ISA防火牆策略配置/服務器發佈

本文主要講解了，ISA防火牆策略配置，發佈內部Web/mail服務器，發佈Exchange SSL OWA網站。

 

防火牆策略

策略元素

策略元素：每條防火牆策略都是由一些「零件」組成的，這些「零件」稱爲策略元素。每一個策略元素均可以指定防火牆規則的某些參數，多個策略元素便構成整個防火牆策略。

ISA Server中的元素策略包括：協議、用戶、內容類型、計劃、網絡對象。

例如，要在防火牆中拒絕一組用戶在某個時間段訪問某個Web網站，其中的時間段（計劃）、用戶（用戶）、Web網站（網絡對象）等策略元素組成一條防火牆策略。

防火牆策略規則

1. 網絡規則

網絡規則定義了網絡拓撲及網絡間如何鏈接。

ISA2006網絡規則定義的網絡鏈接方式有兩種：路由和NAT。

2. 訪問規則

訪問規則定義了用戶如何訪問網絡。

在安裝ISA 2006後，系統會自動建立許多系統策略，這些策略容許ISA 2006服務器訪問特定的網絡服務。

還須要管理員本身定義訪問規則，來限制用戶對特定網絡和服務的訪問，從而提高網絡安全性。

在安裝ISA Server時系統將建立一條默認規則，用於拒絕全部出入網絡的訪問。不能修改或刪除此默認規則。

當客戶發出請求要求訪問Internet資源時，ISA首先檢查網絡規則。網絡規則能夠是路由或NAT。檢查網絡規則後，ISA Server會檢查訪問規則。若是ISA中設定了多個訪問規則，若前面的規則拒絕了某個協議，則此協議確定被拒絕，不管後面的規則是否容許此協議經過。例如，規則1拒絕HTTP協議的鏈接，而規則2容許HTTP鏈接，則最終規則1生效，拒絕HTTP鏈接。（規則順序很重要，前面容許了後面再多的拒絕設置也無效，反之同樣。通常拒絕放在前面，一些經常使用的規則（DNS等）放在前面。）若是訪問規則中沒有匹配的規則，將會被拒絕。會執行默認規則，拒絕全部。

3. 服務器發佈規則

爲了使外網用戶可以訪問內網的特定服務器，同時又不危及內網的安全，須要在ISA中建立服務器發佈規則。

防火牆訪問規則的配置

建立訪問規則

1. 打開ISA服務器管理

2. 單擊建立訪問規則。輸入訪問規則的名稱，單擊下一步。

3. 選擇容許，單擊下一步。

4. 在協議頁選擇，所選的協議，添加協議DNS。

5. 單擊添加，網絡類型選擇內部。

6. 單擊下一步，添加訪問規則的目標爲外部，單擊下一步。

7. 指定用戶爲全部用戶，單擊下一步。

8. 單擊完成，完成設置過程。

9. 單擊應用按鈕，應用新建的規則。

實例：

配置ISA訪問規則，使內網用戶工做時間能夠跨過防火牆訪問外網，可是不能訪問音頻和視頻文件。

在ISA計算機上新建訪問規則

執行的操做，爲容許。

所選的協議爲，HTTP,HTTPS。

從內部到外部

用戶集爲全部用戶

下一步，完成。應用。

選中新建的規則，單擊右鍵，選擇屬性。

選中計劃頁面，選中工做時間（也能夠本身定義）。

選中內容類型，單擊選擇的內容類型。不勾選視頻和音頻，單擊肯定。

應用便可。

發佈服務器

1、 配置網絡參數

DC/CA/內部DNS/Web/mail服務器：IP：192.168.20.1 DNS:192.168.20.1

ISA Server2006:內網：IP: 192.168.20.2 DNS：192.168.20.1

ISA Server2006:外網：IP:80.80.80.80 DNS：None

客戶端： IP：80.80.80.1 DNS：None

（實驗環境，外部DNS解析用修改客戶端hosts文件來實現。工做環境中，通常是註冊一個域名，創建一條A記錄，指向ISA的外網卡。）

發佈內部Web服務器

發佈原理：經過發佈位於ISA Server以後的Web服務器，ISA Server會表明內部Web服務器接收請求。位於Internet中的客戶機發出請求時，該請求會被傳送到ISA Server計算機的外部地址，此時，ISA Server計算機上的Web發佈規則會將請求轉發到內部的Web服務器。

發佈方法：

一. 將Web服務器配置成SecureNAT客戶端，Web服務器的網關指向ISA的內網網卡。

二. IP地址與網站域名要正確映射。內部DNS新建正向查找區域，添加一條對應的主機記錄，IP地址指向服務器自己。外部DNS通常是註冊一個域名，創建一條A記錄，指向ISA的外網卡。（實驗環境，外部DNS解析用修改客戶端hosts文件來實現。）

三. 準備Web站的，內部用戶能經過域名訪問站點。

四. 發佈內部網站

1. 在ISA Server上打開ISA服務器管理，單擊防火牆策略，再單擊發佈網站。

2. 輸入名稱，下一步。選擇容許，下一步。

3. 選擇發佈單個網關或負載平衡器，單擊下一步。

4. 選擇使用不安全的鏈接鏈接發佈的Web服務器或服務器場，單擊下一步。

5. 輸入站點名稱，如www.lvc.com，單擊下一步。

6. 內部發布詳細信息，直接單擊下一步。

7. 輸入公共名稱，如www.lvc.com，單擊下一步。

8. 單擊新建按鈕，創建Web偵聽器，以便經過此偵聽器來偵聽外部用戶的請求。

9. 輸入Web偵聽器的名稱，單擊下一步。

10. 選擇不須要與客戶端創建SSL鏈接，單擊下一步。

11. 選擇偵遵從外部網絡發來的請求，單擊下一步。

12. 選擇沒有身份驗證，單擊下一步。

13. 在單一登陸設置頁面，直接單擊下一步，完成。

14. 選擇剛剛創建的偵聽器，單擊下一步。

15. 選擇無委派，客戶端沒法直接進行身份驗證，單擊下一步。

16. 選擇所用用戶，單擊下一步。

17. 單擊完成，完成設置過程。單擊應用，應用策略設置。

五. 測試網站發佈是否成功

在外網計算機中使用www.lvc.com來訪問網站，測試發佈是否成功。

發佈內部郵件服務器

 

一. 創建Exchange2007郵件服務器

內網用戶可使用Outlook訪問郵件服務器，收發郵件。

二. 發佈郵件服務器

1. 在ISA Server上打開ISA服務器管理，單擊防火牆策略，再單擊發布郵件服務器。

2. 輸入規則名稱，單擊下一步。

3. 選擇客戶端訪問（C）：RPC、IMAP、POP三、SMTP，單擊下一步。

4. 選擇相應的服務，單擊下一步。若是但願客戶端以Outlook方式收發郵件，則選擇Outlook和SMTP兩個選項。若是但願客服端以Outlook Express方式收發郵件，則選擇POP3和SMTP(也能夠都支持)。

我如今是但願客戶端經過Outlook Express方式收發郵件。下一步。

5. 輸入內網郵件服務器的IP地址，單擊下一步。

6. 在網絡偵聽IP地址頁選擇外部，單擊下一步。

7. 完成，應用。

三. 驗證郵件服務器發佈

1. 在外網計算機上，設置Outlook Express電子郵件帳戶。

注意在設置Outlook Express電子郵件帳戶時，郵件接收服務器的IP地址應該填ISA的外網卡IP地址。

2. 你用Outlook Express收發電子郵件。

發佈Exchange SSL OWA網站

 

一. 創建Exchange 2007郵件服務器

在郵件服務器上的計算機安裝Exchange2007，確保用戶能夠經過OWA方式訪問郵件服務器。

二. 配置DNS服務器

在內部DNS服務器上創建一條Mail.benet.com主機記錄和MX記錄，指向Exchange Server的IP地址。

外部DNS通常是註冊一個域名，創建一條A記錄，指向ISA的外網卡。（實驗環境，外部DNS解析用修改客戶端hosts文件來實現。）

三. 創建證書服務器

在郵件服務器上，安裝CA。

四. 配置Web服務器證書並導出證書

1. 在郵件服務器上，打開IIS管理器，右擊默認網站，選擇屬性，單擊目錄安全性選項卡。單擊服務器證書。

2. 選擇新建證書，下一步。（安裝Exchange後系統會自帶一個證書，須要先刪除。）

3. 選擇當即將證書請求發送到聯機證書頒發機構，下一步。

4. 指定網站名稱和證書長度，下一步。

5. 指定單位信息，下一步。

6. 輸入證書公用名稱（這次的證書公用名稱相當重要，它必定要和外網用戶訪問此網站時使用的鬱悶徹底匹配），下一步。

7. 輸入地理信息，下一步。

8. 指定SSL端口（默認爲443），下一步。

9. 接受默認的證書頒發機構，下一步。

10. 單擊下一步，完成。完成證書的申請。

11. 單擊查看證書，單擊詳細信息選項中。單擊「複製到文件」，將證書導出。

12. 單擊下一步，選擇「是，導出私鑰」，下一步。

13. 在導出文件格式頁面，勾選「若是可能，包括證書路徑中的全部證書」和「啓用增強保護」，下一步。

14. 設置密鑰保存密碼，下一步。該密鑰能夠防止未受權的人導入私鑰。

15. 指定密鑰導出後保存的路徑和文件名，下一步。

16. 單擊完成，完成導出證書的過程。

五. 將證書導入ISA服務器

1. 將前面導出的證書複製到ISA計算機。

2. 在ISA計算機上運行MMC，單擊添加證書管理單元。選擇計算機帳戶，本地計算機。

3. 右擊我的，選擇全部任務，導入。

4. 單擊下一步，指定要導入證書的路徑和文件名，單擊下一步。

5. 單擊下一步，輸入要導入密鑰的密碼，下一步。

6. 指定證書的存儲位置，下一步。

7. 單擊完成，將證書導入。

8. 選擇剛剛導入的證書文件右擊，選擇複製。

9. 展開受信任的根證書頒發機構，右擊證書，選擇粘貼，將證書複製到此處。至此，證書導入的設置完成。

六. 配置ISA訪問規則

1. 在ISA計算機上，打開ISA服務管理器，右擊防火牆策略，選擇新建訪問規則。

2. 輸入規則名稱，下一步。

3. 選擇容許，下一步。

4. 在協議頁面添加HTTP和HTTPS協議，下一步。

5. 在訪問規則源頁面選擇本地主機，下一步。

6. 在訪問規則目標頁選擇內部，下一步。

7. 下一步，完成。應用規則。

七. 創建證書信任

1. 在ISA計算機上，打開IE瀏覽器輸入https://mail.benet.com/certsrv訪問CA的Web站點。

2. 單擊下載一個CA證書，證書鏈或CRL。

3. 單擊安裝此CA證書鏈，在彈出的對話框中單擊是。

4. 完成證書鏈的安裝。

八. 發佈郵件服務器

1. 在ISA計算機上，打開ISA服務管理器，右擊防火牆策略，選擇新建，Exchange Web客戶端訪問發佈規則。

2. 輸入規則名，下一步。

3. 指定Exchange的版本和郵件客戶端，下一步。

4. 選擇發佈單個網站或負責均衡器，下一步。

5. 單擊使用SSL鏈接到發佈的Web服務器或服務器場，下一步。

6. 指定內部站點的名稱，下一步。

7. 指定公共名稱，下一步。

8. 在Web偵聽器頁，單擊新建，輸入Web偵聽器的名稱，下一步。

9. 選擇須要與客戶創建SSL安全鏈接，下一步。

10. 設置Web偵聽器的IP爲外部，下一步。

11. 指定Web偵聽器所使用的證書，該證書就是從郵件服務器複製過來的證書，下一步。

12. 身份驗證方式選擇HTML窗體身份驗證，下一步。

13. 清除「對使用此Web偵聽器發佈的網站啓用SSL」，下一步，完成。

14. 選擇剛剛創建的Web偵聽器，下一步。

15. 在身份驗證委派頁選擇「基自己份驗證」，下一步。

16. 全部經過身份驗證的用戶，下一步，完成。應用，完成郵件服務的發佈過程。

九. 驗證郵件服務器的發佈

1. 在外網計算機上，打開IE瀏覽器，輸入https://mail.benet.com/owa，輸入域用戶名和密碼，單擊登陸。

2. 登陸後，能夠以OWA方式訪問郵件服務器，收發郵件。