防火墙设计(ISA配置)

防火墙设计(ISA配置)

ISA三向外围网络初级实验

任务十二：用ISA2006实现本方案的三个安全区域，并制订一些防火墙规划，实现内网所有的用户都可以上网浏览网页，访问FTP，使用聊天工具MSN。DMZ区域发布的网站可以从外部和内部正常访问，该网站服务器使用私网地址。从外部无法访问内部网络的任何数据。实验环境需要用到3台虚拟机，角色分别是：ISA主机、DMZ区域的WEB，和内网用户机器，外网用户的虚拟机可用物理机充当。实验成功后，需要保存如下图片：（1）内网用户正常访问网站；（2）外网用户成功访问DMZ中WEB服务器时，对页面截图。（3）外网用户访问内部主机时出错的提示信息（用Ping和远程桌面连接来测试）。

说明：本实验非项目内容，是对项目相关联的知识点的实践。

1、实验环境

VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP2、ISA Server 2006企业版或标准版、Windows XP Professional。

2、实验拓扑 WebSer

ISASer

PC1UserPC Bridge

VMnet3

VMnet2DMZ

LAN

图1 ISA Server 2006实验拓扑

3. 实验要求

（1）实验环境准备：

WebSer ：

操作系统：Windows Server 2003 Enterprise Edition ；

计算机名：webSer

IP ：172.16.1.2/24，GW ：172.16.1.1，DNS ：202.96.128.68（电信DNS ）；

所在网络：DMZ 区，VMNet3

作用：安装Internet Information Services （IIS ）的计算机，配置测试的Web 网站； ISA Server ：

操作系统：Windows Server 2003 Enterprise Edition ；

计算机名：isaSer

要求本机有三个网卡，分别处于不同的网络：

LAN接口：VMnet 2，IP：192.178.1.1/24，DNS：202.96.128.68（电信DNS）；

DMZ接口：VMnet 3，IP：172.16.1.1/24；

Internet接口：Bridge，IP：192.168.1.133/24，DG：192.168.1.1（使用实际上网IP）；

作用：ISA防火墙

注意：ISA Server网关的配置，ISA Server只能有一个网关！

注意：安装ISA Server 2006要求Server 2003必须有SP1补丁

内网user机：

操作系统：无限制

IP：192.178.1.100/24，DG：192.178.1.1，DNS：202.96.128.68（电信DNS）；

作用：模拟医院内网员工的计算机；

PC1：

操作系统：无限制

IP：192.168.1.100/24，DG：192.168.1.133，（使用实际上网IP）

作用：模拟Internet上的计算机（实验中可用物理机来取代）；

（2）实验步骤：

一ISA Server 2006的安装与实验环境（3向外围网络）的搭建

1、安装ISA Server 2006的企业版

安装ISA Server 2006

ISA Server 2006的企业版安装

在这里我们选择“同时安装ISA Server服务和配置存储服务器”。因为ISA Server 2006企业版支持网络负载平衡（NLB）最多可以扩展到32个节点；而标准版仅支持单个节点

创建企业版的新ISA Server

ISA Server 2006企业版的第一次安装要选择“创建新ISA Server服务器企业”。（ISA Server2006企业版专为多节点设计的特色，标准版只能配置单节点）

选择ISA Server的内网网卡

在弹出的“内部网络”对话框中，单击“添加”按钮，在弹出的“地址”对话框中，如图，单击“添加适配器”按钮，添加内网网卡：LAN；按照提示，完成ISA Server 2006的

安装，下面我们来完成实验环境的搭建。

2、建立三向外围网络

DMZ网络在ISA Server中被称作“三向外围网络，DMZ区域被称为外围网络；

ISA Server 2006支持多重网络的分割，共包括内部网络、外围网络、VPN客户端网络、本地主机（指ISA服务器，ISA Server本机也是一个单独的网络，配置访问规则时尤其要注意）和VPN隔离客户端这六个内置的网络，此外用户还可以添加其它网络。ISA Server 2006将各个网络隔离开来，控制它们之间的通信。

法一：

从“程序”菜单中打开“ISA Server服务器管理”，在弹出的启动画面中，我们选择ISA Server 管理控制台下的“配置”下的“网络”；右击网络，在弹出的菜单中选择“新建”、单击“网络”，

在弹出的“欢迎使用网络创建向导“页，输入合适的网络名，如：DMZ Network，下一步；

定义网络环境

在网络类型页，选择外围网络；

在网络地址页，单击添加适配器，在弹出的页面中选择自定义的外围网络的网卡，如图所示；

法二：

从程序菜单中打开“ISA Server服务器管理”，在弹出的启动画面中，我们选择ISA Server 管理控制台下的“配置”下的“网络”；

点击右侧“模板”标签选择“3向外围网络”，弹出“3向外围网络”建立向导，按步骤完成网络建设。

在弹出的“网络模板向导”窗口点击“下一步”

在改变网络结构前可考虑到处当前ISA服务器的配置，再点击“下一步“

选择合适的网卡指定“内部网络IP地址“范围

选择合适的网卡指定“外围（DMZ）网络IP地址“范围

选择一个防火墙策略，默认阻止各个区域间的所有访问

完成新建网络向导，此时，我们可以在网络中看见新建的DMZ Network/外围网络；

最后别忘了“应用”我们的配置，在ISA Server 2006的实验中，每一次策略的更改，都要“应用”之后才能生效！