(战略管理)防火墙策略的组成

3．1 防火墙策略的组成

在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。

网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。

●∙∙

访问规则：则定义了内、外网的进行通讯的具体细节。

●∙∙

服务器发布规则：定义了如何让用户访问服务器。

●∙∙

3.1.1 网络规则

ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 2004中的一个很大的进步，它没有了ISA Server 2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。

在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。

3.1.1.1 路由

路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。

在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。

需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络B到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。

3.1.1.2 网络地址转换（NAT）

NAT即网络地址转换（Network Address Translator），在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet 主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 20

00 Server和Windows server 2003的路由和远程访问功能集成，所以支持

NAT的的连接类型。

当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当N

AT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。

当在ISA2004中指定了这促类型的连接后，ISA 服务器将用它自己的IP 地址替换源网络中的客户端的IP 地址。从而对外隐藏了内部管理的IP，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了I P 地址注册的费用。

需要注意的是：NAT 关系是唯一的和单向的。如果定义了从网络A到网络B 的NAT 关系，则不会自动定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是ISA 服务器将忽略有序规则列表中的第二条网络规则。

3.1.1.3 默认网络规则

在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）：本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关

●∙∙

系。

VPN 客户端到内部网络：此规则指定在两个VPN 客户端网络（.VPN 客户端.和.

●∙∙

被隔离的VPN 客户端.）与内部网络之间存在着路由关系。

Internet 访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与●∙∙

外部网络之间存在的NAT关系。

3.1.2 访问规则

访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有IP 通讯。也可以在访问规则中对用户访问进行精确的限定。

当客户端使用特定协议请求对象时，ISA 服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯，并且允许访问请求的对象时才处理请求。

在ISA2004的安装过程中会自动创建默认的系统策略，其中包含了预配置的、已知协议定义的访问规则列表，其中包括最广泛使用的Internet 协议，以允许ISA Server 2004服务器能访问它连接到的网络的特定服务。下图显示的是默认系统策略中的内容。

3．2 建立允许客户访问Internet的防火墙策略

在安装好ISA2004后，我们需要建立相应的防火墙访问策略以允许企业内部员工通过ISA服务器进行安全的Internet访问。在本节中，我们将以一个具体的实例让大家体会一下如何利用防火墙策略来建立访问规则，以使企业内部的所有客户能访问Internet的所有服务。

要完成这个策略的建立，我们需要完成以下工作：

配置内部的DNS服务器。

●∙∙

建立访问策略。

●∙∙

3.2.1 建立内部的DNS服务器

Internet的基本协议是TCP/IP，在网上的每一台计算机用唯一的IP地址进行标识。但在实际的运用中，为了便于记忆，往往给每一台计算机取友好名称，要访问的网址也是一样，称为域名。比如我们要访问微软网站，则在浏览器的地址栏输入的域名是[url][/url]，但是计算机系统本身是不能识别这个域名的，要访问到这个网站需要知道服务器的真实IP地址，所以在中间就需要一个名称解析系统，即将域名[url][/url]解析