防火墙设计(ISA配置)

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防火墙设计(ISA配置)

ISA三向外围网络初级实验

任务十二:用ISA2006实现本方案的三个安全区域,并制订一些防火墙规划,实现内网所有的用户都可以上网浏览网页,访问FTP,使用聊天工具MSN。DMZ区域发布的网站可以从外部和内部正常访问,该网站服务器使用私网地址。从外部无法访问内部网络的任何数据。实验环境需要用到3台虚拟机,角色分别是:ISA主机、DMZ区域的WEB,和内网用户机器,外网用户的虚拟机可用物理机充当。实验成功后,需要保存如下图片:(1)内网用户正常访问网站;(2)外网用户成功访问DMZ中WEB服务器时,对页面截图。(3)外网用户访问内部主机时出错的提示信息(用Ping和远程桌面连接来测试)。

说明:本实验非项目内容,是对项目相关联的知识点的实践。

1、实验环境

VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP2、ISA Server 2006企业版或标准版、Windows XP Professional。

2、实验拓扑 WebSer

ISASer

PC1UserPC Bridge

VMnet3

VMnet2DMZ

LAN

图1 ISA Server 2006实验拓扑

3. 实验要求

(1)实验环境准备:

WebSer :

操作系统:Windows Server 2003 Enterprise Edition ;

计算机名:webSer

IP :172.16.1.2/24,GW :172.16.1.1,DNS :202.96.128.68(电信DNS );

所在网络:DMZ 区,VMNet3

作用:安装Internet Information Services (IIS )的计算机,配置测试的Web 网站; ISA Server :

操作系统:Windows Server 2003 Enterprise Edition ;

计算机名:isaSer

要求本机有三个网卡,分别处于不同的网络:

LAN接口:VMnet 2,IP:192.178.1.1/24,DNS:202.96.128.68(电信DNS);

DMZ接口:VMnet 3,IP:172.16.1.1/24;

Internet接口:Bridge,IP:192.168.1.133/24,DG:192.168.1.1(使用实际上网IP);

作用:ISA防火墙

注意:ISA Server网关的配置,ISA Server只能有一个网关!

注意:安装ISA Server 2006要求Server 2003必须有SP1补丁

内网user机:

操作系统:无限制

IP:192.178.1.100/24,DG:192.178.1.1,DNS:202.96.128.68(电信DNS);

作用:模拟医院内网员工的计算机;

PC1:

操作系统:无限制

IP:192.168.1.100/24,DG:192.168.1.133,(使用实际上网IP)

作用:模拟Internet上的计算机(实验中可用物理机来取代);

(2)实验步骤:

一ISA Server 2006的安装与实验环境(3向外围网络)的搭建

1、安装ISA Server 2006的企业版

安装ISA Server 2006

ISA Server 2006的企业版安装

在这里我们选择“同时安装ISA Server服务和配置存储服务器”。因为ISA Server 2006企业版支持网络负载平衡(NLB)最多可以扩展到32个节点;而标准版仅支持单个节点

创建企业版的新ISA Server

ISA Server 2006企业版的第一次安装要选择“创建新ISA Server服务器企业”。(ISA Server2006企业版专为多节点设计的特色,标准版只能配置单节点)

选择ISA Server的内网网卡

在弹出的“内部网络”对话框中,单击“添加”按钮,在弹出的“地址”对话框中,如图,单击“添加适配器”按钮,添加内网网卡:LAN;按照提示,完成ISA Server 2006的

安装,下面我们来完成实验环境的搭建。

2、建立三向外围网络

DMZ网络在ISA Server中被称作“三向外围网络,DMZ区域被称为外围网络;

ISA Server 2006支持多重网络的分割,共包括内部网络、外围网络、VPN客户端网络、本地主机(指ISA服务器,ISA Server本机也是一个单独的网络,配置访问规则时尤其要注意)和VPN隔离客户端这六个内置的网络,此外用户还可以添加其它网络。ISA Server 2006将各个网络隔离开来,控制它们之间的通信。

法一:

从“程序”菜单中打开“ISA Server服务器管理”,在弹出的启动画面中,我们选择ISA Server 管理控制台下的“配置”下的“网络”;右击网络,在弹出的菜单中选择“新建”、单击“网络”,

在弹出的“欢迎使用网络创建向导“页,输入合适的网络名,如:DMZ Network,下一步;

定义网络环境

在网络类型页,选择外围网络;

在网络地址页,单击添加适配器,在弹出的页面中选择自定义的外围网络的网卡,如图所示;

法二:

从程序菜单中打开“ISA Server服务器管理”,在弹出的启动画面中,我们选择ISA Server 管理控制台下的“配置”下的“网络”;

点击右侧“模板”标签选择“3向外围网络”,弹出“3向外围网络”建立向导,按步骤完成网络建设。

在弹出的“网络模板向导”窗口点击“下一步”

在改变网络结构前可考虑到处当前ISA服务器的配置,再点击“下一步“

选择合适的网卡指定“内部网络IP地址“范围

选择合适的网卡指定“外围(DMZ)网络IP地址“范围

选择一个防火墙策略,默认阻止各个区域间的所有访问

完成新建网络向导,此时,我们可以在网络中看见新建的DMZ Network/外围网络;

最后别忘了“应用”我们的配置,在ISA Server 2006的实验中,每一次策略的更改,都要“应用”之后才能生效!

相关文档
最新文档