ISA Server
在背靠背防火牆結構中的應用這個問題一直沒有詳細的說明
有很多網友也提出這個問題
我花了一天時間
進行N次嘗試和測試
獲得了一手資料
本文適用於已經有一定ISA和網絡技術基礎的網友參考
請初入門的網友先學習其他文章
由於ISA
提供的前端防火牆模板的對象是外圍網使用的都是公網IP的設計
所以針對國內的實際情況(很多網友的網絡只有一個Internet的IP地址)
模板需要做很大調整
外圍網使用公網IP的情況按照模板不需要調整
很容易實現
這裡就不做介紹了
只有一個公網IP的也有兩種情況
後端防火牆內的網絡需要不需要被外圍網訪問
先介紹後端防火牆內的電腦或者服務器
不需要被外圍網和在前端防火牆上建立的VPN客戶端已及構築成VPN站點的遠程站點訪問的情況
這種情況比較簡單
在第一種和第二種情況下網絡構成不變
一
外圍網不需訪問後端防火牆內的電腦或者服務器
要求
服務器網段(FTP服務器
WEB服務器
郵件服務器)不能上網
只能被外部和外圍網有限訪問一些服務
外圍網和後端防火牆網段能夠上網
後端防火牆網段可以訪問外圍網和服務器網段
網絡構成
前端防火牆共
張網卡
網卡
連接對外服務的服務器
IP
/
無網關
無DNS
網卡
連接外圍網
IP
/
無網關
無DNS
網卡
使用PPPoE撥號得到外部IP
網關
DNS服務器地址
外圍網客戶端的網絡設置
IP
*/
網關
DNS
在ISA服務器上建立DNS服務器
轉發到ISP提供的DNS服務器
後端防火牆
網卡
網卡
連接外圍網
IP
/
網關
DNS
網卡
連接內部上網電腦
IP
/
無網關
無DNS
設置前端防火牆
如圖使用前端防火牆模板
點擊模板
如果需要保持以前的網絡設定
可以在此處導出網絡設置文件
備份
添加外圍網的地址范圍
為了測試方便
我們在這裡選擇允許無限制的訪問
在實際運用種
應該按照各自需要設定
前端防火牆模板完成
增加對外訪問的服務器網段
如圖點擊創建一個新的網絡
選擇外圍網
加入對外服務服務器的地址段
建立網絡之間關系
創建一個新的網絡規則
定義對外服務服務器網段的名字
增加網絡源
增加目標網絡
選擇關系是路由
最後點擊完成
我們配置到這裡
需要確認一下是否都配置正確
下面我們發布一下一
為非正常端口的FTP服務器
如圖建立發布規則
注意它的屬性
其實只需要發布的端口不同於在其它地方發布的服務器端口即可發布
這裡不在做詳細的規則配置介紹
不熟悉的網友
請先參看其它文章
在不需要外網網訪問的情況下
後端防火牆沒有特別的和邊緣防火牆模板相同
完全可以使用邊緣防火牆模板
這裡不說明邊緣防火牆的設置
在第二種情況下
需要外網網訪問後端防火牆內電腦的時候
做詳細說明
注意的是如果要限定內網訪問服務器網段或者外圍網端機器需要按照網絡集限定
測試
從公網IP進行FTP測試
*** CuteFTP Pro
build Oct
***
狀態:> 正在獲取列表
狀態:> 正在連接主機名稱
狀態:> 主機 已連接: ip =
*
*
狀態:> 正在連接到 ftp 服務器 :
(ip =
*
*
)
狀態:> 接口已連接
正在等候歡迎消息
Serv
U FTP Server v
for WinSock ready
狀態:> 已連接
正在登陸
命令:> USER test
User name okay
need password
命令:> PASS *****
User logged in
proceed
狀態:> 登錄成功
命令:> PWD
/
is current directory
狀態:> Home directory: /
命令:> FEAT
Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+
TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
End
狀態:> 該站點支持 features
狀態:> 這個站點支持 XCRC
狀態:> 這個站點支持 SIZE
狀態:> 該站點可以續傳中斷的下載
命令:> REST
Restarting at
Send STORE or RETRIEVE
命令:> PASV
Entering Passive Mode (
)
命令:> LIST
狀態:> 正在連接 ftp 數據 socket
:
Opening ASCII mode data connection for /bin/ls
Transfer complete
狀態:> 傳送完成
從內部ping
從內部對FTP測試
*** CuteFTP Pro
build Sep
***
狀態:> 正在獲取列表
狀態:> 正在連接到 ftp 服務器
:
(ip =
)
狀態:> Socket 已連接
正在等候歡迎消息
Serv
U FTP Server v
for WinSock ready
狀態:> 已連接
正在驗證
命令:> USER test
User name okay
need password
命令:> PASS *****
User logged in
proceed
狀態:> 登錄成功
命令:> PWD
/
is current directory
狀態:> Home directory: /
命令:> FEAT
Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+
TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
End
狀態:> 該站點支持 features
狀態:> 該站點支持 XCRC
狀態:> 該站點支持 SIZE
狀態:> 該站點可以續傳中斷的下載
命令:> REST
Restarting at
Send STORE or RETRIEVE
命令:> PASV
Entering Passive Mode (
)
命令:> LIST
狀態:> 正在連接 ftp 數據 socket
:
Opening ASCII mode data connection for /bin/ls
Transfer complete
狀態:> 傳送完成
FTP服務器上的信息
[
] Wed
Oct
:
:
(
) Connected to
(Local address
)
[
] Wed
Oct
:
:
(
) User TEST logged in
[
] Wed
Oct
:
:
(
) Connected to
*
*
(Local address
)
[
] Wed
Oct
:
:
(
) User TEST logged in
在後端防火牆內的電腦訪問在前端ISA服務器上的WEB服務器
educitycn/img_///jpg > 我們從這裡可以看到從內網連接的IP地址不是後端防火牆內部真實的電腦的IP
是後端防火牆ISA的IP
也就是說
在使用普通模板不修改設置的時候
後端防火牆ISA使用的是SNAT讓後端防火牆內部的電腦訪問外圍以及外部網絡
所以外圍網不能自由訪問後端防火牆內部的電腦
只能以發布的方式訪問個別電腦的個別服務
就同發布服務器一樣
二
外圍網需要訪問後端ISA內部電腦的情況
就是說
在前端防火牆ISA後面
所有網絡都可以到達
這個配置起來比較復雜
我們在已經配置好第一種情況的基礎上進行修改
我們修改前端防火牆ISA的設置
網絡規則不作修改
防火牆策略不作修改
如圖
配置網絡
網絡
外圍
屬性
添加地址
我們把後端防火牆內部的IP地址增加進去
打開前端防火牆ISA上的路由和遠程訪問
增加靜態路由
警告
在不明確知道做什麼的情況下
不要去動ISA服務器上的路由和遠程訪問!
添加
網關為後端服務器IP
接口為和後端防火牆連接的那個網卡
個人的網卡標識不同
自己確認
配置後端防火牆
如圖
選擇後端防火牆模板
添加後端防火牆地址范圍
同樣為了測試方便
允許無限制訪問
以後可自行修改
翻到網絡規則
我們看這裡是NAT
把網絡關系變成路由
填寫前端防火牆地址
外圍網絡地址范圍
這些在構築測試的時候沒有用處
在以後的實際運用中
如限定上網權限
From:http://tw.wingwit.com/Article/os/fwq/201311/10274.html
