Windows域环境下部署ISA Server 2006防火墙（三）

利用ISA Server2006发布DMZ区服务器

上次我们经过设置防火墙策略使内网用户能够上网了，而且经过配置缓存加快了访问Internet的速度。今天咱们的任务就是把外围区域（DMZ）的服务器发布出去。我重点会去说web服务器的发布。其它的服务好比：mail、FTP、DNS都是同样的，你们掌握一种方法其它的就都学会了啊。

拓扑图在下面，前面两次虽然也是这幅图，但咱们一直没有说到的一个地方，就是DMZ区域，在ISA Server中它又叫外围区域。接下来咱们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。为何不让他们直接访问而要经过发布的方式呢？由于若是没有防火墙的保护，直接暴露在外网的话，估计不到两分种就歇菜了。什么病毒啊，***啊全来了。因此咱们要把它们发布出去，这样Internet上的用户访问外网接口，就等于访问了DMZ区域中的服务器。我想你们在路由器上都应该作过NAT，NAT有个技术叫PAT，它也能够用来发布服务器，经过端口来定位服务。咱这和那个道理是同样的。咱们还要把这些服务器发布到内网——而不是让他们直接访问，为何呢？“家贼难防”！，就不用解释了。来看看具体的步骤吧！

 

首先仍是分析一下拓扑。为了你们看起来方便我把大概的的信息罗列到下面：

1.      DMZ区域中有两台服务器，分别是：

1>.web服务器 主机名：www.zpp.com  IP:172.16.1.20/16  GW:172.16.1.1

2>.mail服务器 主机名：mail.zpp.com  IP:172.16.1.10/16  GW:172.16.1.1

2.      ISA Server的三块网卡IP分别为：

1>.内网卡LAN  IP：192.168.1.1/24

2>外围网卡DMZ  IP：172.16.1.1/16

3>外网卡 WAN  IP:61.134.1.4/8

主要的TCP/IP参数就是上面罗列的那些，其余没说到的我们边作边说吧。

第一部分：建立并配置DMZ区域

前面一直是这个图，但其实DMZ区咱们并无去用到它，因此这以前咱们一直是一种边缘防火墙的部署方式。此次们就来开辟这块非军事化区（DMZ）。使之成为三向外围部署方式。

1． 打开“ISA服务管理器”，展开“配置”，选择“网络”，在右边的模板栏里选择3向外围网络，就会出现下图的界面。如图：

 

2.连续单击两个下一步，就到了指定内网卡的地方，点击添加适配器，加入内网卡（LAN）肯定就是以下的界面。（注意可别添错了啊）

 

3.仍是同样，这里就是添加外围网卡（DMZ），单击添加适配器，把DMZ网卡添进来就能够了。

 

4.这里是选择防火墙策略，有一大堆，我们就选第一个“阻止全部访问”，为何呢？等一下要用什么就开什么。要知道这里只是一个向导界面，真正的策略是咱们一条一条添加进去的。

 

5.好了，确认一下设置的内部和外围等信息，看看有没有什么问题，没有的话就能够单击完成了。也许您会问，为何没有让选择外部网卡？您想啊，总共三块网卡。定义了内部和外围以后剩下的固然是外部喽！

 

6.到这个界面时，咱们点击应用以后肯定便可。

 

至此，我们的网络环境就从原来的边缘网络，变成了三向外围的网络。

第二部分：发布web服务器

在各种服务器的发布中，web服务器的发布是最多的。其步骤也相对较多一些，掌握了web服务的发布，其它的就简单的多了。此次重点以发布web服务器为主。下面是步骤：

1.在ISA管理控制台里，点击一下防火墙策略，再点击任务栏中的发布网站，如图，我们将会在这个界面下作设置。

 

2.在弹出的web发布规则向导界面中，咱们给它取个名子叫“web服务发布规则”，这样作个标识，别人一看就知道是干什么用的。如图：

 

3.在“请选择规则条件”选项卡中选择“容许”。记住，ISA里面的规则操做除了容许就是拒绝。

 

4.这里选择第一项“发布单个网站或负载平衡器”，由于我们只有一个web站点要发布嘛。若是作了主机头，要发布多个网站可发选择第三项“发布多个网站”。单击下一步，如图：

 

5.在服务器链接安全这里咱们选择第二项，第一项是要求使用SSL的，一些要求安全性较高的网站好比：淘宝啊、银行啊等网站，要用https访问的就能够选择此项，固然得有PKI支持才行，有时间的话我会写一篇带SSL的网站发布。我们不用选择第一项，第二项就能够了。大多数网站都没有使用SSL。由于访问起来会变得麻烦，并且很慢，更重要的是得有一套PKI支持才行。

 

6.如今到了配置内部发布详细信息这里，把站点名www.zpp.com写到内部站点名称这里，而后勾选“使用计算机名称或IP地址链接到发布的服务器”，而且别忘了把IP写上去，如图：

 

7.上面步骤完了以后下一步就到这里了，这是在问咱们要发布哪些内容，我们所有都发布因此用个“/*”代替就能够了。

 

8.此处设置的是公共名称细节，在接收请求这里选择“任何域名”。下面的路径保持默认便可。若是有其它的能够单独指定。

 

9.如今选择Web侦听器，由于没有因此就选择新建，来建立一个。（侦听器用来指定ISA服务器侦听传入Web请求的IP和端口）

 

10.下面是新建web侦听器的向导界面，仍是同样先取个名子，作个标识。

 

11.这里和刚才上面设置的时候意思是同样的，仍是选择第二项“不须要与客户端创建SSL安全链接”，如图：

 

12.这一步就比较关键了，它让咱们选择web侦听器的IP地址。若是只选择外部，就只能把服务器发布到外部，咱这儿是要把服务器从DMZ发到内网和Internet因此就勾两项。如图：

 

13.身份验证这里选择“没有身份验证”便可。这个通常用的很少。固然为了安全性更高也能够设置带身份验证的。

 

14.好了，如今把web侦听器的配置在检查一下，就能够点击完成了。

 

15.有了web侦听器，咱们继续发布服务器，注意应在次确认一下侦听器的属性。看看有无错误，没有就能够单击下一步了，如图：

 

16.在身份验证委派这里选择“无委派，客户端没法直接进行身份验证”。

 

17.用户集这里选择全部用户便可，由于我们是让全部人访问，若是有特殊要求，可根据实际状况去设置。

 

18.OK，如今策略设置好了，点击应用以后肯定，就能够测试结果了。

 

第三部分：测试内网用户和外网用户访问DMZ区域的web服务器

在测试以前先确保缓存开着没有，虽然并非必要的，但这样会提升访问速度。何乐而不为呢！下图显示缓存是开着的。

 

如今内网的员工只能经过内网接口（LAN）来访问Web站点。而后再经过ISA Server转到真正的web服务器172.16.1.20上。因此咱们要在内网中添加一个DNS主机记录，FQDN为www.zpp.com IP为192.168.1.1。如图：

 

在IE中输入主机名www.zpp.com.能够看到咱们可以正常的访问web站点。（注意我这里开了一台Linux并启动了httpd来模拟DMZ区域中的web服务器）如图：  

Ping一下域名www.zpp.com能够看到ping的实际上是IP为192.168.1.1的内网卡（LAN）。以此说明，DMZ区中的web服务器发布到内部网络中成功

 

如今到外网客户机上来测试一下，（注意：外网客户机的DNS我用的是hosts文件的方式，固然真实环境下，确定是要在公网DNS服务器上注册的）。下图是用外网客户机ping出的结果，如图，能够看到ping www.zppp.com其实实在ping外网口的地址。

 

如今经过这个域名访问，能够看到能够成功访问。说明DMZ区域中的web发布到外网成功。

 

如今你们看到了web服务器的发布，相信发布其它服务器也不成问题了，其实都很简单。下面我再介绍一下邮件服务器的发布。

第四部分：发布邮件服务器

1.如图，此次就选择防火墙策略中的“发布邮件服务器”。

 

2.访问类型这里选择第一项”客户端访问：RPC、IMAP、POP3、SMTP”，而后单击下下步。

 

3.选择服务这里咱们能够根据需求选择相应的服务。如图：

 

4.服务器地址这里设置的就是DMZ区域中的邮件服务器真实的IP地址。此处是：172.16.1.10

 

5.和发布web服务器同样，此处也是指定发布到哪些地方去。

 

6.如今邮件服务器就算发布好了。

 

发布邮件服务器够简单的吧！感受还没作就完了。测试我这就不作了啊，方法就是这样。测试前仍是同样。确保内网DNS服务器上有A记录。FQDN：mail.zpp.com IP:192.168.1.1;外网除了要去注册A记录，还要有MX记录用PTR记录（前面说Sendmail、Postfix都有说过）。

其余服务器的发布都和这是同样的，只是选的服务不同而已。OK！本次就说到这里吧！ISA有个说法，就是今天作的是明天的策略。意思就是说在ISA Server上作的规则有时候并不会即便生效。只要耐心等待就能够了。不过今天我作的还挺顺的，祝你们好运！