ISA防火墙实验详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISA防火墙实验
一、实验内容
1、对防火墙进行基本配置,是内部客户机能够访问外网Internet。
2、对baidu进行过滤。
3、发布WEB网站。
4、VPN配置。
二、实验具体操作
(一)搭建基本网络
1)使用三台计算机,winxp为真机作为外部网络,其网络地址设置如下:
2)Win2003为虚拟机,将它设置成防火墙,并且该机器需要两张网卡,一张连接外网,一张连接内网,其地址设置如下:
连接外网的地址设置:
连接内网的地址设置:
3)Win2ks为虚拟机,作为内部网络,其网络地址设置如下:
4)设置完各台机器后,测试winxp和win2003内上Internet,win2ks能ping通win2003;
Win2003上能够上网:
Win2ks能ping通win2003:
(二)通过以上测试后,在win2003上安装isa2004防火墙,安装步骤如下:
添加内部网络地址:
在防火墙客户端连接设置页上,如果你的客户机上使用了ISA Server 2000的防火墙客户端,则可以勾选“允许运行早期版本的...”,点击“下一步”
开始安装
在安装向导完成页,选择“在向导关闭时运行ISA服务器管理”,然后点击“完成”。此时,会出现Microsoft Internet Security and Acceleration Server 2004 控制台。
(三)对ISA进行设置
在安装过程中,通过指定内部网络中的地址范围配置了内部网络。请确认该配置有效,在ISA上,执行下列步骤:
打开Microsoft ISA 服务器管理,展开“ISA”,再展开“配置”节点,然后单击“网络”。
在详细信息窗格中的“网络”选项卡上,会显示包含在每个网络中的地址范围。
确认内部网络仅包含公司网络中的计算机的IP 地址。
注意:如有必要,可以通过双击“网络”选项卡上的“内部”来打开“内部属性”对话框,以便重新配置内部网络。请选择“地址”选项卡,然后使用“添加”和“删除”按钮在网络中添加或删除地址范围。还可以使用“添加适配器”按钮添加与特定的网络适配器关联的所有IP 范围,或者使用“添加专用”按钮添加专用的地址范围。
双击“网络”选项卡上的“内部”打开“内部属性”对话框。在“Web 代理”选项卡上,确认选中了“启用Web 代理客户端”和“启用HTTP”,并且在“HTTP 端口”中指定了“8080”,然后单击“确定”。
创建网络规则:
在安装过程中,创建了默认的Internet 访问网络规则。此规则定义了内部网络与外部网络之间的关系。要验证规则配置,请执行下列步骤:
展开“配置”节点,然后单击“网络”。
在“网络规则”选项卡上,双击“Internet 访问”规则以显示“Internet 访问属性”对话框。
在“源网络”选项卡上,确认列出了“内部”。如果未列出,请执行以下操作:
单击“添加”。
在“添加网络实体”中,单击“网络”,再单击“内部”,单击“添加”,然后单击“关
闭”。
在“目标网络”选项卡上,确认列出了“外部”。如果未列出,请执行以下操作:
单击“添加”。
在“添加网络实体”中,单击“网络”,再单击“外部”,单击“添加”,然后单击“关闭”。
在“网络关系”选项卡上,选择“网络地址转换(NAT)”。
单击“确定”。
在详细信息窗格中,单击“应用”来应用更改。
创建策略规则
要允许内部客户端访问Internet,必须创建允许内部客户端使用HTTP 和HTTPS 协议的访问规则。请执行下列步骤:
单击“防火墙策略”。在任务窗格上,选择“任务”选项卡,然后单击“创建新的访问规则”以启动“新建访问规则向导”。
访问Internet”。然后,单击“下一步”。
在“规则操作”页上,选择“允许”,然后单击“下一步”。
在“协议”页的“此规则应用到”中,选择“所选的协议”,然后单击“添加”。
在“添加协议”对话框中,展开“通用协议”。依次单击“HTTP”、“添加”、“HTTPS”、“添加”,再单击“关闭”。然后,单击“下一步”。
在“访问规则源”页上,单击“添加”。在“添加网络实体”对话框中,单击“网络”,然后选择“内部”。单击“添加”,然后单击“关闭”。然后,单击“下一步”。
在“访问规则目标”页上,单击“添加”。在“添加网络实体”对话框中,单击“网络”,然后选择“外部”。单击“添加”,然后单击“关闭”。然后,单击“下一步”。
在“用户集”页上,验证是否指定了“所有用户”。然后,单击“下一步”。
查看摘要页,然后单击“完成”。
在详细信息窗格中,单击“应用”来应用所做的更改。请注意,应用更改可能需要一定的时间。
测试该方案
为了验证方案是否可行,win2ks上访问外部网络Internet。
在win2ks 上,执行下列步骤:
在win2ks上,打开浏览器。在Internet Explorer 中,单击“工具”菜单,然后单击“Internet 选项”。
在“连接”选项卡上,单击“局域网设置”。在“代理服务器”中,选中“为LAN 使用代理服务器”复选框。在“地址”中,键入ISA 的计算机名称,在“端口”中,键入8080。如果实验室配置中没有DNS 服务器,那么请使用ISA 的IP 地址,而不要使用其名称。确保未选中“自动检测设置”。
关闭Internet Explorer。然后重新打开Internet Explorer。进行外网的访问。
上图说明内网可以通过isa代理来访问外网。
(三)对百度进行过滤
右击“防火墙策略”——“新建”——“访问规则”。