ISA防火墙策略配置/服务器发布

本文主要讲解了，ISA防火墙策略配置，发布内部Web/mail服务器，发布Exchange SSL OWA网站。

 

防火墙策略

策略元素

策略元素：每条防火墙策略都是由一些“零件”组成的，这些“零件”称为策略元素。每一个策略元素均可以指定防火墙规则的某些参数，多个策略元素便构成整个防火墙策略。

ISA Server中的元素策略包括：协议、用户、内容类型、计划、网络对象。

例如，要在防火墙中拒绝一组用户在某个时间段访问某个Web网站，其中的时间段（计划）、用户（用户）、Web网站（网络对象）等策略元素组成一条防火墙策略。

防火墙策略规则

1. 网络规则

网络规则定义了网络拓扑及网络间如何链接。

ISA2006网络规则定义的网络链接方式有两种：路由和NAT。

2. 访问规则

访问规则定义了用户如何访问网络。

在安装ISA 2006后，系统会自动建立许多系统策略，这些策略容许ISA 2006服务器访问特定的网络服务。

还须要管理员本身定义访问规则，来限制用户对特定网络和服务的访问，从而提高网络安全性。

在安装ISA Server时系统将建立一条默认规则，用于拒绝全部出入网络的访问。不能修改或删除此默认规则。

当客户发出请求要求访问Internet资源时，ISA首先检查网络规则。网络规则能够是路由或NAT。检查网络规则后，ISA Server会检查访问规则。若是ISA中设定了多个访问规则，若前面的规则拒绝了某个协议，则此协议确定被拒绝，不管后面的规则是否容许此协议经过。例如，规则1拒绝HTTP协议的链接，而规则2容许HTTP链接，则最终规则1生效，拒绝HTTP链接。（规则顺序很重要，前面容许了后面再多的拒绝设置也无效，反之同样。通常拒绝放在前面，一些经常使用的规则（DNS等）放在前面。）若是访问规则中没有匹配的规则，将会被拒绝。会执行默认规则，拒绝全部。

3. 服务器发布规则

为了使外网用户可以访问内网的特定服务器，同时又不危及内网的安全，须要在ISA中建立服务器发布规则。

防火墙访问规则的配置

建立访问规则

1. 打开ISA服务器管理

2. 单击建立访问规则。输入访问规则的名称，单击下一步。

3. 选择容许，单击下一步。

4. 在协议页选择，所选的协议，添加协议DNS。

5. 单击添加，网络类型选择内部。

6. 单击下一步，添加访问规则的目标为外部，单击下一步。

7. 指定用户为全部用户，单击下一步。

8. 单击完成，完成设置过程。

9. 单击应用按钮，应用新建的规则。

实例：

配置ISA访问规则，使内网用户工做时间能够跨过防火墙访问外网，可是不能访问音频和视频文件。

在ISA计算机上新建访问规则

执行的操做，为容许。

所选的协议为，HTTP,HTTPS。

从内部到外部

用户集为全部用户

下一步，完成。应用。

选中新建的规则，单击右键，选择属性。

选中计划页面，选中工做时间（也能够本身定义）。

选中内容类型，单击选择的内容类型。不勾选视频和音频，单击肯定。

应用便可。

发布服务器

1、 配置网络参数

DC/CA/内部DNS/Web/mail服务器：IP：192.168.20.1 DNS:192.168.20.1

ISA Server2006:内网：IP: 192.168.20.2 DNS：192.168.20.1

ISA Server2006:外网：IP:80.80.80.80 DNS：None

客户端： IP：80.80.80.1 DNS：None

（实验环境，外部DNS解析用修改客户端hosts文件来实现。工做环境中，通常是注册一个域名，创建一条A记录，指向ISA的外网卡。）

发布内部Web服务器

发布原理：经过发布位于ISA Server以后的Web服务器，ISA Server会表明内部Web服务器接收请求。位于Internet中的客户机发出请求时，该请求会被传送到ISA Server计算机的外部地址，此时，ISA Server计算机上的Web发布规则会将请求转发到内部的Web服务器。

发布方法：

一. 将Web服务器配置成SecureNAT客户端，Web服务器的网关指向ISA的内网网卡。

二. IP地址与网站域名要正确映射。内部DNS新建正向查找区域，添加一条对应的主机记录，IP地址指向服务器自己。外部DNS通常是注册一个域名，创建一条A记录，指向ISA的外网卡。（实验环境，外部DNS解析用修改客户端hosts文件来实现。）

三. 准备Web站的，内部用户能经过域名访问站点。

四. 发布内部网站

1. 在ISA Server上打开ISA服务器管理，单击防火墙策略，再单击发布网站。

2. 输入名称，下一步。选择容许，下一步。

3. 选择发布单个网关或负载平衡器，单击下一步。

4. 选择使用不安全的链接链接发布的Web服务器或服务器场，单击下一步。

5. 输入站点名称，如www.lvc.com，单击下一步。

6. 内部发布详细信息，直接单击下一步。

7. 输入公共名称，如www.lvc.com，单击下一步。

8. 单击新建按钮，创建Web侦听器，以便经过此侦听器来侦听外部用户的请求。

9. 输入Web侦听器的名称，单击下一步。

10. 选择不须要与客户端创建SSL链接，单击下一步。

11. 选择侦遵从外部网络发来的请求，单击下一步。

12. 选择没有身份验证，单击下一步。

13. 在单一登陆设置页面，直接单击下一步，完成。

14. 选择刚刚创建的侦听器，单击下一步。

15. 选择无委派，客户端没法直接进行身份验证，单击下一步。

16. 选择所用用户，单击下一步。

17. 单击完成，完成设置过程。单击应用，应用策略设置。

五. 测试网站发布是否成功

在外网计算机中使用www.lvc.com来访问网站，测试发布是否成功。

发布内部邮件服务器

 

一. 创建Exchange2007邮件服务器

内网用户可使用Outlook访问邮件服务器，收发邮件。

二. 发布邮件服务器

1. 在ISA Server上打开ISA服务器管理，单击防火墙策略，再单击发布邮件服务器。

2. 输入规则名称，单击下一步。

3. 选择客户端访问（C）：RPC、IMAP、POP三、SMTP，单击下一步。

4. 选择相应的服务，单击下一步。若是但愿客户端以Outlook方式收发邮件，则选择Outlook和SMTP两个选项。若是但愿客服端以Outlook Express方式收发邮件，则选择POP3和SMTP(也能够都支持)。

我如今是但愿客户端经过Outlook Express方式收发邮件。下一步。

5. 输入内网邮件服务器的IP地址，单击下一步。

6. 在网络侦听IP地址页选择外部，单击下一步。

7. 完成，应用。

三. 验证邮件服务器发布

1. 在外网计算机上，设置Outlook Express电子邮件帐户。

注意在设置Outlook Express电子邮件帐户时，邮件接收服务器的IP地址应该填ISA的外网卡IP地址。

2. 你用Outlook Express收发电子邮件。

发布Exchange SSL OWA网站

 

一. 创建Exchange 2007邮件服务器

在邮件服务器上的计算机安装Exchange2007，确保用户能够经过OWA方式访问邮件服务器。

二. 配置DNS服务器

在内部DNS服务器上创建一条Mail.benet.com主机记录和MX记录，指向Exchange Server的IP地址。

外部DNS通常是注册一个域名，创建一条A记录，指向ISA的外网卡。（实验环境，外部DNS解析用修改客户端hosts文件来实现。）

三. 创建证书服务器

在邮件服务器上，安装CA。

四. 配置Web服务器证书并导出证书

1. 在邮件服务器上，打开IIS管理器，右击默认网站，选择属性，单击目录安全性选项卡。单击服务器证书。

2. 选择新建证书，下一步。（安装Exchange后系统会自带一个证书，须要先删除。）

3. 选择当即将证书请求发送到联机证书颁发机构，下一步。

4. 指定网站名称和证书长度，下一步。

5. 指定单位信息，下一步。

6. 输入证书公用名称（这次的证书公用名称相当重要，它必定要和外网用户访问此网站时使用的郁闷彻底匹配），下一步。

7. 输入地理信息，下一步。

8. 指定SSL端口（默认为443），下一步。

9. 接受默认的证书颁发机构，下一步。

10. 单击下一步，完成。完成证书的申请。

11. 单击查看证书，单击详细信息选项中。单击“复制到文件”，将证书导出。

12. 单击下一步，选择“是，导出私钥”，下一步。

13. 在导出文件格式页面，勾选“若是可能，包括证书路径中的全部证书”和“启用增强保护”，下一步。

14. 设置密钥保存密码，下一步。该密钥能够防止未受权的人导入私钥。

15. 指定密钥导出后保存的路径和文件名，下一步。

16. 单击完成，完成导出证书的过程。

五. 将证书导入ISA服务器

1. 将前面导出的证书复制到ISA计算机。

2. 在ISA计算机上运行MMC，单击添加证书管理单元。选择计算机帐户，本地计算机。

3. 右击我的，选择全部任务，导入。

4. 单击下一步，指定要导入证书的路径和文件名，单击下一步。

5. 单击下一步，输入要导入密钥的密码，下一步。

6. 指定证书的存储位置，下一步。

7. 单击完成，将证书导入。

8. 选择刚刚导入的证书文件右击，选择复制。

9. 展开受信任的根证书颁发机构，右击证书，选择粘贴，将证书复制到此处。至此，证书导入的设置完成。

六. 配置ISA访问规则

1. 在ISA计算机上，打开ISA服务管理器，右击防火墙策略，选择新建访问规则。

2. 输入规则名称，下一步。

3. 选择容许，下一步。

4. 在协议页面添加HTTP和HTTPS协议，下一步。

5. 在访问规则源页面选择本地主机，下一步。

6. 在访问规则目标页选择内部，下一步。

7. 下一步，完成。应用规则。

七. 创建证书信任

1. 在ISA计算机上，打开IE浏览器输入https://mail.benet.com/certsrv访问CA的Web站点。

2. 单击下载一个CA证书，证书链或CRL。

3. 单击安装此CA证书链，在弹出的对话框中单击是。

4. 完成证书链的安装。

八. 发布邮件服务器

1. 在ISA计算机上，打开ISA服务管理器，右击防火墙策略，选择新建，Exchange Web客户端访问发布规则。

2. 输入规则名，下一步。

3. 指定Exchange的版本和邮件客户端，下一步。

4. 选择发布单个网站或负责均衡器，下一步。

5. 单击使用SSL链接到发布的Web服务器或服务器场，下一步。

6. 指定内部站点的名称，下一步。

7. 指定公共名称，下一步。

8. 在Web侦听器页，单击新建，输入Web侦听器的名称，下一步。

9. 选择须要与客户创建SSL安全链接，下一步。

10. 设置Web侦听器的IP为外部，下一步。

11. 指定Web侦听器所使用的证书，该证书就是从邮件服务器复制过来的证书，下一步。

12. 身份验证方式选择HTML窗体身份验证，下一步。

13. 清除“对使用此Web侦听器发布的网站启用SSL”，下一步，完成。

14. 选择刚刚创建的Web侦听器，下一步。

15. 在身份验证委派页选择“基自己份验证”，下一步。

16. 全部经过身份验证的用户，下一步，完成。应用，完成邮件服务的发布过程。

九. 验证邮件服务器的发布

1. 在外网计算机上，打开IE浏览器，输入https://mail.benet.com/owa，输入域用户名和密码，单击登陆。

2. 登陆后，能够以OWA方式访问邮件服务器，收发邮件。