查看單個文章
舊 2004-07-16, 11:40 PM   #4 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

安裝ISA Server 2004防火牆軟體

在處理完DNS之後,我們就可以安裝ISA Server 2004防火牆軟體了。至於安裝說明,可以在本站http://www.isaservercn.org/info/info...ssid=&infoid=8 找到。

 

 

 

安裝和配置IIS WWW和SMTP服務

在這篇文章中我們將把一台Windows Server 2003電腦放置在公共位址的DMZ中。這台電腦將安裝IIS 6.0 WWW和SMTP服務,我們使用訪問原則來發佈它們。在生產環境中,根據你的需要,可能還會有前端的Exchange發佈OWA、OMA、RPC over HTTP等服務。在DMZ網段中的主機使用有效的DMZ子網塊的IP位址。發佈的DMZ主機使用ISA Server 2004防火牆的DMZ接頭作為它的預設網路閘道。DMZ主機不能使用內部網路的IP位址作為它的預設網路閘道,因為它沒有訪問內部網路的權限,除非我們給予它這個權限但是我們不會這樣做。

DMZ主機網路接頭的DNS伺服器位址是ISA Server 2004防火牆DMZ接頭的IP位址。因為我們將在DMZ網段和內部網路之間配置NAT關係並且一個伺服器發佈原則將把DNS伺服器發佈到DMZ接頭的IP位址上。

內部網路DNS伺服器已經為解析Internet主機名做好了配置。這個在你想使用DMZ網段的SMTP服務作為SMTP中繼時很有效。SMTP中繼需要為每個出去的郵件解析域名的MX記錄並且這樣它可以使用內部網路的DNS伺服器完成這一點。

 

 

建立DMZ網路

 

當位於DMZ的伺服器配置以後,我們現在可以進入ISA Server 2004管理控制台來建立DMZ區域。首先是建立DMZ網路,ISA Server 2004防火牆需要指導這個網路中使用的IP位址和它連線到其他網路時的路由關係。在我們當前的例子中,DMZ網路將會命名為DMZ,並且我們將分配給它所屬網路ID的整個IP位址範圍。在生產環境中,你需要包含你為DMZ網段建立的子網塊的所有IP位址。

重要提示:

你或許會注意到ISA Server 2004原有的的網路範本可以簡化多網路(DMZ)環境下的配置。但是,我不推薦你使用這些範本,因為它們假設在你的網路之間具有路由關係,而且要求你非正式的配置防火牆訪問原則。這個不能被ISA Server 2004的初學者很好的理解。我已經看到了許多因為使用網路範本導致的網路配置問題。它們這些問題可以通過使用手動設定防火牆來避免。通過避免使用這些網路範本,你可以確定你擁有一個安全的配置而且你的防火牆配置和訪問原則正好符合你的需求。

 

執行以下步驟來建立DMZ網路:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,展開伺服器,然後展開 Configuration ,點擊 the Networks 。

2. 在 Networks ,在細節面板中點擊 Networks 標籤,在 Tasks 標籤,點擊 Create a New Network 。

3. 在 Welcome to the New Network Wizard 頁,在Network name文本框中輸入一個名字,此例中我們命名為DMZ,點擊 Next。

4. 在 Network Type 頁,選項 Perimeter Network ,點擊 Next。

http://www.isaservercn.org/pic/pubdmz/image005.gif

5. 在 Network Addresses 頁,點擊 Add Adapter 按鈕。

6. 在 Select Network Adapters 對話視窗,勾選DMZ 網路接頭。注意你可以直接勾選而不需要選項網路橋接器先。但是,如果你不選項網路橋接器,你不能在Network Interface Information看見正確的資訊。點擊 OK。

http://www.isaservercn.org/pic/pubdmz/image006.gif

7. 在Network Addresses 頁點擊 Next 。

8. 在Completing the New Network Wizard頁回顧你的設定,然後點擊 Finish。

在DMZ和外部網路之間、DMZ和內部網路之間建立網路規則

現在DMZ網路已經定義好了,下一步是配置DMZ網路和內部網路、Internet(外部網路,除了已定義網路的任何網路)之間的路由關係。

在我們的例子中,我們想在DMZ網路和Internet網路之間是路由關係,在DMZ網路和內部網路之間是NAT關係。這允許我們使用訪問原則來允許外部主機訪問DMZ網段和一個伺服器發佈原則來隱藏內部網路的DNS伺服器的IP位址。注意就算是我們在DMZ和內部網路之間使用路由關係,我們也可以建立一個伺服器發佈原則來允許DMZ主機訪問內部網路的DNS伺服器。至關重要的是我們使用伺服器發佈原則來替代訪問原則,這樣我們可以讓DNS過濾器保護內部網路的DNS伺服器。

執行以下步驟來建立網路規則控制DMZ網路和Internet之間的路由關係:

1. 在左面板的Networks 節點,點擊細節面板的Network Rules標籤。點擊工作面板Tasks標籤中的 Create a New Network Rule 連接。

2. 在 Welcome to the New Network Rule Wizard 頁,在Network rule name文本框中輸入名字,在此例中我們輸入DMZvsExternal,點擊 Next。

3. 在Network Traffic Sources 頁,點擊 Add 按鈕。

4. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後點擊 DMZ 網路,然後點擊 Close。

5. 在 Network Traffic Sources頁上點擊 Next 。

6. 在 Network Traffic Destinations 頁,點擊 Add 按鈕。

7. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後雙按 External,然後點擊 Close。

http://www.isaservercn.org/pic/pubdmz/image007.gif

8. 在Network Traffic Destinations 頁上點擊Next 。

9. 在Network Relationship 頁,選項Route 然後點擊 Next。

http://www.isaservercn.org/pic/pubdmz/image008.gif

10. 在Completing the New Network Wizard頁,回顧你的設定,然後點擊Finish。

下一步是建立DMZ和內部網路之間的路由關係,在這個例子中,我們選項NAT。執行步驟和上面的一樣,其中名字設定為DMZvsInternal,網路通信源選項為Internal,網路通信的目的地選項為DMZ,網路關係選項為NAT。


http://www.isaservercn.org/pic/pubdmz/image009.gif

建立一個伺服器發佈原則以允許DMZ傳送DNS請求到局內網

DMZ主機需要解析Internet主機名字。例如在DMZ主機需要通過名字和Internet的主機建立連接的時候,如SMTP中繼服務。

我們在這個例子中使用伺服器發佈原則所以DNS過濾器可以套用到從DMZ主機到內部網路中DNS伺服器的訪問。

執行以下步驟以建立伺服器發佈原則:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,點擊 Firewall Policy ,在工作面板,點擊Tasks 標籤,然後點擊 Create a New Server Publishing Rule 連接。

2. 在 Welcome to the New Server Publishing Rule Wizard 頁,在Server publishing rule name 文本框中輸入名字,在此例中,我們命名為 Publish Internal DNS Server,點擊 Next。

3. 在 Select Server 頁,輸入內部網路DNS伺服器的IP位址,在這個例子中是10.0.0.2,輸入後點擊 Next。

4. 在 Select Protocol 頁,在Selected protocol 列表中選項 DNS Server 傳輸協定,點擊 Next。



5. 在 IP Addresses 頁,勾選 DMZ ,這指出伺服器發佈規則將在哪個接頭上偵聽通往內部DNS伺服器的連接請求。點擊 Next。



6. 在Completing the New Server Publishing Rule 頁回顧設定,然後點擊Finish。

 

 

建立一個訪問原則以允許局內網向外網傳送DNS請求

內部DNS伺服器需要通過查詢Internet的DNS伺服器來解析Internet主機名。我們可以建立一個DNS訪問原則將允許內部網路的DNS伺服器使用DNS傳輸協定訪問Internet DNS伺服器。執行以下步驟:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,點擊左面板的 Firewall Policy 。

2. 在工作面板中點擊 Tasks 標籤,然後點擊 Create New Access Rule 連接。

3. 在 Welcome to the New Access Rule Wizard 頁,在 Access Rule name 文本框中輸入一個名字,在此例中,我們命名為Outbound DNS Internal DNS Server,點擊Next。

4. 在 Rule Action 頁,選項 Allow 然後點擊,Next。


http://www.isaservercn.org/pic/pubdmz/image010.gif
5. 在 Protocols 頁,從This rule applies to 列表中選項 Selected protocols 項,點擊Add 按鈕。


http://www.isaservercn.org/pic/pubdmz/image011.gif
6. 在 Add Protocols 對話視窗,點擊Common Protocols 目錄,然後雙按 DNS 項,點擊 Close。

7. 在Protocols 頁上點擊 Next 。

8. 在 Access Rule Sources 頁,點擊 Add 按鈕。

9. 在 Add Network Entities 對話視窗,點擊 New 按鈕,點擊 Computer 項。

10.在 New Computer Rule Element 對話視窗,在Name 文本框中輸入電腦的名字,在此例中,我們輸入 Internal DNS Server,在 Computer IP Address 文本框中,輸入內部網路DNS伺服器的IP,此例中是10.0.0.2,點擊OK。

11. 在 Computers 目錄下雙按 Internal DNS Server 項,點擊 Close。

12. 在 Access Rule Sources 頁,點擊 Next。

13. 在 Access Rule Destinations 頁,點擊 Add 按鈕。

14. 在 Add Network Entities 對話視窗,點擊 Networks 目錄,然後雙按 External 項,點擊 Close。

15. 在Access Rule Destinations 頁點擊 Next 。

16. 在 User Sets 頁,接受預設設定點擊Next。

17. 在Completing the New Access Rule Wizard 頁回顧設定,然後點擊Finish。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次