ISA防火墙实验详解

ISA防火墙实验

一、实验内容

1、对防火墙进行基本配置，是内部客户机能够访问外网Internet。

2、对baidu进行过滤。

3、发布WEB网站。

4、VPN配置。

二、实验具体操作

（一）搭建基本网络

1）使用三台计算机，winxp为真机作为外部网络，其网络地址设置如下：

2）Win2003为虚拟机，将它设置成防火墙，并且该机器需要两张网卡，一张连接外网，一张连接内网，其地址设置如下：

连接外网的地址设置：

连接内网的地址设置：

3）Win2ks为虚拟机，作为内部网络，其网络地址设置如下：

4）设置完各台机器后，测试winxp和win2003内上Internet，win2ks能ping通win2003；

Win2003上能够上网：

Win2ks能ping通win2003：

（二）通过以上测试后，在win2003上安装isa2004防火墙，安装步骤如下：

添加内部网络地址：

在防火墙客户端连接设置页上，如果你的客户机上使用了ISA Server 2000的防火墙客户端，则可以勾选“允许运行早期版本的...”，点击“下一步”

开始安装

在安装向导完成页，选择“在向导关闭时运行ISA服务器管理”，然后点击“完成”。此时，会出现Microsoft Internet Security and Acceleration Server 2004 控制台。

（三）对ISA进行设置

在安装过程中，通过指定内部网络中的地址范围配置了内部网络。请确认该配置有效，在ISA上，执行下列步骤：

打开Microsoft ISA 服务器管理，展开“ISA”，再展开“配置”节点，然后单击“网络”。

在详细信息窗格中的“网络”选项卡上，会显示包含在每个网络中的地址范围。

确认内部网络仅包含公司网络中的计算机的IP 地址。

注意：如有必要，可以通过双击“网络”选项卡上的“内部”来打开“内部属性”对话框，以便重新配置内部网络。请选择“地址”选项卡，然后使用“添加”和“删除”按钮在网络中添加或删除地址范围。还可以使用“添加适配器”按钮添加与特定的网络适配器关联的所有IP 范围，或者使用“添加专用”按钮添加专用的地址范围。

双击“网络”选项卡上的“内部”打开“内部属性”对话框。在“Web 代理”选项卡上，确认选中了“启用Web 代理客户端”和“启用HTTP”，并且在“HTTP 端口”中指定了“8080”，然后单击“确定”。

创建网络规则：

在安装过程中，创建了默认的Internet 访问网络规则。此规则定义了内部网络与外部网络之间的关系。要验证规则配置，请执行下列步骤：

展开“配置”节点，然后单击“网络”。

在“网络规则”选项卡上，双击“Internet 访问”规则以显示“Internet 访问属性”对话框。

在“源网络”选项卡上，确认列出了“内部”。如果未列出，请执行以下操作：

单击“添加”。

在“添加网络实体”中，单击“网络”，再单击“内部”，单击“添加”，然后单击“关

闭”。

在“目标网络”选项卡上，确认列出了“外部”。如果未列出，请执行以下操作：

单击“添加”。

在“添加网络实体”中，单击“网络”，再单击“外部”，单击“添加”，然后单击“关闭”。

在“网络关系”选项卡上，选择“网络地址转换(NAT)”。

单击“确定”。

在详细信息窗格中，单击“应用”来应用更改。

创建策略规则

要允许内部客户端访问Internet，必须创建允许内部客户端使用HTTP 和HTTPS 协议的访问规则。请执行下列步骤：

单击“防火墙策略”。在任务窗格上，选择“任务”选项卡，然后单击“创建新的访问规则”以启动“新建访问规则向导”。

访问Internet”。然后，单击“下一步”。

在“规则操作”页上，选择“允许”，然后单击“下一步”。

在“协议”页的“此规则应用到”中，选择“所选的协议”，然后单击“添加”。

在“添加协议”对话框中，展开“通用协议”。依次单击“HTTP”、“添加”、“HTTPS”、“添加”，再单击“关闭”。然后，单击“下一步”。

在“访问规则源”页上，单击“添加”。在“添加网络实体”对话框中，单击“网络”，然后选择“内部”。单击“添加”，然后单击“关闭”。然后，单击“下一步”。

在“访问规则目标”页上，单击“添加”。在“添加网络实体”对话框中，单击“网络”，然后选择“外部”。单击“添加”，然后单击“关闭”。然后，单击“下一步”。

在“用户集”页上，验证是否指定了“所有用户”。然后，单击“下一步”。

查看摘要页，然后单击“完成”。

在详细信息窗格中，单击“应用”来应用所做的更改。请注意，应用更改可能需要一定的时间。

测试该方案

为了验证方案是否可行，win2ks上访问外部网络Internet。

在win2ks 上，执行下列步骤：

在win2ks上，打开浏览器。在Internet Explorer 中，单击“工具”菜单，然后单击“Internet 选项”。

在“连接”选项卡上，单击“局域网设置”。在“代理服务器”中，选中“为LAN 使用代理服务器”复选框。在“地址”中，键入ISA 的计算机名称，在“端口”中，键入8080。如果实验室配置中没有DNS 服务器，那么请使用ISA 的IP 地址，而不要使用其名称。确保未选中“自动检测设置”。

关闭Internet Explorer。然后重新打开Internet Explorer。进行外网的访问。

上图说明内网可以通过isa代理来访问外网。

（三）对百度进行过滤

右击“防火墙策略”——“新建”——“访问规则”。