Windows域環境下部署ISA Server 2006防火牆（三）

利用ISA Server2006發佈DMZ區服務器

上次我們經過設置防火牆策略使內網用戶能夠上網了，而且經過配置緩存加快了訪問Internet的速度。今天咱們的任務就是把外圍區域（DMZ）的服務器發佈出去。我重點會去說web服務器的發佈。其它的服務好比：mail、FTP、DNS都是同樣的，你們掌握一種方法其它的就都學會了啊。

拓撲圖在下面，前面兩次雖然也是這幅圖，但咱們一直沒有說到的一個地方，就是DMZ區域，在ISA Server中它又叫外圍區域。接下來咱們就要把這個區域中的服務器發佈到外部供Internet上的朋友們訪問。爲何不讓他們直接訪問而要經過發佈的方式呢？由於若是沒有防火牆的保護，直接暴露在外網的話，估計不到兩分種就歇菜了。什麼病毒啊，***啊全來了。因此咱們要把它們發佈出去，這樣Internet上的用戶訪問外網接口，就等於訪問了DMZ區域中的服務器。我想你們在路由器上都應該作過NAT，NAT有個技術叫PAT，它也能夠用來發布服務器，經過端口來定位服務。咱這和那個道理是同樣的。咱們還要把這些服務器發佈到內網——而不是讓他們直接訪問，爲何呢？「家賊難防」！，就不用解釋了。來看看具體的步驟吧！

 

首先仍是分析一下拓撲。爲了你們看起來方便我把大概的的信息羅列到下面：

1.      DMZ區域中有兩臺服務器，分別是：

1>.web服務器 主機名：www.zpp.com  IP:172.16.1.20/16  GW:172.16.1.1

2>.mail服務器 主機名：mail.zpp.com  IP:172.16.1.10/16  GW:172.16.1.1

2.      ISA Server的三塊網卡IP分別爲：

1>.內網卡LAN  IP：192.168.1.1/24

2>外圍網卡DMZ  IP：172.16.1.1/16

3>外網卡 WAN  IP:61.134.1.4/8

主要的TCP/IP參數就是上面羅列的那些，其餘沒說到的我們邊作邊說吧。

第一部分：建立並配置DMZ區域

前面一直是這個圖，但其實DMZ區咱們並無去用到它，因此這以前咱們一直是一種邊緣防火牆的部署方式。此次們就來開闢這塊非軍事化區（DMZ）。使之成爲三向外圍部署方式。

1． 打開「ISA服務管理器」，展開「配置」，選擇「網絡」，在右邊的模板欄裏選擇3向外圍網絡，就會出現下圖的界面。如圖：

 

2.連續單擊兩個下一步，就到了指定內網卡的地方，點擊添加適配器，加入內網卡（LAN）肯定就是以下的界面。（注意可別添錯了啊）

 

3.仍是同樣，這裏就是添加外圍網卡（DMZ），單擊添加適配器，把DMZ網卡添進來就能夠了。

 

4.這裏是選擇防火牆策略，有一大堆，我們就選第一個「阻止全部訪問」，爲何呢？等一下要用什麼就開什麼。要知道這裏只是一個嚮導界面，真正的策略是咱們一條一條添加進去的。

 

5.好了，確認一下設置的內部和外圍等信息，看看有沒有什麼問題，沒有的話就能夠單擊完成了。也許您會問，爲何沒有讓選擇外部網卡？您想啊，總共三塊網卡。定義了內部和外圍以後剩下的固然是外部嘍！

 

6.到這個界面時，咱們點擊應用以後肯定便可。

 

至此，我們的網絡環境就從原來的邊緣網絡，變成了三向外圍的網絡。

第二部分：發佈web服務器

在各種服務器的發佈中，web服務器的發佈是最多的。其步驟也相對較多一些，掌握了web服務的發佈，其它的就簡單的多了。此次重點以發佈web服務器爲主。下面是步驟：

1.在ISA管理控制檯裏，點擊一下防火牆策略，再點擊任務欄中的發佈網站，如圖，我們將會在這個界面下作設置。

 

2.在彈出的web發佈規則嚮導界面中，咱們給它取個名子叫「web服務發佈規則」，這樣作個標識，別人一看就知道是幹什麼用的。如圖：

 

3.在「請選擇規則條件」選項卡中選擇「容許」。記住，ISA裏面的規則操做除了容許就是拒絕。

 

4.這裏選擇第一項「發佈單個網站或負載平衡器」，由於我們只有一個web站點要發佈嘛。若是作了主機頭，要發佈多個網站可發選擇第三項「發佈多個網站」。單擊下一步，如圖：

 

5.在服務器鏈接安全這裏咱們選擇第二項，第一項是要求使用SSL的，一些要求安全性較高的網站好比：淘寶啊、銀行啊等網站，要用https訪問的就能夠選擇此項，固然得有PKI支持才行，有時間的話我會寫一篇帶SSL的網站發佈。我們不用選擇第一項，第二項就能夠了。大多數網站都沒有使用SSL。由於訪問起來會變得麻煩，並且很慢，更重要的是得有一套PKI支持才行。

 

6.如今到了配置內部發布詳細信息這裏，把站點名www.zpp.com寫到內部站點名稱這裏，而後勾選「使用計算機名稱或IP地址鏈接到發佈的服務器」，而且別忘了把IP寫上去，如圖：

 

7.上面步驟完了以後下一步就到這裏了，這是在問咱們要發佈哪些內容，我們所有都發布因此用個「/*」代替就能夠了。

 

8.此處設置的是公共名稱細節，在接收請求這裏選擇「任何域名」。下面的路徑保持默認便可。若是有其它的能夠單獨指定。

 

9.如今選擇Web偵聽器，由於沒有因此就選擇新建，來建立一個。（偵聽器用來指定ISA服務器偵聽傳入Web請求的IP和端口）

 

10.下面是新建web偵聽器的嚮導界面，仍是同樣先取個名子，作個標識。

 

11.這裏和剛纔上面設置的時候意思是同樣的，仍是選擇第二項「不須要與客戶端創建SSL安全鏈接」，如圖：

 

12.這一步就比較關鍵了，它讓咱們選擇web偵聽器的IP地址。若是隻選擇外部，就只能把服務器發佈到外部，咱這兒是要把服務器從DMZ發到內網和Internet因此就勾兩項。如圖：

 

13.身份驗證這裏選擇「沒有身份驗證」便可。這個通常用的很少。固然爲了安全性更高也能夠設置帶身份驗證的。

 

14.好了，如今把web偵聽器的配置在檢查一下，就能夠點擊完成了。

 

15.有了web偵聽器，咱們繼續發佈服務器，注意應在次確認一下偵聽器的屬性。看看有無錯誤，沒有就能夠單擊下一步了，如圖：

 

16.在身份驗證委派這裏選擇「無委派，客戶端沒法直接進行身份驗證」。

 

17.用戶集這裏選擇全部用戶便可，由於我們是讓全部人訪問，若是有特殊要求，可根據實際狀況去設置。

 

18.OK，如今策略設置好了，點擊應用以後肯定，就能夠測試結果了。

 

第三部分：測試內網用戶和外網用戶訪問DMZ區域的web服務器

在測試以前先確保緩存開着沒有，雖然並非必要的，但這樣會提升訪問速度。何樂而不爲呢！下圖顯示緩存是開着的。

 

如今內網的員工只能經過內網接口（LAN）來訪問Web站點。而後再經過ISA Server轉到真正的web服務器172.16.1.20上。因此咱們要在內網中添加一個DNS主機記錄，FQDN爲www.zpp.com IP爲192.168.1.1。如圖：

 

在IE中輸入主機名www.zpp.com.能夠看到咱們可以正常的訪問web站點。（注意我這裏開了一臺Linux並啓動了httpd來模擬DMZ區域中的web服務器）如圖：  

Ping一下域名www.zpp.com能夠看到ping的實際上是IP爲192.168.1.1的內網卡（LAN）。以此說明，DMZ區中的web服務器發佈到內部網絡中成功

 

如今到外網客戶機上來測試一下，（注意：外網客戶機的DNS我用的是hosts文件的方式，固然真實環境下，確定是要在公網DNS服務器上註冊的）。下圖是用外網客戶機ping出的結果，如圖，能夠看到ping www.zppp.com其實實在ping外網口的地址。

 

如今經過這個域名訪問，能夠看到能夠成功訪問。說明DMZ區域中的web發佈到外網成功。

 

如今你們看到了web服務器的發佈，相信發佈其它服務器也不成問題了，其實都很簡單。下面我再介紹一下郵件服務器的發佈。

第四部分：發佈郵件服務器

1.如圖，此次就選擇防火牆策略中的「發佈郵件服務器」。

 

2.訪問類型這裏選擇第一項」客戶端訪問：RPC、IMAP、POP3、SMTP」，而後單擊下下步。

 

3.選擇服務這裏咱們能夠根據需求選擇相應的服務。如圖：

 

4.服務器地址這裏設置的就是DMZ區域中的郵件服務器真實的IP地址。此處是：172.16.1.10

 

5.和發佈web服務器同樣，此處也是指定發佈到哪些地方去。

 

6.如今郵件服務器就算髮布好了。

 

發佈郵件服務器夠簡單的吧！感受還沒作就完了。測試我這就不作了啊，方法就是這樣。測試前仍是同樣。確保內網DNS服務器上有A記錄。FQDN：mail.zpp.com IP:192.168.1.1;外網除了要去註冊A記錄，還要有MX記錄用PTR記錄（前面說Sendmail、Postfix都有說過）。

其餘服務器的發佈都和這是同樣的，只是選的服務不同而已。OK！本次就說到這裏吧！ISA有個說法，就是今天作的是明天的策略。意思就是說在ISA Server上作的規則有時候並不會即便生效。只要耐心等待就能夠了。不過今天我作的還挺順的，祝你們好運！