3．1 防火墻策略的組成在ISA 服務(wù)器安裝成功后，其防火墻策略默認為禁止所有內(nèi)外通訊，所以我們需要在服務(wù)器上建立相應(yīng)的防火墻策略，以使內(nèi)外通訊成功。在本章，我們將介紹ISA 的基本配置，使內(nèi)部的

3．1 防火墻策略的組成

在ISA 服務(wù)器安裝成功后，其防火墻策略默認為禁止所有內(nèi)外通訊，所以我們需要在服務(wù)器上建立相應(yīng)的防火墻策略，以使內(nèi)外通訊成功。在本章，我們將介紹ISA 的基本配置，使內(nèi)部的所有用戶無限制的訪問外部網(wǎng)絡(luò)。

在ISA Server 2004中，防火墻策略是由網(wǎng)絡(luò)規(guī)則、訪問規(guī)則和服務(wù)器發(fā)布規(guī)則三者的共同組成。

●??網(wǎng)絡(luò)規(guī)則：定義了不同網(wǎng)絡(luò)間能否進行通訊、以及知用何各方式進行通訊。 ●??訪問規(guī)則：則定義了內(nèi)、外網(wǎng)的進行通訊的具體細節(jié)。

●??服務(wù)器發(fā)布規(guī)則：定義了如何讓用戶訪問服務(wù)器。

3.1.1 網(wǎng)絡(luò)規(guī)則

ISA2004通過網(wǎng)絡(luò)規(guī)則來定義并描述網(wǎng)絡(luò)拓撲，其描述了兩個網(wǎng)絡(luò)實體之間是否存在連接，以及定義如何進行連接。相對于ISA2000，可以說網(wǎng)絡(luò)規(guī)則是ISA Server 2004中的一個很大的進步，它沒有了ISA Server 2000只有一個LAT 表的限制，可以很好的支持多網(wǎng)絡(luò)的復(fù)雜環(huán)境。

在ISA2004的網(wǎng)絡(luò)規(guī)則中定義的網(wǎng)絡(luò)連接的方式有：路由和網(wǎng)絡(luò)地址轉(zhuǎn)換。

3.1.1.1 路由

路由是指相互連接起來的網(wǎng)絡(luò)之間進行路徑尋找和轉(zhuǎn)發(fā)數(shù)據(jù)包的過程，由于ISA 與Windows 2000 Server 和Windows Server 2003路由和遠程訪問功能的緊密集成，使其具有很強的路由功能。

在ISA2004中，當(dāng)指定這種類型的連接時，來自源網(wǎng)絡(luò)的客戶端請求將被直接轉(zhuǎn)發(fā)到目標網(wǎng)絡(luò)，而無須進行地址的轉(zhuǎn)換。當(dāng)需要發(fā)布位于DMZ 網(wǎng)絡(luò)中的服務(wù)器時，我們可以配置相應(yīng)的路由網(wǎng)絡(luò)規(guī)則。

需要注意的是，路由網(wǎng)絡(luò)關(guān)系是雙向的。如果定義了從網(wǎng)絡(luò) A 到網(wǎng)絡(luò) B 的路由關(guān)系，那么從網(wǎng)絡(luò) B 到網(wǎng)絡(luò) A 也同樣存在著路由關(guān)系，這同我們在進行硬件或軟件路由器配置的原理相同。

3.1.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT ）

NAT 即網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translator ），在Windows 2000 Server 和Windows server 2003中，NAT 是其IP 路由的一項重要功能。NAT 方式也稱之為Internet 的路由連接，通過它在局域網(wǎng)和Internet 主機間轉(zhuǎn)發(fā)數(shù)據(jù)包從而實現(xiàn)Internet 的共享。ISA2004由于同Windows 2000 Server 和Windows server 2003的路由和遠程訪問功能集成，所以支持NAT 的的連接類型。

當(dāng)運行NAT 的計算機從一臺內(nèi)部客戶機接收到外出請求數(shù)據(jù)包時，它會把信息包的包頭換掉，把客戶機的內(nèi)部IP 地址和端口號翻譯成NAT 服務(wù)器自己的外部IP 地址和端口號，然后再將請求包發(fā)送給Internet 上的目標主機。當(dāng)N

AT 服務(wù)器從Internet 主機接收到回答信息后，它也會將其包頭進行替換，將自己的外部IP 地址和端口號轉(zhuǎn)換為請求客戶機的內(nèi)部IP 地址的端口號，然后再把信息包發(fā)內(nèi)網(wǎng)的客戶機。

當(dāng)在ISA2004中指定了這促類型的連接后， ISA 服務(wù)器將用它自己的 IP 地址替換源網(wǎng)絡(luò)中的客戶端的 IP 地址。從而對外隱藏了內(nèi)部管理的IP ，同時也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險，并可減少了I P 地址注冊的費用。

需要注意的是：NAT 關(guān)系是唯一的和單向的。如果定義了從網(wǎng)絡(luò) A 到網(wǎng)絡(luò) B 的 NAT 關(guān)系，則不會自動定義從 B 到 A 的網(wǎng)絡(luò)關(guān)系。您可以創(chuàng)建定義雙向關(guān)系的網(wǎng)絡(luò)規(guī)則，但是 ISA 服務(wù)器將忽略有序規(guī)則列表中的第二條網(wǎng)絡(luò)規(guī)則。

3.1.1.3 默認網(wǎng)絡(luò)規(guī)則

在進行ISA2004的安裝時，系統(tǒng)會創(chuàng)建以下默認規(guī)則（如圖3-1所示）： ●??本地主機訪問：此規(guī)則定義了在本地主機網(wǎng)絡(luò)與其他所有網(wǎng)絡(luò)之間存在的路由關(guān)

系。

●??VPN 客戶端到內(nèi)部網(wǎng)絡(luò)：此規(guī)則指定在兩個 VPN 客戶端網(wǎng)絡(luò)（.VPN 客戶端. 和.

被隔離的 VPN 客戶端. ）與內(nèi)部網(wǎng)絡(luò)之間存在著路由關(guān)系。

●??Internet 訪問：此規(guī)則定義了在內(nèi)部受保護的網(wǎng)絡(luò)（如內(nèi)部、VPN 客戶端等）與

外部網(wǎng)絡(luò)之間存在的 NAT 關(guān)系。

3.1.2 訪問規(guī)則

訪問規(guī)則決定源網(wǎng)絡(luò)上的客戶端如何訪問目標網(wǎng)絡(luò)上的資源。我們可以將訪問規(guī)則配置為適用于所有 IP 通訊、適用于特定的協(xié)議定義集或適用于除所選協(xié)議之外的所有 IP 通訊。也可以在訪問規(guī)則中對用戶訪問進行精確的限定。

當(dāng)客戶端使用特定協(xié)議請求對象時，ISA 服務(wù)器會在訪問規(guī)則列表中從上而下地進行檢查。只有當(dāng)某個訪問規(guī)則明確允許客戶端使用特定的協(xié)議進行通訊，并且允許訪問請求的對象時才處理請求。

在ISA2004的安裝過程中會自動創(chuàng)建默認的系統(tǒng)策略，其中包含了預(yù)配置的、已知協(xié)議定義的訪問規(guī)則列表，其中包括最廣泛使用的 Internet 協(xié)議，以允許ISA Server 2004服務(wù)器能訪問它連接到的網(wǎng)絡(luò)的特定服務(wù)。下圖顯示的是默認系統(tǒng)策略中的內(nèi)容。

3．2 建立允許客戶訪問Internet 的防火墻策略

在安裝好ISA2004后，我們需要建立相應(yīng)的防火墻訪問策略以允許企業(yè)內(nèi)部員工通過ISA 服務(wù)器進行安全的Internet 訪問。在本節(jié)中，我們將以一個具體的實例讓大家體會一下如何利用防火墻策略來建立訪問規(guī)則，以使企業(yè)內(nèi)部的所有客戶能訪問Internet 的所有服務(wù)。

要完成這個策略的建立，我們需要完成以下工作：

●??配置內(nèi)部的DNS 服務(wù)器。

●??建立訪問策略。

3.2.1 建立內(nèi)部的DNS 服務(wù)器

Internet 的基本協(xié)議是TCP/IP，在網(wǎng)上的每一臺計算機用唯一的IP 地址進行標識。但在實際的運用中，為了便于記憶，往往給每一臺計算機取友好名稱，要訪問的網(wǎng)址也是一樣，稱為域名。比如我們要訪問微軟網(wǎng)站，則在瀏覽器的地址欄輸入的域名是[url]www.microsoft.com[/url]，但是計算機系統(tǒng)本身是不能識別這個域名的，要訪問到這個網(wǎng)站需要知道服務(wù)器的真實IP 地址，所以在中間就需要一個名稱解析系統(tǒng)，即將域名[url]www.microsoft.com[/url]解析

為其服務(wù)器的IP 地址如207.46.156.252，這個名稱解析系統(tǒng)現(xiàn)在的互聯(lián)網(wǎng)中使用的是DNS （Domain Name System ）。

當(dāng)用戶用域名在訪問Internet 上的網(wǎng)站時，需要外部DNS 為之進行域名解析；而當(dāng)企業(yè)用戶用域名訪問公司內(nèi)部的網(wǎng)絡(luò)資源時，需要內(nèi)部DNS 進行域名解析。但如果企業(yè)用戶既要訪問企業(yè)內(nèi)部網(wǎng)站，又要訪問Internet 上的資源時，DNS 應(yīng)怎樣進行設(shè)置的。在這種情況下，我們可以建立企業(yè)內(nèi)部的DNS 服務(wù)器，使之可以解析內(nèi)部域名，然后將之設(shè)置外部DNS 的轉(zhuǎn)發(fā)器，當(dāng)內(nèi)部用戶訪問資源時，由內(nèi)部DNS 服務(wù)器將其請求發(fā)給外部DNS ，從而獲得外部資源的域名解析。

3.2.1.1 安裝內(nèi)部的DNS 服務(wù)器

以管理員身份登錄到需要安裝DNS 的Windows 服務(wù)器上（可以同ISA 服務(wù)器安裝在同一臺計算機上，也可以分別在不同的計算機上進行安裝），進行如下過程的安裝和配置：

1、打開控制面板下的“添加/刪除程序”，單擊“添加/刪除Windows 組件”。

2、在Windows 組件向?qū)е须p擊“網(wǎng)絡(luò)服務(wù)”，在出現(xiàn)的對話框中選擇“域名系統(tǒng)（DNS ）”，點擊【確定】，再點擊【下一步】按鈕. ，并按向?qū)б笸瓿蒁NS 服務(wù)的安裝。

3、在Windows server 2003的“管理工具”中選擇“DNS ”，進入DNS 管理控制臺，右鍵單擊服務(wù)器，在出的菜單中選擇“屬性”。

4、在屬性對話框中選擇“接口”選項卡，然后添加內(nèi)部接口地址。如圖所示。

圖 3-7 配置DNS 內(nèi)部接口

5、選擇“轉(zhuǎn)發(fā)器”選項卡，先選中上面的“所有其它DNS 域”，然后在“所選域的轉(zhuǎn)發(fā)器的IP 地址列表”中添加ISP 為你提供的外部DNS 服務(wù)器的IP 地址。如圖所示。

6、單擊【確定】按鈕，完成服務(wù)器端DNS 的安裝和配置。

3.2.1.2 客戶端的DNS 配置

客戶端DNS 的配置步驟如下：

1、登錄到客戶機上，在桌面上用右鍵單擊“網(wǎng)上鄰居”圖標，在出現(xiàn)的菜單中選擇“屬性”。

2、在網(wǎng)絡(luò)連接的屬性窗口中，用右鍵單擊“本地連接”，在出現(xiàn)的菜單中選擇“屬性”，進入到“本地連接屬性”對話框中。

3、在“本地連接屬性”頁中選中“Internet 協(xié)議（TCP/IP）”，再點擊【屬性】按鈕，在出現(xiàn)的TCP/IP屬性頁的“首選DNS 服務(wù)器”中，輸入內(nèi)部DNS 服務(wù)器的IP 地址，點擊【確定】按鈕，完成客戶端配置。如圖所示。

3.2.2 建立訪問策略

要使內(nèi)部用戶通過ISA 服務(wù)器訪問Internet ，必須要建立訪問策略。在本例中我們需要建立兩條訪問策略：一條訪問策略以允許企業(yè)用戶通過ISA 服務(wù)器訪問Internet ；另一條策略以允許企業(yè)用戶訪問ISAServer2004 服務(wù)器的DNS 服務(wù)。

3.2.2.1 建立允許所有外出通訊的訪問策略

建立訪問策略的步驟如下：

1、打開ISA 管理控制臺，右鍵單擊“防火墻策略”，在出現(xiàn)的菜單中選擇“新建”→“訪問規(guī)則”。如圖所示。

2、在新建訪問規(guī)則向?qū)е?，輸入訪問規(guī)則名稱。如圖所示。

圖 3-12 輸入規(guī)則名稱

3、在“規(guī)則操作”對話框中選擇“允許”，以便允許通訊的進行。如圖所示。

圖 3-13 配置規(guī)則操作

4、在“協(xié)議”對話框中選擇“所有出站通訊”，表示可以訪問Internet 上的所有服務(wù)。如圖所示。

5、在“訪問規(guī)則源”對話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實體”對話框中展開“網(wǎng)絡(luò)”，選擇“內(nèi)部”（如要允許ISA 服務(wù)器訪問Internet ，在則可選“本地主機”），然后單擊【添加】按鈕，表示所有的通訊源來自于企業(yè)內(nèi)部。如圖所示。

6、在“訪問規(guī)則目標”對話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實體”對話框中展開“網(wǎng)絡(luò)”，選擇“外部”，然后點擊【添加】按鈕，表示要訪問網(wǎng)絡(luò)外部的資源。

7、在“用戶集”對話框中，采用默認的“所有用戶”，表示內(nèi)網(wǎng)的所有用戶都可以通過ISA 服務(wù)器訪問外部的資源。點擊【下一步】按鈕完成策略的建立。

3.2.2.2 建立允許客戶訪問內(nèi)部DNS 的訪問策略

建立過程如下：

1、打開ISA 管理控制臺，右鍵單擊“防火墻策略”，在出現(xiàn)的菜單中選擇“新建”→“訪問規(guī)則”，在訪問規(guī)則向?qū)е休斎胍?guī)則名，這里我們?nèi)∶麨椤霸L問ISA 主機上的DNS”。

2、在規(guī)則操作中選擇“允許”，在此規(guī)則應(yīng)用到選項中選擇“所選擇的協(xié)議”，然后單擊【添加】按鈕，在“添加協(xié)議”對話框中展開“通用協(xié)議”，選擇“DNS”，單擊【添加】按鈕，單擊【關(guān)閉】按鈕完成協(xié)議的設(shè)置。如圖所示。

3、在“訪問規(guī)則目標”對話框中單擊【添加】按鈕，在出現(xiàn)的“添加網(wǎng)絡(luò)實體”對話框中展開“網(wǎng)絡(luò)”，然后選擇“本地主機”，單擊【添加】按鈕，表示要訪問ISA 服務(wù)器上的DNS 服務(wù)

4、根據(jù)向?qū)О茨J選項完成本訪問策略的建立。

3.2.2.3 應(yīng)用訪問策略

為了使所建立的訪問策略生效，須在右邊窗格中單擊【應(yīng)用】按鈕，以保

存修改和更新防火墻策略。

防火策略生效后，你可以在客戶機通過ISA 服務(wù)器訪問Internet 上的所有服務(wù)，如QQ 、MSN 等。

3．3 配置撥號連接

現(xiàn)在企業(yè)訪問互連網(wǎng)很多都是采用ADSL 寬帶撥號方式，所以在ISA Se rver 2004的服務(wù)器中，需為通過撥號上網(wǎng)配置相應(yīng)的撥號連接。配置好請求撥號后，無論何時本地網(wǎng)絡(luò)上的Web 代理客戶端或者是防火墻客戶端請求一個遠程主機時，您的ISA Server 計算機能自動啟動撥號連接。

要完成ISA2004撥號上網(wǎng)配置，需要先在撥號服務(wù)器上進行ADSL 撥號設(shè)置，然后在ISA 服務(wù)器上進行撥號設(shè)置。

3.3.1 建立撥號服務(wù)器的撥號連接

ADSL 撥號的方式有很多種，如ethernet 、raspppoe 等，這些撥號方式需要安裝相應(yīng)的撥號軟件，而Windows Server 2003 內(nèi)置了寬帶撥號的支持，按向?qū)б徊揭徊酵瓿膳渲?，簡單明了。在這里，我們就以Windows serv er 2003的撥號連接建立方式為例，配置步驟如下：

1、在網(wǎng)絡(luò)連接屬性窗口中，雙擊“新建連接向?qū)А?，在出現(xiàn)的對話框中選擇“Internet連接“，單擊【下一步】按鈕，在出現(xiàn)的對話框中選擇“用要求用戶名和密碼的寬帶連接來連接”。

2、在“ISP名稱”對話框中輸入向企業(yè)提供ADSL 接入服務(wù)的ISP 的名稱。如圖3-23所示。

3、在可用連接中選擇“任何人使用”，表示允許內(nèi)部所有用戶均可用這個撥號連接。

4、在Internet 帳號對話框中，輸入由ISP 分配給你的用戶名和口令，點單擊【下一步】按鈕完成ADSL 連接的建立。

3.3.2 配置ISA 服務(wù)器的撥號連接

在ISA 服務(wù)器上配置撥號連接的步驟如下：

1、在ISA 管理控制臺中，選擇“常規(guī)”，然后在右邊的詳細窗格中選擇“指定撥號首選項”。如圖所示。