ISA2004是企业中常用的防火墙软件,功能非常丰富,下面我们通过一个简单的实例来介绍一下ISA防火墙的一个最常用的功能。
 
下图是常见的一种网络结构,一个公司的服务器位于内部网络,ISA防火墙用于保护这些服务器免受攻击,并且将服务器发布到外网,使外网客户端能够访问服务器的资源。
 
 
要实现这个功能,安装有 ISA Server 的主机需要安装有两块网卡,如下图所示,并且需要分别为两块网卡分配外部公网地址和内部网络的私有地址,在这个实验中,我们拥有两个外网IP地址,分别是202.0.0.10和202.0.0.20,内网地址我们选用的是10.1.1.0网段。
 
 
 
一、首先我们需要安装ISA,ISA防火墙需要Windows 2000 Server SP3 ,Windows Server 2003,或者 Windows Server 2008。安装前首先要确认自己的系统支持ISA2004。
 
安装时按照以下步骤即可。安装欢迎界面如下图。
 
 
在安装过程中,需要指定内部网络的地址范围。如下图所示,单击“添加”
 
 
输入内网地址范围后单击“添加”,可以同时添加多个内网范围的IP。也可以在右侧选中已存在的内网IP将其删除。
 
输入以上信息以后,即可完成安装,安装完成之后,安装程序会自动建立ISA的程序组,在其中选择ISA管理器即可进入ISA的管理界面。管理界面如下图所示:
 
 
在界面右侧单击“连接到本地和远程ISA服务”,默认会连接到本地的ISA服务。
 
 
接下来我们要将内网的一台web服务器发布到外网,在本实验中,我们设定的内网web服务器的地址是10.1.1.100,发布到外网的服务器地址是202.0.0.10。
 
在左侧本地ISA服务的窗口中,点击“防火墙策略”,并且在右侧常用的策略任务中选择“发布一个web服务器”,如下图所示,请注意红色区域:
 
 
接下来系统会弹出“新建 web 发布规律向导”,如下图,在这里,我们可以给这个发布规则命名。合理的命名可以让我们在同时存在多个规则的时候很容易将它们区分开来。
 
 
 
接下来按下图所示为新的规则选择条件满足的时候的响应方式,发布任何一种服务器时,我们都要选择“允许”
 
 
 
在点击“下一步”以后,我们会看到“定义要发布的网站”的窗口,如下图,在这里,我们要设定要发布的服务器的内部IP地址,填入我们要发布的内网web服务器地址10.1.1.100,然后点击“下一步”。
 
 
 
为发布的服务器设定侦听器,在接下来的窗口中,点击“新建”:
 
 
该服务器针对外网发布,所以侦听范围要选择外网,在拥有多个外网IP时候,可以指定具体的某个IP地址给我们要发布的服务器,点击“地址”按钮来设定具体的外网IP。如下图:
 
 
 
在可用的外网地址列表中选择一个外网IP,这个地址就是我们从外网访问该服务器所用的地址。
 
 
 
给这个web侦听器指定端口,默认为80,同时可选择https的端口443
 
 
 
点击“完成”,完成web侦听器的配置。
 
 
 
在接下来的设置中,选择我们刚刚设定的web侦听器名称,点击下一步:
 
 
 
接下来我们可以选择允许使用该服务器的用户,可以选择“所有用户”,也可以指定仅仅“外网用户”可以访问该服务器。
 
 
 
然后我们就完成了这个web服务器的发布。
 
 
(未完待续)