ISA网络连接设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISA Server 2006不仅功能强大,而且设置与使用也很方便,入门也很容易。
如果读者有配置其他防火墙的经验,在做过一些实际操作后,可以很容易的掌握ISA Server 2006的使用。
ISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例,如果选择三向外围网络模板,则分为内网、外网、本地主机、DMZ区),这一点是和其他防火墙软件包括ISA Server 2000不同的地方,其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。
ISA Server 2006比其他防火墙多出一个“本地主机”部分,可以进一步提高ISA Server 2006本身的安全性。
对于普通防火墙来说,根据网络通讯的“方向”不同,有两项设置,即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。
而对于ISA Server来说,除了有两这项设置之外,还包括对ISA Server服务器本身“称做‘本地主机’”的访问:“内部网络”对“本地主机”的访问、“本地主机”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。
在默认情况下,ISA Server 2006安装完成后,ISA Server会“隔离”内、外网的通讯,任何通过ISA Server进行通讯的上述行为都要经过设置。
在ISA Server中,任何未经明确“允许”的行为,默认都是“禁止”。
11.5.1 允许内网访问Internet
前面已经说过,ISA Server中的任意一种网络行为都要经过“定制”,未经明确设置为“允许”的行为默认都是“禁止”。
当ISA Server 2006安装完毕后,如果网络中的用户想通过ISA Server连接到Internet,必须要进行设置。
对于一般的上网来说,通常要包括访问远程(指Internet上的)服务器的这些服务:
●WWW服务,即访问远程Web服务器,实际为使用TCP协议访问远程的TCP 80端口,如果远程的Web服务器没有使用TCP的80端口,必须要另加定义。
●邮件服务,收发电子邮件,实际为使用TCP协议访问远程的SMTP服务(TCP的25端口)和POP3服务(TCP的110端口)。
●FTP服务,即文件上传下载服务,实际为使用TCP协议访问远程的21端口(实际上还要使用TCP的20端口,如果使用PASV方式,还需要使用一个动态端口)。
上面这三种:浏览网页、收发邮件、FTP是Internet的三大基本应用之后,设计任何防火墙策略,这都是必不要少的。
实际中,为了使用这三种功能,还需要使用DNS服务和SSL Web访问服务:
●DNS服务,提供域名解析功能,实际为使用TCP和UDP协议访问远程的53端口。
●SSL Web服务,实际为使用TCP协议访问远程的TCP的443端口。
把上面这些规则进行统一,本条防火墙策略为:
设置原则:允许“内网”使用Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。
在ISA Server 2006中,创建这条规则的步骤如下:
第1步,在ISA Server 2006计算机上,从“程序→Microsoft ISA Server”程序组中运行“ISA服务器管理”,进入ISA Server 2006管理控制台。
第2步,用鼠标右键单击“防火墙策略”,从弹出的快捷方式中选择“访问规则”,如图11-11所示。
图11-11 新建访问规则
第3步,在“欢迎使用新建访问规则向导”页中,在“访问规则名称”文本框中键入“允许内网访问Internet”,然后单击“下一步”按钮,如图11-12所示。
图11-12 规则名称
说明:在图11-12的“访问规则名称”文本框中,根据规则的行为或者目的键入规则的名称,在以后的设置中,要创建许多访问规则。
一个容易标识的名称可以减轻管理员的工作负担。
第4步,在“规则操作”页选择新建规则的动作:允许或拒绝。
通常情况下,ISA Server建立允许规则(默认拒绝),这可以减少ISA Server 规则的数目。
单击“允许”单选按钮,然后单击”下一步”按钮,如图11-13所示。
图11-13 规则操作
第5步,在“协议”页中选择建立规则使用的协议,可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。
如果选择“所有出站通讯”,则允许所有的协议,这样设置等于防火墙不起作用(所有的端口都开放了,防火墙也就无意义了)。
只有在指定的、不需要加限制的计算机访问网络时,才设置这条规则。
在此选择“所选的协议”,然后单击”添加”按钮,在弹出的“添加协议”对话框中从“通用协议”中双击“DNS”、“HTTP”、“HTTPS”、“POP3”、“SMTP”,然后再从“Web”中双击“FTP”,然后单击“关闭”按钮返回“协议”页,单击“下一步”按钮,如图11-14所示。
图11-14 添加协议
第6步,在“访问规则源”页中,选择通讯的方向。
因为要创建从“内部”到“外部(即Internet)”的通讯,所以,单击”添加”按钮,在弹出的“添加网络实体”页中,单击”网络”,从中双击“内部”,然后单击”关闭”按钮返回“访问规则源”,单击”下一步”按钮,如图11-15所示。
图11-15 选择源地址(从那里访问)
第7步,在“访问规则目标”页中,单击”添加”按钮,在弹出的“添加网络实体”页中双击“本地主机”,单击”关闭”按钮,然后单击”访问规则目标”页中的”下一步”按钮,如图11-16所示。
图11-16 选择目标地址(访问到那里)
第8步,在“用户集”页中,单击“下一步”按钮,如图11-17所示,在“正在完成新建访问规则向导”页中,单击“完成”按钮,如图11-18所示。
图11-17 默认允许所有用户图11-18 向导完成
第9步,在ISA Server 2006管理控制台上,单击“应用”按钮,让设置生效,如图11-所示。
图11-19 让设置生效
经过这样设置,“内部”的计算机就可以通过ISA Server访问Internet 了。
但是,这些用户在使用远程的FTP服务器时,不能上传文件,这是ISA Server 2006内置的“FTP筛选器”默认设置为“只读”的原因。
在ISA Server中,只要使用FTP协议,不管是访问Internet还是发布服务器,都会启用内置的“FTP筛选器”并且默认都是“只读”。
所以,为了更好的使用FTP,必须修改这一设置。
在ISA Server 2006管理控制台中,用鼠标右键单击新创建的访问规则“允许内网访问Internet”,从弹出的快捷菜单中选择“配置FTP”(如图11-20所示),并且在弹出的“配置FTP协议策略”页中,取消“只读”单选按钮的选择,然后单击“确定”按钮,如图11-21所示。
图11-20 配置FTP 图11-21 取消FTP只读
在ISA Server中,如果访问的网站地址有非英文的字母,例如,访问的网站URL地址中包括了中文,像/使用说明.htm 等地址,在访问这些地址的时候有可能会出现错误,这是ISA Server 内置的“HTTP筛选器”的设置问题,也可以通过修改HTTP筛选器为改变这项设置。
在ISA Server 2006管理控制台中,用鼠标右键单击新创建的访问规则“允许内网访问Internet”,从弹出的快捷菜单中选择“配置HTTP”(如图11-22所示),在弹出的“为规则配置HTTP策略”对话框中,
取消“阻止高位字符”的选择,然后单击“确定”按钮,如图11-23所示。
图11-22 配置HTTP 图11-23 不要阻止高位字符
在设置之后,参照图11-19的配置,单击“应用”按钮,让设置生效。
11.5.2 允许内网ping通网关
大多数管理员习惯使用ping命令来检查网络问题。
如果用ISA Server 2006做代理服务器,对于通过ISA Server上网的计算机来说,ISA Server 2006就是出口网关,如果工作站不能上网,在默认情况下,使用ping命令检查网关时,不管ISA Server 2006是否开机,或ISA Server 2006是否正常工作,工作站将不能ping通ISA Server 2006。
另外,
在内网计算机ping外网的计算机时,也不能ping通。
管理员可以创建一条规则,允许内网计算机ping通ISA Server 2006计算机及外网计算机。
【说明】设置原则:允许内网ping通“本地主机”和“外部”。
第1步,在ISA Server 2006控制台的“防火墙策略”页中,单击“创建新的访问规则”,在“访问规则名称”处键入“允许内网ping本地主机及外部”,然后单击“下一步”按钮,如图11-24所示。
图11-24 创建“允许内网ping本地主机”的规则
第2步,在“规则操作”页中选择“允许”,然后单击“下一步”按钮。
第3步,在“协议”页中的“此规则应用到”字段下面选择“所选的协议”,单击“添加”按钮,在弹出的“添加协议”页的“结构”中双击
“ping”,单击“关闭”按钮返回,然后单击“下一步”按钮,如图11-25所示。
图11-25 添加ping协议
第4步,在“访问规则源”页中添加“内部”,然后单击“下一步”按钮,如图11-26所示。
第5步,在“访问规则目标”页中添加“本地主机”和“外部”,然后单击“下一步”按钮,如图11-27所示。
图11-26 内部图11-27 本地主机和外部
第6步,在“用户集”页中单击“下一步”按钮。
第7步,在“正在完成新建访问规则向导”页中单击“完成”按钮。
第8步,单击“应用”按钮,让设置生效。
11.5.3 允许本地主机访问外网
“本地主机”指安装ISA Server 2006的计算机。
在默认的情况下,不仅内网计算机不能上网,安装ISA Server 2006的计算机也不能上网。
最早这是ISA Server 2000为了提高安全性而设置的,到ISA Server 2006,又把安装ISA Server的计算机单独“提”出来作“本地主机”而成为ISA Server 2006中“网络”的一部分。
如果只要让ISA Server 2006的计算机能上网,则可以按照“11.5.5 允许内网计算机访问外部Web站点”的步骤,将“访问规则源”页中“内部”修改为“外部”即可。
在此创建一条规则,允许本地主机能上网、登录FTP、收发电子邮件等操作。
【说明】设置原则:允许本地主机使用DNS、HTTP、HTTPS、FTP、SMTP、POP3协议访问外网。
下面来创建这条规则。
第1步,在ISA Server 2006控制台的“防火墙策略”页中,单击“创建新的访问规则”,在“访问规则名称”处键入“允许本地主机访问外网”,然后单击“下一步”按钮,如图11-28所示。
图11-28 建立允许本地主机访问外网的规则
第2步,在“规则操作”页中选择“允许”,然后单击“下一步”按钮。
第3步,在“协议”页中的“此规则应用到”字段下面选择“所选的协议”,单击“添加”按钮,在弹出的“添加协议”页中,先在“通用协议”中双击“DNS”、“POP3”、“SMTP”,然后在“Web”中双击“FTP”、“HTTP”、“HTTPS”,然后单击“关闭”按钮返回,然后单击“下一步”按钮,如图11-29所示。
图11-29 添加DNS、HTTP、HTTPS、POP3、SMTP、FTP等协议
第4步,在“访问规则源”页中添加“本地主机”,然后单击“下一步”按钮。
第5步,在“访问规则目标”页中添加“外部”,然后单击“下一步”按钮。
第6步,在“用户集”页中单击“下一步”按钮。
第7步,在“正在完成新建访问规则向导”页中单击“完成”按钮。
第8步,然后再按照上一节图11-20和图11-21的操作,配置FTP过滤器,取消“FTP只读”操作。
第9步,单击“应用”按钮,让设置生效。
11.5.4 有关使用QQ等聊天软件和QQ、联众游戏的设置
即时消息软件是人们在网上交流的主要方法之一,在ISA Server 2006中,为AOL即时消息软件、ICQ聊天软件、IRC、Net2Phone网络电话、微软MSN等聊天软件提供了协议,对于国内比较优秀的聊天软件QQ、UC等,ISA Server不提供现成的协议,需要手动添加。
设置原则:添加QQ、UC协议,允许内网使用MSN、QQ、UC协议访问外网。
1 添加QQ协议
QQ的服务器端默认使用UDP协议的4000~4001和UDP协议的8000端口,添加QQ协议,就是添加这些端口的“协议”。
第1步,在ISA Server 2006控制台,在右侧的“工具箱→协议”选项组中单击“新建→协议”,如图11-30所示。
图11-30 新建协议
如果“工具箱”没有出现,单击右侧的“”按钮可以使其显示。
第2步,在“欢迎使用新建协议定义向导”页中的“协议定义名称”字段下面键入“QQ服务端口”,如图11-31所示,然后单击“下一步”按钮,在“首要连接信息”页中单击”新建”按钮,如图11-32所示。
图11-31 新建QQ协议图11-32 新建连接信息
第3步,在弹出的“新建/编辑协议连接”页中,在“协议类型”字段后面选择UDP,在“方向”字段后面选择“发送接收”,在“端口范围”文本框中分别键入4000和4001,然后单击“确定”按钮,如图11-33。
第4步,在“首要连接信息”页中,再次单击”新建”按钮,如图11-34所示。
图11-33 添加端口范围为4001到4002的UDP发送接收协议图11-34 添加协议
第5步,在“新建/编辑协议连接”页中,在“协议类型”字段后面选择UDP,在“方向”字段后面选择“发送接收”,在“端口范围”文本框中分别键入8000和8000,然后单击“确定”按钮,如图11-35所示。
第6步,在“首要连接信息”页中,单击“下一步”按钮,如图11-36所示。
图11-35 建立UDP端口为8000的发送接收协议图11-36 协议添加完成
第7步,在“辅助连接”页选择“否”,然后单击“下一步”按钮,如图11-37所示。
第8步,在“正在完成新建协议定义向导”页,单击“完成”按钮,QQ 协议添加完成,如图11-38所示。
图11-37 不创建辅助连接图11-38 创建QQ协议完成2 添加UC协议
添加完QQ协议后,还要添加UC协议。
按照添加QQ协议的步骤来添加UC协议。
第1步,在协议定义名称字段下面键入UC,如图11-39所示。
图11-39 添加UC协议
第2步,在“首要连接信息”页中,新建TCP协议端口为3001到3002的出站连接(如图11-40所示)和UDP协议端口为3001到3002的发送接收连接,如图11-41所示。
图11-40 创建端口为3001到3002的TCP出站协议图11-41 创建端口为3001到3002的UDP发送接收协议
第3步,首要连接信息完成状态如图11-42所示。
UC协议的其他选择默认值即可。
图11-42 UC首要连接信息
3 添加联众游戏协议
如果用户想要使用联众游戏,需要添加联众游戏所需要的端口。
经过分析,联众游戏大厅使用TCP的2000~2002、TCP的6005端口,联众部分游戏的端口号(TCP)为:
3000 围棋 3006 拱猪 3015 台球 2005 麻将 3300 国际象棋
3001 俄罗斯方块 3007 够级 3016 原子 3030 红心大战 3400 四国军棋
3002 三打一 3008 双扣 3017 510k 3050 五子棋 4000 GICQ
3003 斗地主 3010 跑得快 3018 憋7 3060 桥牌 ~4010 GICQ
3004 升级 3012 飞行棋 3019 黑白棋 3100 跳棋
3005 梭哈 3013 拼图 1007 暗棋 3200 中国象棋
对于没有列出的游戏,管理员可以在任意一台测试机器上,安装联众游戏,并且使用任意一款防火墙软件,例如,使用金山网镖防火墙并启用监控,记录下防火墙拦截的端口号即可,如图11-43和图11-44所示。
图11-43 金山网镖拦截的2000端口图11-44 金山网镖拦截的6005端口
如图管理员想知道联众游戏的所有服务地址和服务端口,在图11-43和图11-44时,单击“禁止”按钮,这样,当访问的端口被禁止时,游戏客户端会尝试其他端口并一一列出,当所有的端口出现一遍后,再单击“允许”按钮。
在禁止网络访问的过程中,游戏客户端或游戏可能不能登录,请重新登录游戏大厅或重新进入游戏即可。
管理员可以专门创建“联众游戏”的协议,如图11-45和图11-46所示。
图11-45 新建联众游戏协议图11-46 指定协议的端口
如果以后有其他的新游戏,请ISA Server 2006管理控制台中,用鼠标右键单击“联众游戏”,从弹出的菜单中选择“属性”(如图11-47所示),在弹出的“联众游戏属性”页中,在“参数”选项卡中添加或修改,如图11-48所示。
图11-47 修改联众游戏属性图11-48 修改具体内容
4 修改访问规则
如果允许内网的用户在访问Internet的同时,使用QQ、UC、联众游戏,可以修改前面创建的“允许内网访问Internet”访问规则,将QQ、UC、联众游戏添加到该规则中,步骤如下。
第1步,在ISA Server管理控制台中,用鼠标右键单击“允许内网访问Internet”,从弹出的快捷菜单中选择“属性”,如图11-49所示。
图11-49 修改访问规则
第2步,在“允许访问Internet属性”页中,在“协议”选项卡中,单击“添加”按钮,在弹出的“添加协议”对话框中,从“用户定义”列表中双击并添加前面创建的QQ服务端口、UC、联众游戏协议,如图11-50所示,然后单击“关闭”按钮和“确定”按钮。
图11-50 添加自定义的协议
第3步,单击“应用”按钮,让设置生效。
在许多情况下,网管员不希望用户在上班时间使用QQ、聊天和玩联众游戏,这时就不应说将“联众游戏”等协议添加到“允许内网访问Internet协议”访问规则中,而是单独创建一条访问规则,并且只允许在工作时间之外生效,步骤如下。
第1步,创建访问规则,并命名规则名称为“上班之外时间允许聊天等”,如图11-51所示。
图11-51 创建规则
第2步,在“规则操作”页中选择“允许”,然后单击“下一步”按钮。
第3步,在“协议”页中,单击“添加”按钮,并添加“QQ服务端口”、“UC”和“联众游戏”等协议,如图11-52所示。
图11-52 添加用户定义协议
第4步,在“访问规则源”页中,单击“添加”按钮,添加“内部”,然后单击“下一步”按钮。
第5步,在“访问规则目标”页中,单击“添加”按钮,添加“外部”,然后单击“下一步”按钮。
第6步,在“用户集”页中直接单击“下一步”按钮。
第7步,在“正在完成新建访问规则向导”页中,单击“完成”按钮。
第8步,双击新建的“上班之外时间允许聊天等属性”访问规则,打开“计划”选项卡,单击“新建”按钮,如图11-53所示。
图11-53 计划
第9步,在“新建计划”对话框中,在“名称”文本框中键入“工作之外时间”,然后将星期一到星期一的上午8点到下午18点之间设置为“非活动”,然后单击“确定”按钮,如图11-54所示。
图11-54 设置计划时间
第10步,返回到“上班之外时间允许聊天等属性”页中,在“计划”列表中选择“工作之外时间”,然后单击“确定”按钮。
第11步,单击“应用”按钮,让设置生效。
11.5.5 在ISA Server 2006中屏蔽垃圾网站、黄色网站和恶意网站
互联网为大家提供信息的同时,也有一些网站存在不良信息或反动信息。
使用ISA Server怎样屏蔽这些网站呢?同时,一些有恶意代码的网站、纯广告网站、或一些强制用户从其站点下载插件的网站,管理员都可以用ISA Server进行屏蔽。
使用ISA Server 2006屏蔽对某些网站的访问分为两个步骤,首先要禁止内网对这些网站的访问,步骤如下:
第1步,在ISA Server 2006控制台的“防火墙策略”页中,单击“创建新的访问规则”,在“访问规则名称”处键入“禁止访问垃圾网站”,然后单击“下一步”按钮,如图11-55所示。
第2步,在“规则操作”页中,选择“拒绝”,然后单击“下一步”按钮,如图11-56所示。
图11-55 创建禁止访问××网站的规则图11-56 禁止操作
第3步,在“协议”页中,选择“所有出站通讯”,然后单击“下一步”按钮,如图11-57所示。
第4步,在“访问规则源”中,添加“内部”和“本地主机”,然后单击“下一步”按钮,如图11-58所示。
图11-57 选择“所有出站通讯”图11-58 禁止“内部”和“本地主机”
第5步,在“访问规则目标”中,单击”添加”按钮,在弹出的“添加网络实体”页中,单击”新建→URL集”,如图11-59所示,在弹出的“新建URL集规则元素”对话框中,在“名称”字段后面键入“被禁止的网站”,然后单击”新建”按钮,按照“http://*.xxx.zzz/*”的格式,添加被禁止的站点,可以添加多个站点,其中xxx.zzz是被禁止的网站的域名。
设置之后单击“确定”按钮返回“添加网络实体页,如图11-60所示。
图11-59 新建URL集图11-60 在此键入禁止访问的网站名称
在图11-60中键入的URL集,只有当使用HTTP协议访问这些站点时才能生效,但访问站点的方式不只http协议,还有其他的诸如FTP、telnet 等,下面建立“域名集”,以包括所有的可能。
第6步,在“添加网络实体”页中单击“新建→域名集”,如图11-61所示.。
在弹出的“新建域名集策略元素”页中的“名称”字段后面键入“禁止的域名”,单击”新建”按钮,添加被禁止的域名,如*,。