来;否则,应执行以下步骤:
1) 单击添加。
2) 在添加网络实体中,依次点击网络、内部和添加,然后,单击关
闭。 4. 在目录网络选项卡上,确认“外部”已被列示出来;否则,应执行以
下步骤:
1) 单击添加。
2) 在添加网络实体中,依次点击网络、外部和添加,然后,单击关
闭。 5. 在网络关系选项卡上,选择网络地址转换 (NAT) 。 6. 单击“确定”。
7. 如果您进行过修改,则应在详细信息窗格中单击应用。 4.2.3 创建策略规则
如允许内部客户端访问 Internet,则必须创建允许内部客户端使用 HTTP 和 HTTPS 协议的访问规则。为此,应执行以下步骤:
1. 单击防火墙策略。在任务窗格内选择任务选项卡,通过单击新建访问
规则启动“新建访问规则向导”。 2. 在欢迎页面上,键入规则名称。例如,输入 Allow Internal clients HTTP and HTTPS access to the Internet 。然后,单击下一步。 3. 在规则操作页面上,选择允许,并单击下一步。
4. 在协议页面上的此规则应用于列表中,选择指定协议,并点击添加。 5. 在添加协议对话框内,展开常用协议。依次单击HTTP、添加、HTTPS
和添加,然后,点击关闭。然后,单击下一步。 6. 在访问规则源页面上,单击添加。
7. 在添加网络实体对话框内,先单击网络,再选择内部。依次单击添加