防火墙策略的组成

3．1 防火墙策略的组成

在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。

网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。

访问规则：则定义了内、外网的进行通讯的具体细节。

服务器发布规则：定义了如何让用户访问服务器。

3.1.1 网络规则

ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 20 04中的一个很大的进步，它没有了ISA Server 2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。

在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。

3.1.1.1 路由

路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。

在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。

需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络B到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。

3.1.1.2 网络地址转换（NAT）

NAT即网络地址转换（Network Address Translator），在Windows 2000 S erver和Windows server 2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet主机间转发数据包从而实现I nternet的共享。ISA2004由于同Windows 2000 Server和Windows server 200 3的路由和远程访问功能集成，所以支持NAT的的连接类型。

当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。

当在ISA2004中指定了这促类型的连接后，ISA 服务器将用它自己的IP 地址替换源网络中的客户端的IP 地址。从而对外隐藏了内部管理的IP，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了IP 地址注册的费用。

需要注意的是：NAT 关系是唯一的和单向的。如果定义了从网络A到网络 B 的NAT 关系，则不会自动定义从B 到A 的网络关系。您可以创建定义双向关系的网络规则，但是ISA 服务器将忽略有序规则列表中的第二条网络规则。

3.1.1.3 默认网络规则

在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）：

本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。

VPN 客户端到内部网络：此规则指定在两个VPN 客户端网络（.VPN 客户端.和.被隔离的VPN 客户端.）与内部网络之间存在着路由关系。

Internet 访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与外部网络之间存在的NAT关系。

3.1.2 访问规则

访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有I P 通讯。也可以在访问规则中对用户访问进行精确的限定。

当客户端使用特定协议请求对象时，ISA 服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯，并且允许访问请求的对象时才处理请求。

在ISA2004的安装过程中会自动创建默认的系统策略，其中包含了预配置的、已知协议定义的访问规则列表，其中包括最广泛使用的Internet 协议，以允许ISA Server 2004服务器能访问它连接到的网络的特定服务。下图显示的是默认系统策略中的内容。

3．2 建立允许客户访问Internet的防火墙策略

在安装好ISA2004后，我们需要建立相应的防火墙访问策略以允许企业内部员工通过ISA服务器进行安全的Internet访问。在本节中，我们将以一个具体的实例让大家体会一下如何利用防火墙策略来建立访问规则，以使企业内部的所有客户能访问Internet 的所有服务。

要完成这个策略的建立，我们需要完成以下工作：

配置内部的DNS服务器。

建立访问策略。

3.2.1 建立内部的DNS服务器

当用户用域名在访问Internet上的网站时，需要外部DNS为之进行域名解析；而当企业用户用域名访问公司内部的网络资源时，需要内部DNS进行域名解析。但如果企业用户既要访问企业内部网站，又要访问Internet上的资源时，DNS应怎样进行设置的。

在这种情况下，我们可以建立企业内部的DNS服务器，使之可以解析内部域名，然后将

之设置外部DNS的转发器，当内部用户访问资源时，由内部DNS服务器将其请求发给外部DNS，从而获得外部资源的域名解析。

3.2.1.1 安装内部的DNS服务器

以管理员身份登录到需要安装DNS的Windows服务器上（可以同ISA服务器安装在同一台计算机上，也可以分别在不同的计算机上进行安装），进行如下过程的安装和配置：

1、打开控制面板下的“添加/删除程序”，单击“添加/删除Windows组件”。

2、在Windows组件向导中双击“网络服务”，在出现的对话框中选择“域名系统（D NS）”，点击【确定】，再点击【下一步】按钮.，并按向导要求完成DNS服务的安装。

3、在Windows server 2003的“管理工具”中选择“DNS”，进入DNS管理控制台，右键单击服务器，在出的菜单中选择“属性”。

4、在属性对话框中选择“接口”选项卡，然后添加内部接口地址。如图所示。

图3-7 配置DNS内部接口

5、选择“转发器”选项卡，先选中上面的“所有其它DNS域”，然后在“所选域的转发器的IP地址列表”中添加ISP为你提供的外部DNS服务器的IP地址。如图所示。

6、单击【确定】按钮，完成服务器端DNS的安装和配置。

3.2.1.2 客户端的DNS配置

客户端DNS的配置步骤如下：

1、登录到客户机上，在桌面上用右键单击“网上邻居”图标，在出现的菜单中选择“属性”。

2、在网络连接的属性窗口中，用右键单击“本地连接”，在出现的菜单中选择“属性”，进入到“本地连接属性”对话框中。

3、在“本地连接属性”页中选中“Internet协议（TCP/IP）”，再点击【属性】按钮，在出现的TCP/IP属性页的“首选DNS服务器”中，输入内部DNS服务器的IP地址，点击【确定】按钮，完成客户端配置。如图所示。

3.2.2 建立访问策略

要使内部用户通过ISA服务器访问Internet，必须要建立访问策略。在本例中我们需要建立两条访问策略：一条访问策略以允许企业用户通过ISA服务器访问Internet；另一条策略以允许企业用户访问ISAServer2004 服务器的DNS服务。

3.2.2.1 建立允许所有外出通讯的访问策略

建立访问策略的步骤如下：

1、打开ISA管理控制台，右键单击“防火墙策略”，在出现的菜单中选择“新建”→“访问规则”。如图所示。

2、在新建访问规则向导中，输入访问规则名称。如图所示。

图3-12 输入规则名称

3、在“规则操作”对话框中选择“允许”，以便允许通讯的进行。如图所示。

图3-13 配置规则操作