和关闭。然后,单击下一步。 8. 在访问规则目标页面上,单击添加。
9. 在添加网络实体对话框内,先单击网络,再选择外部。依次单击添加
和关闭。然后,单击下一步。 10. 在用户集页面上,确认已指定所有用户。然后,单击下一步。 11. 查对摘要页面,然后,单击完成。
12. 在详细信息窗格内,通过单击应用接受所做修改。请注意,所做修改
需要一段时间后方可生效。 4.2.4 测试情境
为确认情境有效,我们将使用 InternalClient1 访问基于外部网络 (MockInternet) 的 ExternalWebServer。 请在 InternalClient1 上执行下列步骤:
1. 在 InternalClient1 上,打开 Internet Explorer 6.0。
2. 在Internet Explorer中,单击工具菜单,并选择 Internet 选项。 3. 在连接选项卡上,单击局域网设置。
4. 在代理服务器下方,选中为 LAN 使用代理服务器复选框。 5. 在地址栏内输入计算机名称“ISA_1”,并在端口栏内输入8080。如果
实验配置中不存在 DNS 服务器,则应以 ISA_1 的 IP 地址替代计算机名称。 6. 确认自动检测设置已被选中。
7. 关闭 Internet Explorer 。然后,重新打开 Internet Explorer 。 8. 在 Internet Explorer 的地址栏内,输入 ExternalWebServer 的 IP 地
址。 请注意,如果 MockInternet 上存在可供用于名称解析的 DNS 服务器,您便可输入 ExternalWebServer 的完全合格域名 (FQDN) 。
如果您的浏览器需要显示基于 ExternalWebServer 发布的网页,则表明 InternalClient1 已访问过 ExternalWebServer,这个情境配置成功。 4.3 情境 3:创建并配置受限计算机集
您将通过这个情境在内部网络中创建一个计算机集,并禁止这个集合中的计算机访问 Internet 。为此,需要配备以下计算机: ? ISA_1,至少配置两块网络适配器。 ? InternalClient2 ,基于 CorpNet。
? ExternalWebServer ,基于 MockInternet,情境测试专用。 以下章节阐述了解决方案配置方法: ? 配置受限计算机集 ? 限制访问 Internet
? 测试情境
4.3.1 配置受限计算机集
下面这个例子将使用内部网络的实验部署相关的 IP 地址范围:从 10.0.0.0 到 10.255.255.255 。在这个例子中,您将创建一个涵盖 IP 地址段 10.54.0.0–10.55.255.255 的计算机集,其中包括计算机 InternalClient2 。为此,请依次执行以下步骤:
1. 打开 Microsoft ISA Server 管理,展开ISA_1,并单击防火墙。 2. 在任务窗格内,单击工具箱选项卡,并选择网络对象,接着,单击新
建,然后,选择计算机集。 3. 在名称栏内,输入新计算机集的 名称,例如Restricted Computer Set。 4. 单击添加并选择地址范围。
5. 在新地址范围规则元素对话框内,输入地址范围名称,例如 Range for
Restricted Computer Set 。指定一个包含 InternalClient2 地址的IP地址范围,如 10.54.0.0–10.55.255.255 ,然后,点击确定。 6. 单击确定关闭新计算机集规则元素对话框。 7. 在详细信息窗格中,单击应用使所做修改生效。
8. 将网络配置保存到一个.xml文件,以便在配置接受修改或网络对象遭
到破坏时进行恢复。在任务窗格内的工具箱选项卡上,选择网络对象,展开计算机集,右键单击新近定义的计算机集,并导出选定对象。选择一个用于保存含有配置信息文件的位置,并指定一个足以概括该文件内容的名称,例如 Restricted computer set export file 。单击导出完成配置导出操作。 9. 当导出操作完成时,单击确定关闭状态对话框。 4.3.2 限制访问Internet
现在,您可着手创建用于禁止这个计算机集访问 Internet 的访问规则。请注意,访问规则的顺序将直接影响到计算机组合能否访问 Internet。ISA Server 将按顺序读取访问规则;如果服务器在读出“受限计算机集”拒绝访问规则之前读到内部网络允许访问规则,将允许计算机集访问 Internet。
如需创建禁止从“受限计算机集”访问外部网络的访问规则,请依次执行下列步骤:
1. 单击防火墙策略。在任务窗格中,选择任务选项卡,并通过单击新建
访问规则启动“新建访问规则向导”。 2. 在欢迎页面上,键入规则名称。例如,输入 Deny Restricted Computer Set HTTP and HTTPS access to the Internet 。然后,单击下一步。 3. 在规则操作页面上,先选择拒绝,再单击下一步。
4. 在协议页面上的此规则应用于列表中,选择指定协议,然后,单击添
加。
5. 在添加协议对话框内,单击常用协议。依次单击HTTP、添加、
HTTPS 、添加和关闭,然后,单击下一步。 6. 在添加网络实体对话框内,先单击计算机集,再选择受限计算机集。
然后,依次单击添加、关闭和下一步。 7. 在访问规则目标页面上,单击添加。
8. 在添加网络实体对话框内,单击网络,并选择外部。然后,依次单击
添加、关闭和下一步。 9. 在用户集页面上,确认已设定为所有用户。然后,单击下一步。 10. 查对摘要页面后单击完成。
11. 在详细信息窗格中,单击应用使所做修改生效。
12. 应将规则保存至一个.xml文件,以便在进行基础性修改(如运行“网
络模板向导”)时导入原有规则。在详细信息窗格内。右键单击新近定义的规则,并选择导出选定对象。选择一个用于保存含有规则信息文件的位置,并指定一个足以概括该文件内容的名称,例如 Restricted Computer Set Internet Deny Rule.xml 。单击导出完成规则导出操作。 13. 导出操作完成时,单击确定关闭状态对话框。 4.3.3 测试情境
为确认情境有效,我们将使用“受限计算机集”中的 InternalClient2 访问基于外部网络 (MockInternet) 的 ExternalWebServer。 为此,应基于 InternalClient2 执行下列步骤: 1. 在 InternalClient2 上打开 Internet Explorer 6.0。
2. 在 Internet Explorer 中,先单击工具菜单,再选择 Internet 选项。 3. 在连接选项卡上,单击局域网设置。
4. 在代理服务器下方,选中为局域网使用代理服务器复选框。 5. 在地址栏内输入 ISA_1 的计算机名称(如果您尚未配置 DNS 服务
器,则应输入 IP 地址),并在端口栏内输入 8080 。 6. 确认自动检测设置处于选中状态。
7. 先关闭 Internet Explorer ,再重新打开 Internet Explorer。
8. 在 Internet Explorer 的地址栏内,输入 ExternalWebServer 的 IP 地址。 注意:如果 MockInternet 上存在可供用于名称解析的 DNS 服务器,您便可输入 ExternalWebServer 的完全合格名称 (FQDN )。
如果您的浏览器显示出一个拒绝访问页面,则表明您已成功配置了计算机集与禁止访问规则。
在“防火墙策略”详细信息窗格中,您所创建的拒绝访问规则将被排列在访问规则列表的顶部。如果您将拒绝访问规则的优先次序移至(上个情境中创建的)名为 Allow Internal clients HTTP and HTTPS access to the
Internet 的允许访问规则下方,ISA Server 就会首先评估允许访问规则,而“受限计算机集”中的计算机便有权访问 Internet 。如需调整拒绝访问规则的顺序,则应右键单击规则,并在随后弹出的快捷菜单上选择下移。当您将拒绝访问规则移到允许访问规则下方并通过应用按钮令其生效后,应再次测试 Internet 访问效果。现在, InternalClient2 应已具备 Internet 访问权限。
如果您的浏览器显示出基于 ExternalWebServer 的网页,则表明 InternalClient2 能够访问 ExternalWebServer,您已成功配置了实验情境。 4.4 情境 4:利用“网络模板向导”创建外围网络 您将在这个情境中利用“网络模板向导”创建外围网络。 如需配置这个情境,应依次执行下列步骤: ? 4.4.1 创建外围网络
? 4.4.2 恢复受限计算机集访问规则 4.4.1 创建外围网络
您将利用“网络模板向导”创建外围网络,并从内部网络访问 Internet。 如需创建外围网络,请依次执行下列步骤:
1. 在 Microsoft ISA Server 管理中,展开ISA_1,并依次单击配置和网络。 2. 在任务窗格的模板选项卡上,选择3足式外围网络。这个操作将启动
网络模板向导。 3. 在欢迎页面上,单击下一步。
4. 如需保存当前配置,则应在导出 ISA Server 配置页面上单击导出。
这样一来,您便可通过导出已存文件的方式将 ISA Server 计算机恢复到原有配置状态。如果您已单击导出,则应指定文件存储位置和描述性文件名(如 Configuration prior to configuring 3-leg Perimeter ),然后单击导出。 5. 在导出 ISA Server 配置页面上,单击下一步。
6. 在内部网络 IP 地址页面上,使用添加和删除按钮将显示内容调整为
仅包含内部网络 IP 地址。调整后的IP地址包括 InternalClient1 的 IP 地址和已连接至内部网络的 ISA_1 计算机的网卡 IP 地址。单击下一步。 7. 在外围网络IP地址页面上,使用添加和删除按钮将显示内容调整为仅
包含外围网络 IP 地址。调整后的 IP 地址包括 Perimeter_IIS 的IP地址和已连接至外围网络的 ISA_1 计算机的网络适配器的 IP 地址。单击下一步。 8. 在选择防火墙策略页面上,通过选择允许有限 Web 访问(在向导程
序完成时)创建允许从内部网络访问外部网络的访问规则,然后,单击下一步。 9. 在摘要页面上查对网络配置,然后,单击完成。
10. 在详细信息窗格内,单击应用,以便令使用向导程序进行的修改生效。 注意:“网络模板向导”可创建两个网络规则:一个用于在外围网络与外部网络之间创建路由关系(即外围访问规则),另一个用于在内部网络和外围网络之间创建 NAT 关系(即外围配置规则)。如需确认规则是否成功创建,可在“网络”详细信息窗格内查看“网络规则”选项卡。 路由关系具有双向性,既包括从源到目标的路由,也包括从目标到源的路由。而NAT关系则表现为单向性,仅限从源到目标。 4.4.2 恢复受限计算机集访问规则
当您运行“网络模板向导”并应用所做修改时,已将受限计算机集连同禁止受限计算机集访问 Internet 的访问规则一并删除。您既可再次创建这些计算机集及其访问规则,又可从已在创建受限计算机集及其访问规则时保存的 .xml 文件中导出相关配置。
如需导入已经保存的配置,请依次执行下列步骤:
1. 在 Microsoft ISA Server 管理中,先展开 ISA_1 ,再右键单击防火墙
策略,并在随后弹出的快捷菜单上选择导入。 2. 输入在情境 3 中创建的导出访问规则保存位置和文件名(如
Restricted Computer Set Internet Deny Rule.xml ),并单击导入。当导入操作完成时,单击确定。 3. 在详细信息窗格中,单击应用使所做修改生效。
注意:当您导入某一访问规则时,还导入了其所引用的规则元素,因此,不必单独导入计算机集。您可通过在任务窗格内右键单击元素类型并在“工具箱”选项卡上选择“导入全部”的方式单独导入规则元素。 4.5 情境 5:基于外围网络发布 Web 服务器
在这个情境中,基于外围网络的 Web 服务器将被提供给 Internet 用户访问。
您将使用Web发布规则发布 Web 服务器。Web 发布规则需要负责侦听 Web 请求的 Web 侦听器。 为此,需要配备下列计算机:
? ISA_1,至少配备三块网络适配器。
? Perimeter_IIS ,基于 PerimeterNet ,情境测试专用。 ? External1,基于 MockInternet ,情境测试专用。 为配置这个情境,您将执行以下步骤: ? 4.5.1 创建 Web 发布规则 ? 4.5.2 测试情境 4.5.1 创建 Web 发布规则
如需创建允许 Internet 客户端计算机 (External1) 访问外围网络 Web 服务器 (Perimeter_IIS) 的 Web 发布规则,请依次执行下列步骤: