3．1 防火墻策略的組成在ISA 服務(wù)器安裝成功后，其防火墻策略默認(rèn)為禁止所有內(nèi)外通訊，所以我們需要在服務(wù)器上建立相應(yīng)的防火墻策略，以使內(nèi)外通訊成功。在本章，我們將介紹ISA 的基本配置，使內(nèi)部的

3．1 防火墻策略的組成

在ISA 服務(wù)器安裝成功后，其防火墻策略默認(rèn)為禁止所有內(nèi)外通訊，所以我們需要在服務(wù)器上建立相應(yīng)的防火墻策略，以使內(nèi)外通訊成功。在本章，我們將介紹ISA 的基本配置，使內(nèi)部的所有用戶無(wú)限制的訪問(wèn)外部網(wǎng)絡(luò)。

在ISA Server 2004中，防火墻策略是由網(wǎng)絡(luò)規(guī)則、訪問(wèn)規(guī)則和服務(wù)器發(fā)布規(guī)則三者的共同組成。

●??網(wǎng)絡(luò)規(guī)則：定義了不同網(wǎng)絡(luò)間能否進(jìn)行通訊、以及知用何各方式進(jìn)行通訊。 ●??訪問(wèn)規(guī)則：則定義了內(nèi)、外網(wǎng)的進(jìn)行通訊的具體細(xì)節(jié)。

●??服務(wù)器發(fā)布規(guī)則：定義了如何讓用戶訪問(wèn)服務(wù)器。

3.1.1 網(wǎng)絡(luò)規(guī)則

ISA2004通過(guò)網(wǎng)絡(luò)規(guī)則來(lái)定義并描述網(wǎng)絡(luò)拓?fù)洌涿枋隽藘蓚€(gè)網(wǎng)絡(luò)實(shí)體之間是否存在連接，以及定義如何進(jìn)行連接。相對(duì)于ISA2000，可以說(shuō)網(wǎng)絡(luò)規(guī)則是ISA Server 2004中的一個(gè)很大的進(jìn)步，它沒(méi)有了ISA Server 2000只有一個(gè)LAT 表的限制，可以很好的支持多網(wǎng)絡(luò)的復(fù)雜環(huán)境。

在ISA2004的網(wǎng)絡(luò)規(guī)則中定義的網(wǎng)絡(luò)連接的方式有：路由和網(wǎng)絡(luò)地址轉(zhuǎn)換。

3.1.1.1 路由

路由是指相互連接起來(lái)的網(wǎng)絡(luò)之間進(jìn)行路徑尋找和轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程，由于ISA 與Windows 2000 Server 和Windows Server 2003路由和遠(yuǎn)程訪問(wèn)功能的緊密集成，使其具有很強(qiáng)的路由功能。

在ISA2004中，當(dāng)指定這種類型的連接時(shí)，來(lái)自源網(wǎng)絡(luò)的客戶端請(qǐng)求將被直接轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)，而無(wú)須進(jìn)行地址的轉(zhuǎn)換。當(dāng)需要發(fā)布位于DMZ 網(wǎng)絡(luò)中的服務(wù)器時(shí)，我們可以配置相應(yīng)的路由網(wǎng)絡(luò)規(guī)則。

需要注意的是，路由網(wǎng)絡(luò)關(guān)系是雙向的。如果定義了從網(wǎng)絡(luò) A 到網(wǎng)絡(luò) B 的路由關(guān)系，那么從網(wǎng)絡(luò) B 到網(wǎng)絡(luò) A 也同樣存在著路由關(guān)系，這同我們?cè)谶M(jìn)行硬件或軟件路由器配置的原理相同。

3.1.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT ）

NAT 即網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translator ），在Windows 2000 Server 和Windows server 2003中，NAT 是其IP 路由的一項(xiàng)重要功能。NAT 方式也稱之為Internet 的路由連接，通過(guò)它在局域網(wǎng)和Internet 主機(jī)間轉(zhuǎn)發(fā)數(shù)據(jù)包從而實(shí)現(xiàn)Internet 的共享。ISA2004由于同Windows 2000 Server 和Windows server 2003的路由和遠(yuǎn)程訪問(wèn)功能集成，所以支持NAT 的的連接類型。

當(dāng)運(yùn)行NAT 的計(jì)算機(jī)從一臺(tái)內(nèi)部客戶機(jī)接收到外出請(qǐng)求數(shù)據(jù)包時(shí)，它會(huì)把信息包的包頭換掉，把客戶機(jī)的內(nèi)部IP 地址和端口號(hào)翻譯成NAT 服務(wù)器自己的外部IP 地址和端口號(hào)，然后再將請(qǐng)求包發(fā)送給Internet 上的目標(biāo)主機(jī)。當(dāng)N

AT 服務(wù)器從Internet 主機(jī)接收到回答信息后，它也會(huì)將其包頭進(jìn)行替換，將自己的外部IP 地址和端口號(hào)轉(zhuǎn)換為請(qǐng)求客戶機(jī)的內(nèi)部IP 地址的端口號(hào)，然后再把信息包發(fā)內(nèi)網(wǎng)的客戶機(jī)。

當(dāng)在ISA2004中指定了這促類型的連接后， ISA 服務(wù)器將用它自己的 IP 地址替換源網(wǎng)絡(luò)中的客戶端的 IP 地址。從而對(duì)外隱藏了內(nèi)部管理的IP ，同時(shí)也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)，并可減少了I P 地址注冊(cè)的費(fèi)用。

需要注意的是：NAT 關(guān)系是唯一的和單向的。如果定義了從網(wǎng)絡(luò) A 到網(wǎng)絡(luò) B 的 NAT 關(guān)系，則不會(huì)自動(dòng)定義從 B 到 A 的網(wǎng)絡(luò)關(guān)系。您可以創(chuàng)建定義雙向關(guān)系的網(wǎng)絡(luò)規(guī)則，但是 ISA 服務(wù)器將忽略有序規(guī)則列表中的第二條網(wǎng)絡(luò)規(guī)則。

3.1.1.3 默認(rèn)網(wǎng)絡(luò)規(guī)則

在進(jìn)行ISA2004的安裝時(shí)，系統(tǒng)會(huì)創(chuàng)建以下默認(rèn)規(guī)則（如圖3-1所示）： ●??本地主機(jī)訪問(wèn)：此規(guī)則定義了在本地主機(jī)網(wǎng)絡(luò)與其他所有網(wǎng)絡(luò)之間存在的路由關(guān)

系。

●??VPN 客戶端到內(nèi)部網(wǎng)絡(luò)：此規(guī)則指定在兩個(gè) VPN 客戶端網(wǎng)絡(luò)（.VPN 客戶端. 和.

被隔離的 VPN 客戶端. ）與內(nèi)部網(wǎng)絡(luò)之間存在著路由關(guān)系。

●??Internet 訪問(wèn)：此規(guī)則定義了在內(nèi)部受保護(hù)的網(wǎng)絡(luò)（如內(nèi)部、VPN 客戶端等）與

外部網(wǎng)絡(luò)之間存在的 NAT 關(guān)系。

3.1.2 訪問(wèn)規(guī)則

訪問(wèn)規(guī)則決定源網(wǎng)絡(luò)上的客戶端如何訪問(wèn)目標(biāo)網(wǎng)絡(luò)上的資源。我們可以將訪問(wèn)規(guī)則配置為適用于所有 IP 通訊、適用于特定的協(xié)議定義集或適用于除所選協(xié)議之外的所有 IP 通訊。也可以在訪問(wèn)規(guī)則中對(duì)用戶訪問(wèn)進(jìn)行精確的限定。

當(dāng)客戶端使用特定協(xié)議請(qǐng)求對(duì)象時(shí)，ISA 服務(wù)器會(huì)在訪問(wèn)規(guī)則列表中從上而下地進(jìn)行檢查。只有當(dāng)某個(gè)訪問(wèn)規(guī)則明確允許客戶端使用特定的協(xié)議進(jìn)行通訊，并且允許訪問(wèn)請(qǐng)求的對(duì)象時(shí)才處理請(qǐng)求。

在ISA2004的安裝過(guò)程中會(huì)自動(dòng)創(chuàng)建默認(rèn)的系統(tǒng)策略，其中包含了預(yù)配置的、已知協(xié)議定義的訪問(wèn)規(guī)則列表，其中包括最廣泛使用的 Internet 協(xié)議，以允許ISA Server 2004服務(wù)器能訪問(wèn)它連接到的網(wǎng)絡(luò)的特定服務(wù)。下圖顯示的是默認(rèn)系統(tǒng)策略中的內(nèi)容。

3．2 建立允許客戶訪問(wèn)Internet 的防火墻策略

在安裝好ISA2004后，我們需要建立相應(yīng)的防火墻訪問(wèn)策略以允許企業(yè)內(nèi)部員工通過(guò)ISA 服務(wù)器進(jìn)行安全的Internet 訪問(wèn)。在本節(jié)中，我們將以一個(gè)具體的實(shí)例讓大家體會(huì)一下如何利用防火墻策略來(lái)建立訪問(wèn)規(guī)則，以使企業(yè)內(nèi)部的所有客戶能訪問(wèn)Internet 的所有服務(wù)。

要完成這個(gè)策略的建立，我們需要完成以下工作：

●??配置內(nèi)部的DNS 服務(wù)器。

●??建立訪問(wèn)策略。

3.2.1 建立內(nèi)部的DNS 服務(wù)器

Internet 的基本協(xié)議是TCP/IP，在網(wǎng)上的每一臺(tái)計(jì)算機(jī)用唯一的IP 地址進(jìn)行標(biāo)識(shí)。但在實(shí)際的運(yùn)用中，為了便于記憶，往往給每一臺(tái)計(jì)算機(jī)取友好名稱，要訪問(wèn)的網(wǎng)址也是一樣，稱為域名。比如我們要訪問(wèn)微軟網(wǎng)站，則在瀏覽器的地址欄輸入的域名是[url]www.microsoft.com[/url]，但是計(jì)算機(jī)系統(tǒng)本身是不能識(shí)別這個(gè)域名的，要訪問(wèn)到這個(gè)網(wǎng)站需要知道服務(wù)器的真實(shí)IP 地址，所以在中間就需要一個(gè)名稱解析系統(tǒng)，即將域名[url]www.microsoft.com[/url]解析

為其服務(wù)器的IP 地址如207.46.156.252，這個(gè)名稱解析系統(tǒng)現(xiàn)在的互聯(lián)網(wǎng)中使用的是DNS （Domain Name System ）。

當(dāng)用戶用域名在訪問(wèn)Internet 上的網(wǎng)站時(shí)，需要外部DNS 為之進(jìn)行域名解析；而當(dāng)企業(yè)用戶用域名訪問(wèn)公司內(nèi)部的網(wǎng)絡(luò)資源時(shí)，需要內(nèi)部DNS 進(jìn)行域名解析。但如果企業(yè)用戶既要訪問(wèn)企業(yè)內(nèi)部網(wǎng)站，又要訪問(wèn)Internet 上的資源時(shí)，DNS 應(yīng)怎樣進(jìn)行設(shè)置的。在這種情況下，我們可以建立企業(yè)內(nèi)部的DNS 服務(wù)器，使之可以解析內(nèi)部域名，然后將之設(shè)置外部DNS 的轉(zhuǎn)發(fā)器，當(dāng)內(nèi)部用戶訪問(wèn)資源時(shí)，由內(nèi)部DNS 服務(wù)器將其請(qǐng)求發(fā)給外部DNS ，從而獲得外部資源的域名解析。

3.2.1.1 安裝內(nèi)部的DNS 服務(wù)器

以管理員身份登錄到需要安裝DNS 的Windows 服務(wù)器上（可以同ISA 服務(wù)器安裝在同一臺(tái)計(jì)算機(jī)上，也可以分別在不同的計(jì)算機(jī)上進(jìn)行安裝），進(jìn)行如下過(guò)程的安裝和配置：

1、打開(kāi)控制面板下的“添加/刪除程序”，單擊“添加/刪除Windows 組件”。

2、在Windows 組件向?qū)е须p擊“網(wǎng)絡(luò)服務(wù)”，在出現(xiàn)的對(duì)話框中選擇“域名系統(tǒng)（DNS ）”，點(diǎn)擊【確定】，再點(diǎn)擊【下一步】按鈕. ，并按向?qū)б笸瓿蒁NS 服務(wù)的安裝。

3、在Windows server 2003的“管理工具”中選擇“DNS ”，進(jìn)入DNS 管理控制臺(tái)，右鍵單擊服務(wù)器，在出的菜單中選擇“屬性”。

4、在屬性對(duì)話框中選擇“接口”選項(xiàng)卡，然后添加內(nèi)部接口地址。如圖所示。

圖 3-7 配置DNS 內(nèi)部接口

5、選擇“轉(zhuǎn)發(fā)器”選項(xiàng)卡，先選中上面的“所有其它DNS 域”，然后在“所選域的轉(zhuǎn)發(fā)器的IP 地址列表”中添加ISP 為你提供的外部DNS 服務(wù)器的IP 地址。如圖所示。

6、單擊【確定】按鈕，完成服務(wù)器端DNS 的安裝和配置。

3.2.1.2 客戶端的DNS 配置

客戶端DNS 的配置步驟如下：

1、登錄到客戶機(jī)上，在桌面上用右鍵單擊“網(wǎng)上鄰居”圖標(biāo)，在出現(xiàn)的菜單中選擇“屬性”。

2、在網(wǎng)絡(luò)連接的屬性窗口中，用右鍵單擊“本地連接”，在出現(xiàn)的菜單中選擇“屬性”，進(jìn)入到“本地連接屬性”對(duì)話框中。

3、在“本地連接屬性”頁(yè)中選中“Internet 協(xié)議（TCP/IP）”，再點(diǎn)擊【屬性】按鈕，在出現(xiàn)的TCP/IP屬性頁(yè)的“首選DNS 服務(wù)器”中，輸入內(nèi)部DNS 服務(wù)器的IP 地址，點(diǎn)擊【確定】按鈕，完成客戶端配置。如圖所示。

3.2.2 建立訪問(wèn)策略

要使內(nèi)部用戶通過(guò)ISA 服務(wù)器訪問(wèn)Internet ，必須要建立訪問(wèn)策略。在本例中我們需要建立兩條訪問(wèn)策略：一條訪問(wèn)策略以允許企業(yè)用戶通過(guò)ISA 服務(wù)器訪問(wèn)Internet ；另一條策略以允許企業(yè)用戶訪問(wèn)ISAServer2004 服務(wù)器的DNS 服務(wù)。

3.2.2.1 建立允許所有外出通訊的訪問(wèn)策略

建立訪問(wèn)策略的步驟如下：

1、打開(kāi)ISA 管理控制臺(tái)，右鍵單擊“防火墻策略”，在出現(xiàn)的菜單中選擇“新建”→“訪問(wèn)規(guī)則”。如圖所示。

2、在新建訪問(wèn)規(guī)則向?qū)е?，輸入訪問(wèn)規(guī)則名稱。如圖所示。

圖 3-12 輸入規(guī)則名稱

3、在“規(guī)則操作”對(duì)話框中選擇“允許”，以便允許通訊的進(jìn)行。如圖所示。

圖 3-13 配置規(guī)則操作

4、在“協(xié)議”對(duì)話框中選擇“所有出站通訊”，表示可以訪問(wèn)Internet 上的所有服務(wù)。如圖所示。

5、在“訪問(wèn)規(guī)則源”對(duì)話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框中展開(kāi)“網(wǎng)絡(luò)”，選擇“內(nèi)部”（如要允許ISA 服務(wù)器訪問(wèn)Internet ，在則可選“本地主機(jī)”），然后單擊【添加】按鈕，表示所有的通訊源來(lái)自于企業(yè)內(nèi)部。如圖所示。

6、在“訪問(wèn)規(guī)則目標(biāo)”對(duì)話框中單擊【添加】按鈕。在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框中展開(kāi)“網(wǎng)絡(luò)”，選擇“外部”，然后點(diǎn)擊【添加】按鈕，表示要訪問(wèn)網(wǎng)絡(luò)外部的資源。

7、在“用戶集”對(duì)話框中，采用默認(rèn)的“所有用戶”，表示內(nèi)網(wǎng)的所有用戶都可以通過(guò)ISA 服務(wù)器訪問(wèn)外部的資源。點(diǎn)擊【下一步】按鈕完成策略的建立。

3.2.2.2 建立允許客戶訪問(wèn)內(nèi)部DNS 的訪問(wèn)策略

建立過(guò)程如下：

1、打開(kāi)ISA 管理控制臺(tái)，右鍵單擊“防火墻策略”，在出現(xiàn)的菜單中選擇“新建”→“訪問(wèn)規(guī)則”，在訪問(wèn)規(guī)則向?qū)е休斎胍?guī)則名，這里我們?nèi)∶麨椤霸L問(wèn)ISA 主機(jī)上的DNS”。

2、在規(guī)則操作中選擇“允許”，在此規(guī)則應(yīng)用到選項(xiàng)中選擇“所選擇的協(xié)議”，然后單擊【添加】按鈕，在“添加協(xié)議”對(duì)話框中展開(kāi)“通用協(xié)議”，選擇“DNS”，單擊【添加】按鈕，單擊【關(guān)閉】按鈕完成協(xié)議的設(shè)置。如圖所示。

3、在“訪問(wèn)規(guī)則目標(biāo)”對(duì)話框中單擊【添加】按鈕，在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框中展開(kāi)“網(wǎng)絡(luò)”，然后選擇“本地主機(jī)”，單擊【添加】按鈕，表示要訪問(wèn)ISA 服務(wù)器上的DNS 服務(wù)

4、根據(jù)向?qū)О茨J(rèn)選項(xiàng)完成本訪問(wèn)策略的建立。

3.2.2.3 應(yīng)用訪問(wèn)策略

為了使所建立的訪問(wèn)策略生效，須在右邊窗格中單擊【應(yīng)用】按鈕，以保

存修改和更新防火墻策略。

防火策略生效后，你可以在客戶機(jī)通過(guò)ISA 服務(wù)器訪問(wèn)Internet 上的所有服務(wù)，如QQ 、MSN 等。

3．3 配置撥號(hào)連接

現(xiàn)在企業(yè)訪問(wèn)互連網(wǎng)很多都是采用ADSL 寬帶撥號(hào)方式，所以在ISA Se rver 2004的服務(wù)器中，需為通過(guò)撥號(hào)上網(wǎng)配置相應(yīng)的撥號(hào)連接。配置好請(qǐng)求撥號(hào)后，無(wú)論何時(shí)本地網(wǎng)絡(luò)上的Web 代理客戶端或者是防火墻客戶端請(qǐng)求一個(gè)遠(yuǎn)程主機(jī)時(shí)，您的ISA Server 計(jì)算機(jī)能自動(dòng)啟動(dòng)撥號(hào)連接。

要完成ISA2004撥號(hào)上網(wǎng)配置，需要先在撥號(hào)服務(wù)器上進(jìn)行ADSL 撥號(hào)設(shè)置，然后在ISA 服務(wù)器上進(jìn)行撥號(hào)設(shè)置。

3.3.1 建立撥號(hào)服務(wù)器的撥號(hào)連接

ADSL 撥號(hào)的方式有很多種，如ethernet 、raspppoe 等，這些撥號(hào)方式需要安裝相應(yīng)的撥號(hào)軟件，而Windows Server 2003 內(nèi)置了寬帶撥號(hào)的支持，按向?qū)б徊揭徊酵瓿膳渲?，?jiǎn)單明了。在這里，我們就以Windows serv er 2003的撥號(hào)連接建立方式為例，配置步驟如下：

1、在網(wǎng)絡(luò)連接屬性窗口中，雙擊“新建連接向?qū)А?，在出現(xiàn)的對(duì)話框中選擇“Internet連接“，單擊【下一步】按鈕，在出現(xiàn)的對(duì)話框中選擇“用要求用戶名和密碼的寬帶連接來(lái)連接”。

2、在“ISP名稱”對(duì)話框中輸入向企業(yè)提供ADSL 接入服務(wù)的ISP 的名稱。如圖3-23所示。

3、在可用連接中選擇“任何人使用”，表示允許內(nèi)部所有用戶均可用這個(gè)撥號(hào)連接。

4、在Internet 帳號(hào)對(duì)話框中，輸入由ISP 分配給你的用戶名和口令，點(diǎn)單擊【下一步】按鈕完成ADSL 連接的建立。

3.3.2 配置ISA 服務(wù)器的撥號(hào)連接

在ISA 服務(wù)器上配置撥號(hào)連接的步驟如下：

1、在ISA 管理控制臺(tái)中，選擇“常規(guī)”，然后在右邊的詳細(xì)窗格中選擇“指定撥號(hào)首選項(xiàng)”。如圖所示。