熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

使用ISA Server 2004配置背靠背的防火牆環境

2013-11-11 22:56:05  來源: Windows服務器 

  ISA Server 在背靠背防火牆結構中的應用這個問題一直沒有詳細的說明有很多網友也提出這個問題 我花了一天時間進行N次嘗試和測試獲得了一手資料本文適用於已經有一定ISA和網絡技術基礎的網友參考請初入門的網友先學習其他文章
  
  由於ISA提供的前端防火牆模板的對象是外圍網使用的都是公網IP的設計所以針對國內的實際情況(很多網友的網絡只有一個Internet的IP地址)模板需要做很大調整外圍網使用公網IP的情況按照模板不需要調整很容易實現這裡就不做介紹了
  
  只有一個公網IP的也有兩種情況後端防火牆內的網絡需要不需要被外圍網訪問先介紹後端防火牆內的電腦或者服務器不需要被外圍網和在前端防火牆上建立的VPN客戶端已及構築成VPN站點的遠程站點訪問的情況這種情況比較簡單
  
  在第一種和第二種情況下網絡構成不變
  
  一外圍網不需訪問後端防火牆內的電腦或者服務器
  
  要求
  
  服務器網段(FTP服務器WEB服務器郵件服務器)不能上網只能被外部和外圍網有限訪問一些服務外圍網和後端防火牆網段能夠上網後端防火牆網段可以訪問外圍網和服務器網段
  
  網絡構成
  
  前端防火牆共張網卡
  
  網卡
  
  連接對外服務的服務器
  
  IP / 無網關無DNS
  
  網卡
  
  連接外圍網
  
  IP/ 無網關無DNS
  
  網卡
  
  使用PPPoE撥號得到外部IP網關DNS服務器地址
  
  外圍網客戶端的網絡設置
  
  IP*/ 網關 DNS
  
  在ISA服務器上建立DNS服務器轉發到ISP提供的DNS服務器
  
  後端防火牆網卡
  
  網卡
  
  連接外圍網
  
  IP/ 網關 DNS
  
  網卡
  
  連接內部上網電腦
  
  IP/ 無網關無DNS
  
  設置前端防火牆
  
  
 

  
  如圖使用前端防火牆模板點擊模板
  
  如果需要保持以前的網絡設定可以在此處導出網絡設置文件備份
  
  添加外圍網的地址范圍
  
  為了測試方便我們在這裡選擇允許無限制的訪問在實際運用種應該按照各自需要設定
  
  前端防火牆模板完成
  
  增加對外訪問的服務器網段
  
  如圖點擊創建一個新的網絡
  
  
 

  
  選擇外圍網
  
  加入對外服務服務器的地址段
  
  建立網絡之間關系創建一個新的網絡規則
  
  定義對外服務服務器網段的名字
  
  增加網絡源
  
  增加目標網絡
  
  選擇關系是路由
  
  最後點擊完成
  
  我們配置到這裡需要確認一下是否都配置正確
  
  下面我們發布一下一為非正常端口的FTP服務器
  
  如圖建立發布規則
  
  
 

  
  注意它的屬性其實只需要發布的端口不同於在其它地方發布的服務器端口即可發布這裡不在做詳細的規則配置介紹不熟悉的網友請先參看其它文章
  
   在不需要外網網訪問的情況下後端防火牆沒有特別的和邊緣防火牆模板相同完全可以使用邊緣防火牆模板這裡不說明邊緣防火牆的設置在第二種情況下需要外網網訪問後端防火牆內電腦的時候做詳細說明注意的是如果要限定內網訪問服務器網段或者外圍網端機器需要按照網絡集限定
  
   測試
  
  從公網IP進行FTP測試
  *** CuteFTP Pro build Oct ***
  
  狀態:> 正在獲取列表
  狀態:> 正在連接主機名稱
  狀態:> 主機 已連接: ip = **
  狀態:> 正在連接到 ftp 服務器 : (ip = **)
  狀態:> 接口已連接正在等候歡迎消息
   ServU FTP Server v for WinSock ready
  狀態:> 已連接正在登陸
  命令:> USER test
   User name okay need password
  命令:> PASS *****
   User logged in proceed
  狀態:> 登錄成功
  命令:> PWD
   / is current directory
  狀態:> Home directory: /
  命令:> FEAT
  Extension supported
  CLNT
  MDTM
  MDTM YYYYMMDDHHMMSS[+TZ];filename
  SIZE
  SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
  REST STREAM
  XCRC filename;start;end
  MODE Z
   End
  狀態:> 該站點支持 features
  狀態:> 這個站點支持 XCRC
  狀態:> 這個站點支持 SIZE
  狀態:> 該站點可以續傳中斷的下載
  命令:> REST
   Restarting at Send STORE or RETRIEVE
  命令:> PASV
   Entering Passive Mode ()
  命令:> LIST
  狀態:> 正在連接 ftp 數據 socket :
   Opening ASCII mode data connection for /bin/ls
   Transfer complete
  狀態:> 傳送完成
  從內部ping
  
  從內部對FTP測試
  *** CuteFTP Pro build Sep ***
  
  狀態:> 正在獲取列表
  狀態:> 正在連接到 ftp 服務器 : (ip = )
  狀態:> Socket 已連接正在等候歡迎消息
   ServU FTP Server v for WinSock ready
  狀態:> 已連接正在驗證
  命令:> USER test
   User name okay need password
  命令:> PASS *****
   User logged in proceed
  狀態:> 登錄成功
  命令:> PWD
   / is current directory
  狀態:> Home directory: /
  命令:> FEAT
  Extension supported
  CLNT
  MDTM
  MDTM YYYYMMDDHHMMSS[+TZ];filename
  SIZE
  SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
  REST STREAM
  XCRC filename;start;end
  MODE Z
   End
  狀態:> 該站點支持 features
  狀態:> 該站點支持 XCRC
  狀態:> 該站點支持 SIZE
  狀態:> 該站點可以續傳中斷的下載
  命令:> REST
   Restarting at Send STORE or RETRIEVE
  命令:> PASV
   Entering Passive Mode ()
  命令:> LIST
  狀態:> 正在連接 ftp 數據 socket :
   Opening ASCII mode data connection for /bin/ls
   Transfer complete
  狀態:> 傳送完成
  
  FTP服務器上的信息
  [] Wed Oct :: () Connected to (Local address )
  [] Wed Oct :: () User TEST logged in
  [] Wed Oct :: () Connected to ** (Local address )
  [] Wed Oct :: () User TEST logged in
  
  
  在後端防火牆內的電腦訪問在前端ISA服務器上的WEB服務器
  
  
 educitycn/img_///jpg >

  
  我們從這裡可以看到從內網連接的IP地址不是後端防火牆內部真實的電腦的IP是後端防火牆ISA的IP也就是說在使用普通模板不修改設置的時候後端防火牆ISA使用的是SNAT讓後端防火牆內部的電腦訪問外圍以及外部網絡所以外圍網不能自由訪問後端防火牆內部的電腦只能以發布的方式訪問個別電腦的個別服務就同發布服務器一樣
  
  二外圍網需要訪問後端ISA內部電腦的情況
  
  就是說在前端防火牆ISA後面所有網絡都可以到達這個配置起來比較復雜我們在已經配置好第一種情況的基礎上進行修改
  
   我們修改前端防火牆ISA的設置網絡規則不作修改防火牆策略不作修改
  
  如圖配置網絡網絡外圍屬性添加地址
  
  我們把後端防火牆內部的IP地址增加進去
  
  打開前端防火牆ISA上的路由和遠程訪問增加靜態路由警告在不明確知道做什麼的情況下不要去動ISA服務器上的路由和遠程訪問!
  
  添加網關為後端服務器IP接口為和後端防火牆連接的那個網卡個人的網卡標識不同自己確認
  
   配置後端防火牆
  
  如圖選擇後端防火牆模板
  
  添加後端防火牆地址范圍
  
  同樣為了測試方便允許無限制訪問以後可自行修改
  
  翻到網絡規則我們看這裡是NAT
  
  把網絡關系變成路由
  
  填寫前端防火牆地址
  
  外圍網絡地址范圍
  
  這些在構築測試的時候沒有用處在以後的實際運用中如限定上網權限
From:http://tw.wingwit.com/Article/os/fwq/201311/10274.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.