ISA2006标准版常见问题（二）

                               ISA2006标准版常见问题(二)
在上一篇博文中我们介绍了在ISA 2006中 发布非WEB服务器和FTP 过滤功能的容易遇到的问题,现在我来介绍一下在ISA 2006 标准版中容易出现的问题!!
我们先大致了解一下DMZ 吧,DMZ(Demilitarized Zone)非军事化隔离区域，区域中主要存放被发布的服务器，！？ 到这里可能有人要问啦，被发布的服务器放在内网不是很好嘛，在DMZ区域中当然有必要，被发布的服务器所需要的权限应该是很小，相对于一些经常要访问的计算机，这样内网和被发布的服务器更加细化，更能方便管理，也增加了内网的安全性！
让我来为大家简单介绍一下怎样建立DMZ区域
其中涉及四个步骤：1、创建网络2、创建网络规则3、创建防火墙策略 4、建立发布规则 网络拓扑如下：

1、 创建网络
我们在工具箱中，单击“新建”—“网络”，为网络起个名称：DMZ

 

网络类型选择“外围网络”

网络适配器 选择 我们的 DMZ 网卡（提前准配好的）

 

注意：这个时候必须有广播地址：否则ISA 会报错，认为这个广播地址 是ARP 欺骗！！！！！
单击下一步，我们的DMZ 区域就创建成功！
2、 创建网络规则
我们需要创建内网与DMZ和外网与DMZ的网络规则，由于现在的IP 资源紧张，在国内DMZ 区域的ip 大多是私有ip，所以网络规则通常是：内网和DMZ 之间既可以是 路由关系、也可以是NAT 关系，外网和DMZ 之间是NAT 关系
创建 内网和DMZ 之间的网络规则的时候，我们借用一个现成的规则：如图：

在目标网络中添加上DMZ 网络

在常见任务中，我们建立 DMZ 和外网的 网络规则，名称为：“DMZ 到外网”

网络源选择：DMZ 网络

目标网络选择 “外网”

网络关系选择：网络地址转换(NAT)
 

单击 下一步，我们成功创建了DMZ 到 外网的网络规则
3、 创建访问策略
右键防火墙策略选择“新建”—“访问规则”

为访问规则起个名称“内网访问DMZ”

规则操作选择“允许“

在测试环境下，为了简单 我们选择所有出站的通信协议

访问源选择“内部”

访问目标 选择 DMZ 区域

我们对所有用户开放权限

单击下一步，内网到DMZ 区域的访问策略我们就创建成功！！
4、 发布DMZ 的 WEB 服务器
我们将NANGJING 的网站发布到 ISA的 外网卡！
在防火墙策略中，“新建”—“网站发布规则”
规则的名称是“发布DMZ 的网站”

规则的操作选择“允许”
 

发布类型选择“发布单个网站或负载平衡器“

ISA 和 WEB server 我们使用 HTTP 连接
 

内部站点名称我们写入计算机名称（我们必须保证ISA 能够和NANJING 正常通信）

我们将发布整个网站

任何域名我们都允许访问

侦听器 选择我们已经创建好的 LISTEN 80 （侦听器中没有允许身份验证）
我们不委派ISA 做什么验证，用户也无法验证身份，（实验环境下我们简单设置）

我们对所有用户开放权限

单击下一步，我们就完成了 发布规则的创建！！
现在我们可以在内网和外网来访问一下 DMZ 中的NANJING啦
如图是 外网的TIANJIN 来访问WEB 服务器，

能够正常访问！！！
如图是内网访问 DMZ 中的 NANJING 服务器，

还有一个容易出现的问题是：DMZ 将WEB 服务器发布到外网和内网，这样造成了外网用户能正常访问，二内网用户则不行！
因为前面我们已经定义了 内网到 DMZ 区域 是 正向的NAT 关系，所以内网到DMZ 区域采用 访问规则即可！外网到DMZ 区域是 逆向的NAT 关系，所以我们只能采用 发布规则！！！
让我们来测试一下！！！

我们把内网访问DMZ 的 访问规则禁用，将发布规则中的目标网络添加上内网！！

我们用内网的机器来测试一下！！
如图;提示 “无法显示网页”
 

总结：用户访问ISA 内网的机器或者是 DMZ 区域的机器，首先检查的 网络规则！其次，访问策略！！谨记！！