isa防火墻如何配置

　　isa防火墻要怎么樣去配置，才能更好的使用呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的isa防火墻配置介紹!希望對(duì)你有幫助!

　　isa防火墻配置一：

　　配置ISA Server網(wǎng)絡(luò)環(huán)境

　　網(wǎng)絡(luò)環(huán)境中是否有必要安裝ISA、是否可以安裝ISA、安裝前ISA保護(hù)的內(nèi)部網(wǎng)絡(luò)中的客戶如何進(jìn)行配置、安裝后的訪問(wèn)規(guī)則如何設(shè)置等問(wèn)題，本文將具體闡述一下。 文章導(dǎo)讀 1、ISA server概述 2、邊緣防火墻模型 3、單網(wǎng)絡(luò)與多網(wǎng)絡(luò)模型

　　ISA Server 2004是目前世界上最好的路由級(jí)軟件防火墻，它可以讓你的企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識(shí)別功能是目前很多基于包過(guò)濾的硬件防火墻都不具備的。

　　你可以在網(wǎng)絡(luò)的任何地方，如兩個(gè)或多個(gè)網(wǎng)絡(luò)的邊緣層(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到等等)、單個(gè)主機(jī)上配置ISA Server 2004來(lái)對(duì)你的網(wǎng)絡(luò)或主機(jī)進(jìn)行防護(hù)。

　　ISA Server 2004對(duì)于安裝的要求非常低，可以說(shuō)，目前的服務(wù)器對(duì)于ISA Server 2004的硬件系統(tǒng)需求都是綽綽有余的。

　　ISA Server作為一個(gè)路由級(jí)的軟件防火墻，要求管理員要熟悉網(wǎng)絡(luò)中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等，它并不像其他單機(jī)防火墻一樣，只需安裝一下就可以很好的使用。在安裝ISA Server時(shí)，你需要對(duì)你內(nèi)部網(wǎng)絡(luò)中的路由及TCP/IP設(shè)置進(jìn)行預(yù)先的規(guī)劃和配置，這樣才能做到安裝ISA Server后即可很容易的使用，而不會(huì)出現(xiàn)客戶不能訪問(wèn)外部網(wǎng)絡(luò)的問(wèn)題。

　　再談?wù)剬?duì)在單機(jī)上安裝ISA Server 2004的看法。ISA Server 2004可以安裝在單網(wǎng)絡(luò)適配器計(jì)算機(jī)上，它將會(huì)自動(dòng)配置為Cache only的防火墻，同時(shí)，通過(guò)ISA Server 2004強(qiáng)大的IDS和應(yīng)用層識(shí)別機(jī)制，對(duì)本機(jī)提供了很好的防護(hù)。但是，ISA Server 2004的核心是多網(wǎng)絡(luò)，它最適合的配置環(huán)境是作為網(wǎng)絡(luò)邊緣的防火墻;并且作為單機(jī)防火墻，它太過(guò)于龐大了，這樣會(huì)為服務(wù)器帶來(lái)不必要的性能消耗。

　　所以，我不推薦在單機(jī)上安裝ISA Server 2004。對(duì)于單機(jī)防火墻，我推薦Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等，它們都是非常好的單機(jī)防火墻。不過(guò)對(duì)于需要提供服務(wù)的主機(jī)，最好安裝Zonealarm或者Blackice，SPF Pro因?yàn)樘^(guò)于強(qiáng)大，反而不適合作為服務(wù)器使用。對(duì)于基于IIS的Web服務(wù)器，你還可以安裝IISLockdown和UrlScan工具，這樣就可以做到比較安全了。對(duì)于單網(wǎng)絡(luò)適配器的ISA Server，我會(huì)在后面的實(shí)例中介紹。

　　至于安裝ISA Server前內(nèi)部的客戶如何進(jìn)行配置，我以幾個(gè)實(shí)例來(lái)進(jìn)行介紹:

　　1、邊緣防火墻模型

　　如下圖，ISA Server 2004上安裝有兩個(gè)網(wǎng)絡(luò)適配器，它作為邊緣防火墻，讓內(nèi)部客戶安全快速的連接到Internet，內(nèi)部的Lan我以192.168.0.0/24為例，不考慮接入Internet的方式(撥號(hào)或固定IP均可)。

　　ISA Server 2004上的內(nèi)部網(wǎng)絡(luò)適配器作為內(nèi)部客戶的默認(rèn)網(wǎng)關(guān)，根據(jù)慣例，它的IP地址要么設(shè)置為子網(wǎng)最前的IP(如192.168.0.1)，或者設(shè)置為最末的IP(192.168.0.254)，在此我設(shè)置為192.168.0.1;對(duì)于DNS服務(wù)器，只要內(nèi)部網(wǎng)絡(luò)中沒(méi)有域，那么內(nèi)部可以不建立DNS服務(wù)器，不過(guò)推薦你建立。在此例中，我們假設(shè)外部網(wǎng)卡(或撥號(hào)連接)上已經(jīng)設(shè)置了DNS服務(wù)器，所以我們?cè)诖瞬辉O(shè)置DNS服務(wù)器的IP地址;還有默認(rèn)網(wǎng)關(guān)，內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認(rèn)網(wǎng)關(guān)，因?yàn)閃indows主機(jī)同時(shí)只能使用一個(gè)默認(rèn)網(wǎng)關(guān)，如果在外部和內(nèi)部網(wǎng)絡(luò)適配器上都設(shè)置了默認(rèn)網(wǎng)關(guān)，那么ISA Server可能會(huì)出現(xiàn)路由錯(cuò)誤。

　　接下來(lái)是客戶機(jī)的TCP/IP設(shè)置和代理設(shè)置。SNAT客戶和Web代理客戶有些區(qū)別，防火墻客戶兼容SNAT客戶和Web代理客戶的設(shè)置。在身份驗(yàn)證不是必需的情況下，請(qǐng)盡量考慮使用SNAT客戶，因?yàn)樗菢?biāo)準(zhǔn)的網(wǎng)絡(luò)路由，兼容性是最好的。

　　SNAT客戶的TCP/IP配置要求:

　　必須和ISA Server的內(nèi)部接口在同個(gè)子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　配置ISA Server的內(nèi)部接口為默認(rèn)網(wǎng)關(guān);此時(shí)默認(rèn)網(wǎng)關(guān)是192.168.0.1;

　　DNS根據(jù)你的網(wǎng)絡(luò)環(huán)境來(lái)設(shè)置，可以使用ISP的DNS服務(wù)器或者你自己在內(nèi)部建立一臺(tái)DNS服務(wù)器;但是，DNS服務(wù)器是必需的。

　　Web代理客戶和SNAT客戶相比，則要復(fù)雜一些:

　　IP地址必須和ISA Server的內(nèi)部接口位于同個(gè)子網(wǎng);在此，我可以使用192.168.0.2/24～192.168.0.254/24;

　　默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器地址都可以不配置;

　　必須在IE的代理屬性中配置ISA Server的代理，默認(rèn)是內(nèi)部接口的8080端口，在此是192.168.0.1:8080;

　　對(duì)于其他需要訪問(wèn)網(wǎng)絡(luò)的程序，必須設(shè)置HTTP代理(ISA Server)，否則是不能訪問(wèn)網(wǎng)絡(luò);

　　至于關(guān)閉SNAT客戶的訪問(wèn)，在ISA Server的訪問(wèn)規(guī)則中不要允許所有用戶訪問(wèn)，改為所有通過(guò)驗(yàn)證的用戶即可。

　　防火墻客戶默認(rèn)會(huì)配置IE為web代理客戶，然后對(duì)其他不能使用代理的Winsock應(yīng)用程序進(jìn)行轉(zhuǎn)換，然后轉(zhuǎn)發(fā)到所連接的ISA防火墻。對(duì)于防火墻客戶，你最好先按照SNAT客戶進(jìn)行設(shè)置，然后安裝防火墻客戶端，安裝防火墻客戶端后它會(huì)自動(dòng)配置客戶為Web代理客戶。

　　在安裝ISA Server時(shí)，內(nèi)部網(wǎng)絡(luò)配置為192.168.0.0/24。安裝好后，你可以根據(jù)你的需要，自行配置訪問(wèn)規(guī)則。ISA Server中帶了五個(gè)網(wǎng)絡(luò)模型的模板，可以讓你只是點(diǎn)幾下鼠標(biāo)就可以設(shè)置好訪問(wèn)規(guī)則，但是希望你能手動(dòng)設(shè)置規(guī)則，這樣可以讓你有更深的認(rèn)識(shí)。

　　下圖中是一種特殊的情況，在內(nèi)部網(wǎng)絡(luò)中還有其他子網(wǎng)的內(nèi)部客戶。此時(shí)，你首先得將這些子網(wǎng)的地址包含在ISA Server的內(nèi)部網(wǎng)絡(luò)中，然后在ISA Server上配置到這些子網(wǎng)的路由，其他的就和單內(nèi)部網(wǎng)絡(luò)的配置一致了。

　　2、多網(wǎng)絡(luò)模型中的邊緣防火墻

　　如下圖，我只是簡(jiǎn)單的設(shè)計(jì)了一個(gè)三周長(zhǎng)的多網(wǎng)絡(luò)模型。ISA Server 2004是專為多網(wǎng)絡(luò)而設(shè)計(jì)的，所以，對(duì)于這種環(huán)境，配置起來(lái)非常得心應(yīng)手。

　　在這種環(huán)境中，LAN(192.168.0.0)的客戶和ISA Server上連接LAN的網(wǎng)絡(luò)適配器，按照上面的方法進(jìn)行配置，在此我重點(diǎn)給大家講解一下DMZ網(wǎng)絡(luò)的配置。

　　DMZ中的客戶以及ISA Server上連接DMZ網(wǎng)絡(luò)的網(wǎng)絡(luò)適配器，也按照上面的辦法進(jìn)行配置，但是，對(duì)于DMZ中的服務(wù)器，請(qǐng)配置為SNAT客戶，這樣可以得到最好的性能，配置為Web代理客戶可能會(huì)讓它不能正常工作，配置為防火墻客戶會(huì)導(dǎo)致它性能的降低。

　　在安裝ISA Server時(shí)，內(nèi)部網(wǎng)絡(luò)只是選擇192.168.0.0，安裝好后，在ISA管理控制臺(tái)的配置的網(wǎng)絡(luò)中，新建一個(gè)DMZ網(wǎng)絡(luò)，選擇172.16.0.0網(wǎng)段。另外對(duì)于多網(wǎng)絡(luò)，你還需要設(shè)置網(wǎng)絡(luò)規(guī)則。另外你利用ISA Server自帶的三周長(zhǎng)網(wǎng)絡(luò)模板就可以很方便的實(shí)現(xiàn)DMZ網(wǎng)絡(luò)的配置。其他訪問(wèn)則根據(jù)你的需要來(lái)自行設(shè)置。

　　3、單網(wǎng)絡(luò)適配器的環(huán)境

　　如下圖，ISA Server 2004安裝在一臺(tái)只有一個(gè)網(wǎng)絡(luò)適配器的Internet主機(jī)上，此時(shí)，ISA Server將自動(dòng)配置為Cache only的防火墻，可以用做Web代理、緩存、Web發(fā)布、OWA發(fā)布等等，由于ISA Server 2004強(qiáng)大的IDS系統(tǒng)，它也可以為主機(jī)提供非常強(qiáng)大的保護(hù)。關(guān)于在這種環(huán)境下如何發(fā)布ISA Server上的Web服務(wù)。

　　在單網(wǎng)卡網(wǎng)絡(luò)適配器環(huán)境下安裝ISA Server的時(shí)候，會(huì)自動(dòng)在內(nèi)部網(wǎng)絡(luò)中包含所有的IP地址，所以在你建立訪問(wèn)規(guī)則時(shí)，一定要注意允許內(nèi)部訪問(wèn)本地主機(jī)和允許本地主機(jī)訪問(wèn)內(nèi)部(此時(shí)，外部網(wǎng)絡(luò)已經(jīng)沒(méi)有實(shí)際作用了)。同樣的，通過(guò)ISA Server自帶的單一網(wǎng)絡(luò)適配器模板，你也可以很輕松的完成單網(wǎng)絡(luò)適配器模型的ISA Server 2004的配置。

　　isa防火墻配置二：

　　防火墻策略->右鍵->新建->訪問(wèn)規(guī)則->允許,所選擇協(xié)議,HTTP,源自:內(nèi)部,目標(biāo):新建URL,把網(wǎng)站放在URL中;

　　刪除其他訪問(wèn)規(guī)則,只留最后一打默認(rèn)規(guī)則

　　看了“ isa防火墻如何配置”文章的還看了：

1.h3c路由器防火墻怎么樣設(shè)置

2.部署防火墻策略原則

3.防火墻知識(shí)入門(mén)(2)

4.如何學(xué)習(xí)網(wǎng)絡(luò)安全

5.電腦連不上網(wǎng)該怎么辦