ISA 防火牆策略部署深度分析（三）

 經過前面兩次課咱們學習瞭如何在企業裏統一部署ISA的三種客戶端，今天咱們就來學習一下如何經過防火牆策略來對咱們企業網絡進行統一部署。

    ISA Server能對企業進行安全的防禦， 依靠的是它的防火牆策略規則，其實基本上分三類規則：

1. 網絡規則：主要是指網絡與網絡之間的關係，分爲路由和NAT兩種。
2. 訪問規則：源網絡上的客戶端如何訪問目標網絡上的資源。通常好比企業內部用戶經過ISA訪問互聯網。
3. 發佈規則：讓外部用戶訪問企業的Web或郵件等服務器。同時又不危及內部網絡的安全性。

 

    那麼到底何時使用訪問規則，何時使用發佈規則呢？這個要 取決於你的網絡規則！

 

    各位是否記得咱們在安裝ISA的時候就選擇了內部網絡，因此在默認狀況下，你安裝完ISA後就已經有了幾個網絡：內部網絡、外部網絡、本地主機、×××客戶端網絡、隔離的×××客戶端網絡這樣五個網絡，以下圖所示：

 

 

    下面解釋一下這幾個網絡：
內部網絡：通常是指你的Intranet，即企業內網，每每都是私有IP。如10.0.0.0/八、172.16.0.0/十二、192.168.0.0/16等。
外部網絡：即Internet。通常不包含其它四個網絡的地址的網絡。
本地主機：ISA自己的幾個網卡所使用的IP以及127.0.0.1統一爲一個網絡，就是本地主機。
×××客戶端網絡：當ISA上跑×××後，用戶經過×××拔上來就屬於×××客戶端網絡。
隔離的×××客戶端網絡：相似於×××客戶端網絡，若是用戶經過×××拔上來以後，經過檢查某些安全配置不符要求，能夠把這些客戶端放在一個特殊的網絡裏，就是隔離的×××客戶端網絡。

 

    固然若是咱們但願還要有一些其它網絡，如DMZ網絡，那咱們就得手動建立這些網絡。稍後咱們會講到。

 

    有了網絡，ISA也會默認建立不一樣網絡之間的某些網絡關係（即網絡規則），以下圖所示：

    所以，若是各位想本身建立本身的網絡，就得建立本身的這些網絡與其它網絡之間的網絡關係。

 

    因此咱們能夠這樣認爲： ISA控制的就是網絡與網絡之間的安全通訊！！這個通訊的前提就是要有相應的網絡，繼而ISA會根據這些網絡之間的網絡規則（路由或NAT）來告訴用戶，你能夠建立訪問規則或發佈規則來實現網絡之間的安全通訊。

 

     總之，在企業準備部署防火牆時，必需要先肯定你的企業拓樸是一個什麼樣子，好比有幾個網絡，你但願這些網絡之間存在一個什麼樣關係，這些定了，其實ISA上再跑什麼規則（訪問或發佈）也就定了。

 

注意： 若是兩個網絡之間不存在任何關係如路由或NAT，那麼這兩個網絡不管如何是不能通訊的！！

 

舉個例子：
咱們新建了兩個城市（相似於新建網絡），接下來，咱們就要在這兩個城市之間鋪路，是鋪雙向路（路由關係）仍是單向路（NAT），若是鋪好了路，好比雙向路，再接下來咱們就要劃路標並規定什麼樣車型能夠在這條路上跑，如大貨車只能晚上跑（訪問規則等）。總結一下：

城市----網絡
鋪路---網絡規則
道路限制規則---訪問規則或發佈規則

 

注意：NAT是有方向的！！

 

**** 何時在ISA上建立訪問規則或發佈規則呢？

當網絡之間的關係是路由或從A網絡----》B網絡（有路即NAT）：訪問規則。
解釋一下，若是A網絡到B網絡方向的NAT（注意NAT是有方向的，單向路不也有方向嗎），而你要控制A網絡對B網絡的訪問，咱們就建訪問規則，但反之，若是B網絡要訪問A網絡資源就得作發佈規則。也就是經過ISA達到B網絡訪問A網絡的目的。

注意：若是存在路由關係也能夠作發佈。

 

補充一下：在裝完ISA後，默認的配置須要各位要知道：
a. 默認阻塞鏈接到ISA SRV的網絡間的全部網絡通訊，即ISA所連的任意網絡間都是沒法通訊的。
b. 只有本地管理員組的成員具備管理權限 
c. 建立默認網絡：即5個網絡
d. 訪問規則包括系統策略規則和默認訪問規則。在這裏標準版ISA會有30條系統策略規則，主要定義是的ISA到內到外的訪問動做，而默認的訪問規則就是上面的第一條即默認阻塞鏈接到ISA SRV的網絡間的全部網絡通訊。以下圖所示：

e. 不發佈任何服務器：沒有建立發佈規則。 
f. 禁用緩存 
g. 可訪問Firewall Client Installation Share （若是已安裝）

下面演示一下如何建立網絡及網絡規則：

假設企業內部網絡的拓樸以下所示：注意默認狀況下，已經建立內部網絡，並制定了內部網絡到外部網絡的NAT的網絡關係，接下來咱們須要建立DMZ網絡以及制定DMZ網絡和內部網絡、外部網絡之間的網絡關係（NAT或Route），具體以下圖所示：

 

 

1、新建網絡：

 

打開ISA控制檯，右擊網絡---選新建--網絡，以下圖：

在嚮導界面，輸入網絡名稱，如DMZ，單擊下一步：

 

選擇網絡類型（注，凡是本身後來建立的網絡均選「外圍網絡」），以下圖：

選擇「網絡地址」，以下圖：

 

單擊下一步，以下圖完成DMZ網絡的建立。

 

最後以下圖所示：

 

2、制定網絡規則：

 

右擊網絡--新建--網絡規則，以下圖所示：

 

取一個名字以下圖：

 

選擇源網絡，在這裏選擇DMZ，如圖：

 

以下圖所示：

 

單擊下一步後，選擇目的網絡，在這裏選擇「外部」，以下圖：

 

網絡關係，咱們依據企業拓樸選擇「NAT 」以下圖：

 

最後以下所示：

 

用相似的方法，建立內部網絡到DMZ的路由關係的網絡規則，以下所示，就再也不一一演示了。

 

兩個網絡規則建立完後，以下圖所示：

 

最後單擊應用，保存配置，至此咱們的新建的網絡及網絡規則就所有建立完了，接下來就能夠制定相應的訪問規則和發佈規則了。

 

關於DMZ：

DMZ是Demilitarized Zone的縮寫，俗稱非軍事化隔離區。通常這個區域專門放一些重要的服務器，如WEB、MAIL、FTP等，這些服務器未來要經過ISA發佈到互聯網上。增長一個DMZ網絡來專門放要發佈的服務器，有不少優勢，好比安全就是最重要的一點。

 

好了，關於防火牆策略的部署就結束了，其實之因此寫這篇，也是由於在平時的教學中，不少學員對防火牆的策略理解不清，總之但願能對各位有幫助！在企業實施過程當中思路清晰！

本文出自 「千山島主之微軟技術空間站」 博客，轉載請與做者聯繫！