ISA2004是企業中常用的防火牆軟件,功能非常豐富,下面我們通過一個簡單的實例來介紹一下ISA防火牆的一個最常用的功能。
下圖是常見的一種網絡結構,一個公司的服務器位於內部網絡,ISA防火牆用於保護這些服務器免受攻擊,並且將服務器發布到外網,使外網客戶端能夠訪問服務器的資源。
要實現這個功能,安裝有 ISA Server 的主機需要安裝有兩塊網卡,如下圖所示,並且需要分別為兩塊網卡分配外部公網地址和內部網絡的私有地址,在這個實驗中,我們擁有兩個外網IP地址,分別是202.0.0.10和202.0.0.20,內網地址我們選用的是10.1.1.0網段。
首先我們需要安裝ISA,ISA防火牆需要Windows 2000 Server SP3 ,Windows Server 2003,或者 Windows Server 2008.安裝前首先要確認自己的系統支持ISA2004.
安裝時按照以下步驟即可。安裝歡迎界面如下圖。
在安裝過程中,需要指定內部網絡的地址范圍。如下圖所示,單擊“添加”
輸入內網地址范圍後單擊“添加”,可以同時添加多個內網范圍的IP.也可以在右側選中已存在的內網IP將其刪除。
輸入以上信息以後,即可完成安裝,安裝完成之後,安裝程序會自動建立ISA的程序組,在其中選擇ISA管理器即可進入ISA的管理界面。管理界面如下圖所示:
在界面右側單擊“連接到本地和遠程ISA服務”,默認會連接到本地的ISA服務。
接下來我們要將內網的一台web服務器發布到外網,在本實驗中,我們設定的內網web服務器的地址是10.1.1.100,發布到外網的服務器地址是202.0.0.10.
在左側本地ISA服務的窗口中,點擊“防火牆策略”,並且在右側常用的策略任務中選擇“發布一個web服務器”,如下圖所示,請注意紅色區域:
接下來系統會彈出“新建 web 發布規律向導”,如下圖,在這裡,我們可以給這個發布規則命名。合理的命名可以讓我們在同時存在多個規則的時候很容易將它們區分開來。
接下來按下圖所示為新的規則選擇條件滿足的時候的響應方式,發布任何一種服務器時,我們都要選擇“允許”
在點擊“下一步”以後,我們會看到“定義要發布的網站”的窗口,如下圖,在這裡,我們要設定要發布的服務器的內部IP地址,填入我們要發布的內網web服務器地址10.1.1.100,然後點擊“下一步”。
為發布的服務器設定偵聽器,在接下來的窗口中,點擊“新建”:
該服務器針對外網發布,所以偵聽范圍要選擇外網,在擁有多個外網IP時候,可以指定具體的某個IP地址給我們要發布的服務器,點擊“地址”按鈕來設定具體的外網IP.如下圖:
在可用的外網地址列表中選擇一個外網IP,這個地址就是我們從外網訪問該服務器所用的地址。
給這個web偵聽器指定端口,默認為80,同時可選擇https的端口443
點擊“完成”,完成web偵聽器的配置。
在接下來的設置中,選擇我們剛剛設定的web偵聽器名稱,點擊下一步:
接下來我們可以選擇允許使用該服務器的用戶,可以選擇“所有用戶”,也可以指定僅僅“外網用戶”可以訪問該服務器。
然後我們就完成了這個web服務器的發布。